<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>Hello,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>Compile snort from source and enable non ethernet decoders. </div>
<div><br>
</div>
<div>Configure snort with --enable-non-ether-decoders  </div>
<div><br>
</div>
<div>To see all of the available options run: './configure —help’</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@cisco.com" style="color: purple;">allewi@cisco.com</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Snort-users <<a href="mailto:snort-users-bounces@lists.snort.org">snort-users-bounces@lists.snort.org</a>> on behalf of Ajdin Lupčević via Snort-users <<a href="mailto:snort-users@lists.snort.org">snort-users@lists.snort.org</a>><br>
<span style="font-weight:bold">Organization: </span>Globalhost d.o.o.<br>
<span style="font-weight:bold">Reply-To: </span>Ajdin Lupčević <<a href="mailto:ajdin@global.ba">ajdin@global.ba</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, August 10, 2017 at 3:51 AM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-users@lists.snort.org">snort-users@lists.snort.org</a>" <<a href="mailto:snort-users@lists.snort.org">snort-users@lists.snort.org</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] snort[731]: FATAL ERROR: Cannot decode data link type 113 on openvz VPS<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div text="#000000" bgcolor="#FFFFFF">
<p>Hello,<br>
<br>
I try to test snort on openvz vps because we need to make detection system for our dedicated servers when spam is send fro our network.<br>
when I try to start snort with command snort -i venet0:0 -c /etc/snort/snort.conf -T I find messages in /var/log/messages as follow:<br>
<br>
Aug  9 06:21:50 test snort[730]: 329 out of 1024 flowbits in use.<br>
Aug  9 06:22:10 test snort[730]: <br>
Aug  9 06:22:10 test snort[730]: [ Port Based Pattern Matching Memory ]<br>
Aug  9 06:22:10 test snort[730]: +- [ Aho-Corasick Summary ] -------------------------------------<br>
Aug  9 06:22:10 test snort[730]: | Storage Format    : Full-Q<br>
Aug  9 06:22:10 test snort[730]: | Finite Automaton  : DFA<br>
Aug  9 06:22:10 test snort[730]: | Alphabet Size     : 256 Chars<br>
Aug  9 06:22:10 test snort[730]: | Sizeof State      : Variable (1,2,4 bytes)<br>
Aug  9 06:22:10 test snort[730]: | Instances         : 235<br>
Aug  9 06:22:10 test snort[730]: |     1 byte states : 220<br>
Aug  9 06:22:10 test snort[730]: |     2 byte states : 15<br>
Aug  9 06:22:10 test snort[730]: |     4 byte states : 0<br>
Aug  9 06:22:10 test snort[730]: | Characters        : 193653<br>
Aug  9 06:22:10 test snort[730]: | States            : 149896<br>
Aug  9 06:22:10 test snort[730]: | Transitions       : 23056914<br>
Aug  9 06:22:10 test snort[730]: | State Density     : 60.1%<br>
Aug  9 06:22:10 test snort[730]: | Patterns          : 9789<br>
Aug  9 06:22:10 test snort[730]: | Match States      : 10624<br>
Aug  9 06:22:10 test snort[730]: | Memory (MB)       : 77.61<br>
Aug  9 06:22:10 test snort[730]: |   Patterns        : 1.12<br>
Aug  9 06:22:10 test snort[730]: |   Match Lists     : 2.50<br>
Aug  9 06:22:10 test snort[730]: |   DFA<br>
Aug  9 06:22:10 test snort[730]: |     1 byte states : 1.36<br>
Aug  9 06:22:10 test snort[730]: |     2 byte states : 72.23<br>
Aug  9 06:22:10 test snort[730]: |     4 byte states : 0.00<br>
Aug  9 06:22:10 test snort[730]: +----------------------------------------------------------------<br>
Aug  9 06:22:10 test snort[730]: [ Number of patterns truncated to 20 bytes: 545 ]<br>
Aug  9 06:22:10 test snort[730]: pcap DAQ configured to passive.<br>
Aug  9 06:22:10 test snort[730]: Acquiring network traffic from "venet0:0".<br>
Aug  9 06:22:10 test snort[730]: Initializing daemon mode<br>
Aug  9 06:22:10 test snort[731]: Daemon initialized, signaled parent pid: 730<br>
Aug  9 06:22:10 test snort[731]: Reload thread starting...<br>
Aug  9 06:22:10 test snort[731]: Reload thread started, thread 0x7f6927ecf700 (732)<br>
Aug  9 06:22:10 test snort[731]: FATAL ERROR: Cannot decode data link type 113</p>
<p>I also need to tell you that snort is installed via yum and how can I make it work on venet0:0 interace that is active interface on openvz vps. If you have any guide or you can explain please let me know.<br>
<br>
Best regards.</p>
<div class="moz-signature">-- <br>
<p><span class="style191"><b><font size="2" face="Calibri" color="#595959"><span style="font-size:13.0pt">Ajdin Lupčević</span></font></b></span><b><font size="2" face="Calibri" color="black"><span style="font-size:13.0pt;font-family:Calibri;
              color:" #595959?;font-weight:bold?=""><br>
</span></font></b><span class="style231"><font size="1" face="Calibri" color="#595959"><span style="font-size:10.0pt">System Administrator/Web Hosting Support</span></font></span><font size="1" face="Calibri" color="#595959"><span style="font-size:10.0pt;font-family:Calibri;
            color:" #595959?=""><br>
</span></font></p>
<p><font size="1" face="Calibri" color="#595959"><span class="style191"><b><font size="2" face="Calibri" color="#548DD4"><span style="font-size:13.0pt">Globalhost d.o.o.
