Obteve a mensagem “ERRO: Não é possível decodificar o tipo de link de dados 239” ao ativar o modo sniffer

Navegue suas respostas
2

Eu gostaria de instalar o snort 2.9.6 no Centos 7

a instalação está ok e o resultado do modo de auto-teste está correto, mas quando executo este comando para mudar o Snort para o modo sniffer ou nids. Eu recebi esta mensagem de erro:

" ERRO: Não é possível decodificar o tipo de link de dados 239 "

Eu tento recompilar novamente incluindo a opção "--enable-non-ether-decoders" conforme estas etapas: 

./configure  --enable-non-ether-decoders --enable-sourcefire
make
make install
make clean

Ainda recebo esse erro

    
por thsecmaniac 23.08.2014 / 07:15

1 resposta

1

A menos que seu Linux tenha feito algo com valores DLT_ que ninguém jamais deveria fazer, 239 é: 

/*
 * NetFilter LOG messages
 * (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
 * 
 * Requested by Jakub Zawadzki <[email protected]>
 */
#define DLT_NFLOG               239

que é o que você obtém ao capturar em um dispositivo nflog.

Se você especificou um dispositivo nflog (dispositivo começando com "nflog"), então o snort 2.9.6 pode não ser capaz de lidar com isso, e você precisará capturar em um dispositivo de rede normal.

Se você não especificou um dispositivo nflog, então o snort abriu explicitamente um dispositivo nflog (o que ele não deveria fazer se não puder lidar com ele!) ou usou o dispositivo padrão (que não deveria ser um dispositivo nflog).

O que acontece se você executar tcpdump -D ? Se o primeiro dispositivo que reporta for um dispositivo nflog, ele (e snort) não está sendo executado com privilégios suficientes para abrir dispositivos comuns, mas pode abrir dispositivos nflog ou há algum outro problema colocando o dispositivo nflog no topo.

    
por 23.08.2014 / 07:33

Tags

Por que o KDEPIM adiciona “pbecbengr-rivy-znaqngrq-ba” à parte do domínio dos cabeçalhos de ID da Mensagem de saída? Problemas com o ARIA2C e o auth-WGET básico funcionando