Решенный установкой экспериментальной версии 1.3.6 после ручного добавления ее репозитория к/etc/apt/sources.list, как описано по packages.debian.org/experimental/all/deluge/download
Если ваш Linux не сделал что-то со значениями DLT_, чего никто никогда не должен делать, 239:
/*
* NetFilter LOG messages
* (payload of netlink NFNL_SUBSYS_ULOG/NFULNL_MSG_PACKET packets)
*
* Requested by Jakub Zawadzki <darkjames-ws@darkjames.pl>
*/
#define DLT_NFLOG 239
это то, что вы получаете при захвате на устройстве nflog.
Если вы указали устройство nflog (устройство, начинающееся с «nflog»), то snort 2.9.6 может не справиться с этим, и вам потребуется захват на обычном сетевом устройстве.
Если вы не указали устройство nflog, то либо snort явно открывал устройство nflog (чего не следует делать, если он не может его обработать!), Либо он использовал устройство по умолчанию ( которое не должно быть устройством nflog).
Что произойдет, если вы запустите tcpdump -D
? Если первое устройство, о котором он сообщает, является устройством nflog, либо оно (и snort) не работает с достаточными привилегиями для открытия обычных устройств, но может открывать устройства nflog, либо есть другая проблема, при которой устройство nflog находится наверху.