Snort och OpenBSD
Niklas Hallqvist
niklas at appli.se
Mon Jan 26 13:50:39 CET 2015
och tcpdump -i em0 rapporterar paket?
On 01/26/15 13:43, Leif Larsson wrote:
> em är ju ett ganska populärt nätverkskort, borde funka bra tycker man.
>
> Undrar om du var något på spåren med att det saknas ip på kortet.
> Ex. vis dhcpd fungerar inte utan adress på kortet den skall lyssna på.
>
> Hälsningar,
>
> /Leif
>
> On 01/26/2015 01:35 PM, Anders Troback wrote:
>> Har normal ingen IP satt på det kortet men provade sätta en och använda
>> den till -i:
>>
>> "BIOCSETIF failed: Device not configured!"
>>
>> Har provat lite till nu och det verkar inte vara att jag använder -i.
>> Jag har två NIC i burken, ett till att sniffa (em0) och ett till
>> annat (bge0). Väljer jag bge0 så funkar det (men det är fel trafik)
>> men väljer jag em0 så funkar det inte.
>>
>> /etc/hostname.em0:
>> up
>>
>> ifconfig em0:
>> flags=28b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST,NOINET6> mtu 1500
>> lladdr 00:0e:0c:c2:c7:6b
>> priority: 0
>> media: Ethernet autoselect (100baseTX
>> full-duplex,rxpause,txpause)
>> status: active
>>
>>
>>
>>
>>
>>
>> Den Mon, 26 Jan 2015 12:12:48 +0100
>> skrev Leif Larsson <leif.larsson at l3system.se>:
>>
>>> Har märkt att vissa program förväntar sig en ip adress istället för
>>> ett interface namn.
>>> Har du provat med -i x.x.x.x ?
>>>
>>> Hälsningar,
>>>
>>> /Leif
>>>
>>> On 01/26/2015 11:02 AM, Anders Troback wrote:
>>>> Hej!
>>>>
>>>> Jag försöker köra Snort på en OpenBSD 5.6 burk men har lite problem.
>>>>
>>>> Om jag startar Snort utan att ange NIC (med -i) så väljer Snort ett
>>>> NIC och börjar sniffa trafiken. Om jag startar med -i så sniffar
>>>> den inte alls. Problemet med att inte ange med -i är att det blir
>>>> fel NIC.
>>>>
>>>> Jag har provat både med versionen i ports och att kompilera den
>>>> senaste versionen på Snorts hemsida. Jag har även provat att byta
>>>> NIC så att det som jag vill sniffa på blev det som jag inte vill
>>>> sniffa på och tvärt om. Kör jag tcpdump så ser jag trafik.
>>>>
>>>> Någon som har någon ide?
>>>>
>>>>
>>>> \\anders
>>>> _________________________________________________
>>>> BSD Users Sweden -- BUS at stacken.kth.se
>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>>>
>>> _________________________________________________
>>> BSD Users Sweden -- BUS at stacken.kth.se
>>> https://lists.stacken.kth.se/mailman/listinfo/bus
>> _________________________________________________
>> BSD Users Sweden -- BUS at stacken.kth.se
>> https://lists.stacken.kth.se/mailman/listinfo/bus
>>
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 3041 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.stacken.kth.se/pipermail/bus/attachments/20150126/196e544b/attachment.bin>
More information about the BUS
mailing list