Snort mailing list archives
Disable spoofing ARP in kill packets
From: Laurent Cabal <lcabal () althes fr>
Date: Fri, 5 Apr 2002 15:11:58 +0200
Hi, I have some problems to install snort in a switched environnement. Indeed, on most of the switch, it is not possible to disable the MAC learning on a port. When the kill packet arrives in the switch, it learns the source MAC address. But this mac address have been learnt before on another port of the switch. So some frames have been lost because they have been sent on the the port linked with the snort. This problem can be solved if we disable the MAC address learning on the port linked to the snort. But this fonctionnality does not exist on all switch. Does anyone have a solution for me? I would like to try to disable the spoofing ARP in the kill packet. Do you know if it is possible? Thanks by advance, ---------------------------------------------------------------------------- ------------ Laurent Cabal Ingénieur Sécurité ALTHES "L'expertise sécurité" 53 rue Albert Samain 59650 Villeneuve d'Ascq tel: 33 (0) 3.20.33.84.40 fax: 33 (0) 3.20.33.84.31 http://www.althes.fr *---------------------------------------------------------------* * Cet e-mail et toutes les pièces jointes sont destinés aux * * seules personnes auxquelles ils sont spécifiquement adressés * * et n'engagent que le signataire de ces documents et non la * * structure dont il dépend. * * Leur existence et leur contenu ont un caractère confidentiel. * * Toute utilisation ou diffusion non autorisée est interdite. * * Si vous avez reçu cet e-mail ou si vous détenez sans en être * * le destinataire, nous vous demandons de bien vouloir nous en * * informer immédiatement. * * Cette note assure que ce message a été contrôlé et ne * * comprenait aucun virus connu à ce jour, néanmoins tout * * message électronique est susceptible d'altération. * * Nous déclinons toute responsabilité au titre de ce message * * s'il a été altéré, déformé ou falsifié. * *---------------------------------------------------------------* _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Disable spoofing ARP in kill packets Laurent Cabal (Apr 05)
- Re: Disable spoofing ARP in kill packets Jeff Nathan (Apr 17)