Snort, IDS modda çalıştırıldığında paketleri libpcap üzerinden alır. Libpcap’in birden fazla sürümü vardır. Bu sürümlerden birisi de Phil Woods tarafından geliştirilmektedir. Snort’u IDS modda daha performanslı kullanmak için Phill Woods’un geliştirdiği libpcap sürümü tercih edilmektedir.
Phil Woods tarafından eklemeler yapılmış libpcap sürümünü indirip kurmak için http://public.lanl.gov/cpw/ adresinden gerekli dosyalar indirilmelidir.
Phil Woods tarafından libpcap üzerinde yapılan geliştirmelerin ne işe yaradığını teknik olarak incelemek isteyenler http://public.lanl.gov/cpw/pcapREADME.html adresinden başlayabilir. Snort içerisinde değişik libpcap sürümleri için seçenekler vardır. Bu seçeneklerden biri de PCAP_FRAMES değerinin belirtilmesidir. Eğer PCAP_FRAMES değeri belirtilmediyse Snort aşağıdakine benzer bir uyarı verecektir.
Genellikle bu hata alınır.
Bu uyarıyı almamak için Snort başlatılırken PCAP_FRAMES=xyz gibi bir değer verilebilir. Burada tavsiye edilen değer “max” dır.
[email protected]~#PCAP_FRAMES=”max” snort -c /etc/snort/snort.conf -D -i br0
NOT: PCAP_FRAMES özelliği sadece Phill Woods tarafından geliştirilen libpcap sürümünde işe yarayacağı için klasik libpcap kullanımlarında PCAP_FRAMES değerine birşey atansa bile işe yaramayacaktır.
