Dependendo das configurações fornecidas com o pacote, talvez você tenha algumas configurações incorretas. O arquivo base snort.conf deve funcionar, no entanto, você deve inspecionar o arquivo de configuração do sistema /etc/sysconfig/snort e certificar-se de que essas duas opções estejam definidas corretamente.
- INTERFACE
- BPF
Além disso, você deve verificar o log do sistema, /var/log/messages por padrão, para ver se a interface está realmente entrando no modo promíscuo. Se assim for, você deve ver algo ao longo destas linhas
kernel: device eth1 entered promiscuous mode
Você também pode obter boas informações de depuração do pré-processador do perfmonitor. Você pode ativá-lo em seu snort.conf com algo como
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 10000
Isto irá despejar uma lista de valores de desempenho MUITO grande comma delineada a partir do aplicativo snort. A lista completa de todos os valores descartados pode ser encontrada no manual, enviado ou em snort_manual.pdf Você pode estar interessado em ver:
- Total de pacotes recebidos
- Mbits / Sec (applayer)
- Inicializando sessões TCP
Os valores desses, e possivelmente outros, devem ajudar a determinar se o próprio aplicativo está vendo os pacotes, quanto mais processando-os.