man же есть, в нем все написано :) делаешь: tcpdump -i lo -s 4500 -w cap.log ftp localhost -> get file.txt -> quit ловишь сессию, жмешь ctrl-c и читаешь snort'ом :) snort -dv -r cap.log | less усе! anonymous (05.10.01 14:06:02 MSD) Ссылка