<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>Hello,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>Are you sure snort isnt seeing the ARP traffic? Have you checked your exist stats? See mine for arp below</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>===============================================================================</div>
<div>Breakdown by protocol (includes rebuilt packets):</div>
<div>        Eth:           42 (100.000%)</div>
<div>       VLAN:            0 (  0.000%)</div>
<div>        IP4:           18 ( 42.857%)</div>
<div>       Frag:            0 (  0.000%)</div>
<div>       ICMP:            0 (  0.000%)</div>
<div>        UDP:            0 (  0.000%)</div>
<div>        TCP:           18 ( 42.857%)</div>
<div>        IP6:            0 (  0.000%)</div>
<div>    IP6 Ext:            0 (  0.000%)</div>
<div>   IP6 Opts:            0 (  0.000%)</div>
<div>      Frag6:            0 (  0.000%)</div>
<div>      ICMP6:            0 (  0.000%)</div>
<div>       UDP6:            0 (  0.000%)</div>
<div>       TCP6:            0 (  0.000%)</div>
<div>     Teredo:            0 (  0.000%)</div>
<div>    ICMP-IP:            0 (  0.000%)</div>
<div>    IP4/IP4:            0 (  0.000%)</div>
<div>    IP4/IP6:            0 (  0.000%)</div>
<div>    IP6/IP4:            0 (  0.000%)</div>
<div>    IP6/IP6:            0 (  0.000%)</div>
<div>        GRE:            0 (  0.000%)</div>
<div>    GRE Eth:            0 (  0.000%)</div>
<div>   GRE VLAN:            0 (  0.000%)</div>
<div>    GRE IP4:            0 (  0.000%)</div>
<div>    GRE IP6:            0 (  0.000%)</div>
<div>GRE IP6 Ext:            0 (  0.000%)</div>
<div>   GRE PPTP:            0 (  0.000%)</div>
<div>    GRE ARP:            0 (  0.000%)</div>
<div>    GRE IPX:            0 (  0.000%)</div>
<div>   GRE Loop:            0 (  0.000%)</div>
<div>       MPLS:            0 (  0.000%)</div>
<div>        ARP:           24 ( 57.143%)</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>If the traffic is mirrored/copied to snort or if snort is inline it should see the ARP traffic.</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@cisco.com" style="color: purple;">allewi@cisco.com</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Snort-users <<a href="mailto:snort-users-bounces@lists.snort.org">snort-users-bounces@lists.snort.org</a>> on behalf of Syed Hammad Tahir <<a href="mailto:mscs16059@itu.edu.pk">mscs16059@itu.edu.pk</a>><br>
<span style="font-weight:bold">Date: </span>Friday, December 8, 2017 at 5:22 AM<br>
<span style="font-weight:bold">To: </span>waldo kitty <<a href="mailto:wkitty42@windstream.net">wkitty42@windstream.net</a>><br>
<span style="font-weight:bold">Cc: </span>"<a href="mailto:snort-users@lists.snort.org">snort-users@lists.snort.org</a>" <<a href="mailto:snort-users@lists.snort.org">snort-users@lists.snort.org</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Traffic Capture<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div>
<div dir="ltr">I specifically want to do it with snort since I am using it as a sensor with apache metron.</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Fri, Dec 8, 2017 at 2:45 PM, <span dir="ltr"><<a href="mailto:wkitty42@windstream.net" target="_blank">wkitty42@windstream.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class="">On 12/08/2017 04:20 AM, Syed Hammad Tahir wrote:<br>
</span><span class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I am specifically interested in capturing the ARP request data. Any help<br>
will be appreciated.<br>
</blockquote>
<br>
</span><span class="">if all you are wanting to do is capture traffic, why not use tcpdump or wireshark? that's what they do... something like this should do...<br>
<br>
  tcpdump -i eth0 -s0 -w arp_traffic.pcap 'arp or icmp'<br>
<br>
check the tcpdump docs to understand the options given...<br>
<br>
-- <br>
 NOTE: No off-list assistance is given without prior approval.<br>
       *Please keep mailing list traffic on the list unless*<br>
       *a signed and pre-paid contract is in effect with us.*<br>
______________________________<wbr>_________________<br>
</span>Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.snort.org" target="_blank">Snort-users@lists.snort.org</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.snort.org/mailman/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.snort.org/mailma<wbr>n/listinfo/snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!
<div class="HOEnZb">
<div class="h5"><br>
<br>
Please follow these rules: <a href="https://snort.org/faq/what-is-the-mailing-list-etiquette" rel="noreferrer" target="_blank">
https://snort.org/faq/what-is-<wbr>the-mailing-list-etiquette</a><br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</span></span>
</body>
</html>