スニファーモードをオンにすると、「エラー：データリンクタイプ239をデコードできません」というメッセージが表示されます。

Question

Linuxが誰も実行してはいけないDLT_値で何もしない限り、239は次のようになります。

/*
 * NetFilter LOG messages
 * (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
 * 
 * Requested by Jakub Zawadzki <[email protected]>
 */
#define DLT_NFLOG               239

これはnflogデバイスでキャプチャしたときに得られるものです。

nflogデバイス（「nflog」で始まるデバイス）を指定すると、snort 2.9.6はそのデバイスを処理できない可能性があるため、通常のネットワークデバイスでキャプチャする必要があります。

もしあなたならいいえnflogデバイスを指定した後、snortはnflogデバイスを明示的に開くか（処理できない場合はこれを実行しないでください）、デフォルトのデバイス（nflogデバイスではない）を使用します。

走るとどうなりますかtcpdump -D？報告する最初のデバイスがnflogデバイスの場合、そのデバイス（およびsnort）は通常のデバイスを開くのに十分な権限で実行されていませんが、nflogデバイスを開くことができるか、nflogデバイスを一番上に置く他の問題があります。

Answer 1

Linuxが誰も実行してはいけないDLT_値で何もしない限り、239は次のようになります。

/*
 * NetFilter LOG messages
 * (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
 * 
 * Requested by Jakub Zawadzki <[email protected]>
 */
#define DLT_NFLOG               239

これはnflogデバイスでキャプチャしたときに得られるものです。

nflogデバイス（「nflog」で始まるデバイス）を指定すると、snort 2.9.6はそのデバイスを処理できない可能性があるため、通常のネットワークデバイスでキャプチャする必要があります。

もしあなたならいいえnflogデバイスを指定した後、snortはnflogデバイスを明示的に開くか（処理できない場合はこれを実行しないでください）、デフォルトのデバイス（nflogデバイスではない）を使用します。

走るとどうなりますかtcpdump -D？報告する最初のデバイスがnflogデバイスの場合、そのデバイス（およびsnort）は通常のデバイスを開くのに十分な権限で実行されていませんが、nflogデバイスを開くことができるか、nflogデバイスを一番上に置く他の問題があります。

スニファーモードをオンにすると、「エラー：データリンクタイプ239をデコードできません」というメッセージが表示されます。

ベストアンサー1

おすすめ記事