Ho seguito questa guida per installare Snort, utilizzando Barnyard2, BASE, IIS e MySql.
Il mio Snort è attivo e amp; in esecuzione e vengono registrati molti eventi. Dopo aver eliminato alcuni falsi positivi, volevo testare il preprocessore arpspoof.
Così ho abilitato:
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 58:6d:8f:a0:40:7f
preprocessor arpspoof_detect_host: 192.168.1.3 d4:3d:7e:38:37:4d
E ha lanciato un attacco arp usando ettercap. Il problema è che questi eventi non compaiono nei miei winid (e nemmeno nel database mysql). Sembra essere un problema simile a questo .
Ora, Ive ha controllato la mia finestra di output del cortile e gli eventi ettercap DO si presentano lì (vedi screenshot), non sono mostrati nell'interfaccia utente di BASE. Il mio sentimento è quindi che si tratta di un problema di formattazione: il preprocessore arpspoof emette gli eventi in un formato che il cortile non può accedere a mySQL OR che è incompatibile con l'interfaccia BASE. Qualcuno ha un'idea di come risolvere questo?