<div dir="ltr">Could you do a file on your *.pcap file and share the output?  If the file is very small, what do you get when you do this tcpdump -r yourfile.pcap -nn -X ?</div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Feb 4, 2017 at 3:56 AM, Jones, Christopher (Chris) (Maj) <span dir="ltr"><<a href="mailto:cajones1@...17771..." target="_blank">cajones1@...17771...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_4234589412996194467WordSection1">
<p class="MsoNormal">Team,<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Snort is working for me and producing some alerts on the pcap files I want to analyze.  The problem I’m having now is matching the alert timestamp to a packet in WireShark.  For instance, the following alert gives a timestamp of 08/16-03:22:49.286138
 but that packet does not exist.  The closest one is 03:22:48.64 and 03:22:50.65. 
<br>
<br>
<u></u><u></u></p>
<p class="MsoNormal">[**] [139:1:1] (spp_sdf) SDF Combination Alert [**]<u></u><u></u></p>
<p class="MsoNormal">[Classification: Sensitive Data was Transmitted Across the Network] [Priority: 2]
<u></u><u></u></p>
<p class="MsoNormal">08/16-03:22:49.286138 216.137.xxx.xxx -> 207.140.xxx.xxx<u></u><u></u></p>
<p class="MsoNormal">PROTO:254 TTL:63 TOS:0x0 ID:33005 IpLen:20 DgmLen:20 DF<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I’d really like to find the offending packet to better understand what caused the alert.  Can someone help me understand how to best find the packet in question given a snort alert?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Thanks again.<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Chris<u></u><u></u></p>
</font></span></div>
</div>

<br>------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...3783...<wbr>net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Regards,<br>Balasubramaniam Natarajan<br><a href="http://blog.etutorshop.com" target="_blank">http://bullet-bala.blogspot.in/</a><br><a href="https://www.youracclaim.com/user/balasubramaniam-natarajan" target="_blank">https://www.youracclaim.com/user/balasubramaniam-natarajan</a><br></div></div></div></div></div></div>
</div>