Snort och OpenBSD
Anders Troback
freebsd at troback.com
Tue Jan 27 11:55:39 CET 2015
Men det satt långt in att erkänna!:-D
Den Tue, 27 Jan 2015 11:00:37 +0100
skrev Leif Larsson <leif.larsson at l3system.se>:
> Alltid lika skönt att krypa till korset :-)
>
> Hälsningar,
>
> /Leif
>
> On 01/27/2015 10:50 AM, Anders Troback wrote:
> > Hej!
> >
> > Jag måste haft något fel i min snort.conf för jag rensade allt och
> > började om, sedan funkade det...!
> >
> > Tack för ert stöd!:-)
> >
> >
> > \\anders
> >
> > Den Mon, 26 Jan 2015 14:09:52 +0100
> > skrev Anders Troback <freebsd at troback.com>:
> >
> >> Ja, det funkar.
> >>
> >> Den Mon, 26 Jan 2015 13:50:39 +0100
> >> skrev Niklas Hallqvist <niklas at appli.se>:
> >>
> >>> och tcpdump -i em0 rapporterar paket?
> >>>
> >>> On 01/26/15 13:43, Leif Larsson wrote:
> >>>> em är ju ett ganska populärt nätverkskort, borde funka bra tycker
> >>>> man.
> >>>>
> >>>> Undrar om du var något på spåren med att det saknas ip på kortet.
> >>>> Ex. vis dhcpd fungerar inte utan adress på kortet den skall
> >>>> lyssna på.
> >>>>
> >>>> Hälsningar,
> >>>>
> >>>> /Leif
> >>>>
> >>>> On 01/26/2015 01:35 PM, Anders Troback wrote:
> >>>>> Har normal ingen IP satt på det kortet men provade sätta en och
> >>>>> använda den till -i:
> >>>>>
> >>>>> "BIOCSETIF failed: Device not configured!"
> >>>>>
> >>>>> Har provat lite till nu och det verkar inte vara att jag
> >>>>> använder -i. Jag har två NIC i burken, ett till att sniffa
> >>>>> (em0) och ett till annat (bge0). Väljer jag bge0 så funkar det
> >>>>> (men det är fel trafik) men väljer jag em0 så funkar det inte.
> >>>>>
> >>>>> /etc/hostname.em0:
> >>>>> up
> >>>>>
> >>>>> ifconfig em0:
> >>>>> flags=28b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST,NOINET6>
> >>>>> mtu 1500 lladdr 00:0e:0c:c2:c7:6b
> >>>>> priority: 0
> >>>>> media: Ethernet autoselect (100baseTX
> >>>>> full-duplex,rxpause,txpause)
> >>>>> status: active
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>> Den Mon, 26 Jan 2015 12:12:48 +0100
> >>>>> skrev Leif Larsson <leif.larsson at l3system.se>:
> >>>>>
> >>>>>> Har märkt att vissa program förväntar sig en ip adress istället
> >>>>>> för ett interface namn.
> >>>>>> Har du provat med -i x.x.x.x ?
> >>>>>>
> >>>>>> Hälsningar,
> >>>>>>
> >>>>>> /Leif
> >>>>>>
> >>>>>> On 01/26/2015 11:02 AM, Anders Troback wrote:
> >>>>>>> Hej!
> >>>>>>>
> >>>>>>> Jag försöker köra Snort på en OpenBSD 5.6 burk men har lite
> >>>>>>> problem.
> >>>>>>>
> >>>>>>> Om jag startar Snort utan att ange NIC (med -i) så väljer
> >>>>>>> Snort ett NIC och börjar sniffa trafiken. Om jag startar med
> >>>>>>> -i så sniffar den inte alls. Problemet med att inte ange med
> >>>>>>> -i är att det blir fel NIC.
> >>>>>>>
> >>>>>>> Jag har provat både med versionen i ports och att kompilera
> >>>>>>> den senaste versionen på Snorts hemsida. Jag har även provat
> >>>>>>> att byta NIC så att det som jag vill sniffa på blev det som
> >>>>>>> jag inte vill sniffa på och tvärt om. Kör jag tcpdump så ser
> >>>>>>> jag trafik.
> >>>>>>>
> >>>>>>> Någon som har någon ide?
> >>>>>>>
> >>>>>>>
> >>>>>>> \\anders
> >>>>>>> _________________________________________________
> >>>>>>> BSD Users Sweden -- BUS at stacken.kth.se
> >>>>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
> >>>>>>>
> >>>>>> _________________________________________________
> >>>>>> BSD Users Sweden -- BUS at stacken.kth.se
> >>>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
> >>>>> _________________________________________________
> >>>>> BSD Users Sweden -- BUS at stacken.kth.se
> >>>>> https://lists.stacken.kth.se/mailman/listinfo/bus
> >>>>>
> >>>> _________________________________________________
> >>>> BSD Users Sweden -- BUS at stacken.kth.se
> >>>> https://lists.stacken.kth.se/mailman/listinfo/bus
> >>>>
> >>>
> >>>
> >> _________________________________________________
> >> BSD Users Sweden -- BUS at stacken.kth.se
> >> https://lists.stacken.kth.se/mailman/listinfo/bus
> > _________________________________________________
> > BSD Users Sweden -- BUS at stacken.kth.se
> > https://lists.stacken.kth.se/mailman/listinfo/bus
> >
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
More information about the BUS
mailing list