</span></font></b></span><b><font size="2" face="Calibri" color="#548DD4"><span style="font-size:10.0pt;font-family:
                Calibri;color:#548DD4;font-weight:bold"><br>
</span></font></b><span class="style201"><font size="1" face="Calibri" color="#595959"><span style="font-size:11.0pt;font-family:Calibri;color:#595959">Web Hosting Solutions
</span></font></span><b><font size="2" face="Arial" color="#595959"><span style="font-size:11.0pt;font-family:Calibri;color:#595959"><br>
</span></font></b><span class="style201"><font size="1" face="Calibri" color="#595959"><span style="font-size:11.0pt;font-family:Calibri;color:#595959">Kralja Tvrtka 15 · 72290 Novi Travnik · BiH
</span></font></span><b><font size="2" face="Arial" color="#595959"><span style="font-size:11.0pt;font-family:Calibri;color:#595959"><br>
<br>
</span></font></b><span class="style161"><font size="1" face="Arial" color="#666666"><span style="font-size:7.5pt">-----------------------------------------------------------------------------------------</span></font></span><font size="1" face="Arial" color="#666666"><span style="font-size:7.5pt;font-family:
              Arial;color:#666666"></span></font><font size="1" face="Calibri" color="#595959"><span style="font-size:11.0pt;font-family:
              Arial;color:#595959"><br>
<span class="style201"><font face="Calibri" color="#595959">Tel: +387 30 795 066 · Fax: +387 30 795 067</font></span><br>
<span class="style201"><font face="Calibri" color="#595959">Web: <a href="http://www.global.ba/">
www.global.ba</a> · E-mail: <a href="mailto:info@global.ba">info@global.ba</a> </font>
</span><br>
</span></font><span class="style161"><font size="1" face="Arial" color="#666666"><span style="font-size:7.5pt">--------------------------------------------------------------------------------------------</span></font></span><font size="1" face="Arial" color="#666666"><span style="font-size:7.5pt;font-family:
              Arial;color:#666666"><br>
</span></font><span class="style201"><font size="1" face="Calibri" color="#bfbfbf"><span style="font-size:8.0pt;font-family:Calibri;color:#bfbfbf">VAŽNA OBAVIJEST:<br>
Ova elektronička pošta može sadržavati podatke povjerljive prirode i namijenjena je isključivo osobama naznačenima kao primateljima. Pristup od strane bilo koje druge osobe smatra se neovlaštenim. Ukoliko niste naznačeni primatelj, svaka distribucija, kopiranje,
 umnožavanje ili otkrivanje sadržaja trećim osobama je strogo zabranjeno i smatra se protuzakonitim. Ukoliko ste dobili ovu poruku, a niste naznačeni primatelj, molimo Vas da što prije obavijestite pošiljatelja poruke i uništite sve postojeće kopije. S obzirom
 na nepostojanje potpune sigurnosti e-mail komunikacije, Globalhost d.o.o. ne preuzima odgovornost za eventualnu štetu nastalu uslijed zaraženosti e-mail poruke virusom ili drugim štetnim programom, pogrešne ili zakašnjele dostave poruke uslijed tehničkih problema.
</span></font></span><b><font size="2" face="Calibri" color="#f2f2f2"><span style="font-size:8.0pt;font-family:Calibri;color:#bfbfbf"><br>
<br>
</span></font></b><span class="style201"><font size="1" face="Calibri" color="#bfbfbf"><span style="font-size:8.0pt;font-family:Calibri;color:#bfbfbf">DISCLAIMER:<br>
This e-mail may contain confidential information and is intended only for those named as recipients. Access by any other person will be considered unauthorised. If you are not the intended recipient, any distribution, copying, reproduction or disclosure of
 its contents to third parties is strictly prohibited and shall be considered illegal. If you have received this e-mail message and are not the intended recipient, please inform the sender as soon as possible and destroy all existing copies. Since there is
 no complete security in e-mail communication, the Globalhost d.o.o. no liability for any loss incurred as a result of an e-mail message being infected with a virus or any other harmful software, mistaken or delayed delivery of a message due to technical problems.
</span></font></span><b><font size="2" face="Calibri" color="#f2f2f2"><span style="font-size:8.0pt;font-family:Calibri;color:#bfbfbf"><br>
</span></font></b></font></p>
</div>
</div>
</div>
</span></span>
</body>
</html>