Snort: gli eventi del preprocessore Arpspoof non vengono visualizzati nell'interfaccia utente di BASE

Naviga le tue risposte
0

Ho seguito questa guida per installare Snort, utilizzando Barnyard2, BASE, IIS e MySql.

Il mio Snort è attivo e amp; in esecuzione e vengono registrati molti eventi. Dopo aver eliminato alcuni falsi positivi, volevo testare il preprocessore arpspoof.

Così ho abilitato: 

preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 58:6d:8f:a0:40:7f
preprocessor arpspoof_detect_host: 192.168.1.3 d4:3d:7e:38:37:4d

E ha lanciato un attacco arp usando ettercap. Il problema è che questi eventi non compaiono nei miei winid (e nemmeno nel database mysql). Sembra essere un problema simile a questo .

Ora, Ive ha controllato la mia finestra di output del cortile e gli eventi ettercap DO si presentano lì (vedi screenshot), non sono mostrati nell'interfaccia utente di BASE. Il mio sentimento è quindi che si tratta di un problema di formattazione: il preprocessore arpspoof emette gli eventi in un formato che il cortile non può accedere a mySQL OR che è incompatibile con l'interfaccia BASE. Qualcuno ha un'idea di come risolvere questo?

    
posta Michael 21.04.2015 - 06:43
fonte

1 risposta

0

Dopo un po 'di debug, ho scoperto che il problema è dovuto al codice di cache BASE. Sembra (tra gli altri) per '(spp_%' invece di 'spp_%', che è l'inizio corretto del nome della firma del preprocessore arpspoof. Quindi ho cambiato la parte della query creata dalla riga 234 in base_cache.inc. php: 

  /* Preprocessor events only */
  # The original "(sig_name LIKE '(spp_%')" is too limited. Cf.
  # /usr/local/src/snort-2.8.3.1_unpatched/etc/gen-msg.map
  # /usr/local/src/snort-2.8.3.1_unpatched/src/generators.h
  # Currently I have included all the names that I have found in 
  # these files.
  # Note: Do always add '%' in LIKE-statements. Otherwise the entries
  #       won't match.
  if ( $db->baseGetDBversion() >= 100 ) {
    $schema_specific[3] = " ( " . 
                          "(sig_name LIKE '(spp_%') OR " . 
                          "(sig_name LIKE '(spo_%') OR " . 
                          "(sig_name LIKE '(snort_decoder)%') OR " .
                          "(sig_name LIKE '(http_decode)%') OR " . 
                          "(sig_name LIKE '(http_inspect)%') OR " . 
                          "(sig_name LIKE '(portscan)%') OR " . 
                          "(sig_name LIKE '(flow-portscan)%') OR " . 
                          "(sig_name LIKE '(frag3)%') OR " . 
                          "(sig_name LIKE '(smtp)%') OR " .
                          "(sig_name LIKE '(ftp_pp)%') OR " . 
                          "(sig_name LIKE '(telnet_pp)%') OR " .
                          "(sig_name LIKE '(ssh)%') OR " .
                          "(sig_name LIKE '(stream5)%') OR " . 
                          "(sig_name LIKE '(dcerpc)%') OR " .
                          "(sig_name LIKE '(dns)%') OR " . 
                          "(sig_name LIKE '(ppm)%') OR " .
                          "(sig_name LIKE 'spp_%') OR " . 
                          "(sig_name LIKE 'spo_%') OR " . 
                          "(sig_name LIKE 'snort_decoder%') OR " .
                          "(sig_name LIKE 'http_decode%') OR " . 
                          "(sig_name LIKE 'http_inspect%') OR " . 
                          "(sig_name LIKE 'portscan%') OR " . 
                          "(sig_name LIKE 'flow-portscan%') OR " . 
                          "(sig_name LIKE 'frag3%') OR " . 
                          "(sig_name LIKE 'smtp%') OR " .
                          "(sig_name LIKE 'ftp_pp%') OR " . 
                          "(sig_name LIKE 'telnet_pp%') OR " .
                          "(sig_name LIKE 'ssh%') OR " .
                          "(sig_name LIKE 'stream5%') OR " . 
                          "(sig_name LIKE 'dcerpc%') OR " .
                          "(sig_name LIKE 'dns%') OR " . 
                          "(sig_name LIKE 'ppm%') " .
                          " ) ";

E tutti gli eventi sono registrati ora.

    
risposta data 25.04.2015 - 10:12
fonte

Leggi altre domande sui tag

Utilizzo dell'autenticazione di base HTTP su un sito Web personale La mancanza di un indirizzo IP nel campo AN di un certificato SSL è una vulnerabilità?