Фырканье, не обнаруживающее исходящий трафик
По умолчанию пустые пароли не позволяются для сетевого входа в систему. Для изменения этого измените соответствующую установку в политике Локальной защиты обрыв MMC.
Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Limit local account use of blank passwords to console logon only
Посмотрите здесь для деталей.
После 6 мучительных часов пробовать все, я наконец исправил это!
Просто нужно было добавить -k none в командную строку.
По какой-то причине , на моем настольном компьютере он работает без параметра -k none . Если кто-то хочет объяснить, что происходит, это будет очень полезно. Спасибо.
It sounds like checksum offloading is causing your issue.
Checksum offloading allows the NIC to compute the TCP checksum, saving the CPU from having to perform the computation. The NIC performs each calculation just before sending off a packet, and unfortunately Snort can capture a local packet before the calculation. As a result, Snort's internal checksum verification sees a checksum of 0 (since it hasn't been done yet), interprets it as a bad checksum, and doesn't further analyze the packet.
This is why adding the -k none option to snort.exe fixes it; it disables Snort's internal checksum verification, thus letting the packets be analyzed.
Just so you are aware, it is possible to check for and disable checksum offloading, but since there is some performance risk to that, I think that the -k solution is better.
Иногда snaplen ( -P ) также может быть проблемой. Увеличьте значение (по умолчанию это размер MTU), и вы получите намного больше данных.