Os aconsejo utilizar Snort para linux funciona muuuuuuuuuuucho mejor que para windows, como muchas otras cosas, tanto en windows como en linux te arranca el demonio Snort al inicio. Con windows he podido hacer análisis de reconocimiento de un S.0 con hping2 y el Snort ni se enteró, quizá el Snort de Linux te venga con mas reglas definidas.
Yo tengo el Snort 2.2.0 en Debian. Si os parece me apunto a vuestra investigación, espero ser grato para vos.

Ah! y además no necesitas WinPcap, deduciblemente.

Salu2