Snort: Arpspoof de eventos del preprocesador no aparecen en la IU BASE

0

He seguido esta guía para instalar Snort, utilizando Barnyard2, BASE, IIS y MySql.

Mi Snort está arriba & En ejecución y se están registrando un montón de eventos. Después de eliminar algunos falsos positivos, quería probar el arpspoof del preprocesador.

Así que habilité:

preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 58:6d:8f:a0:40:7f
preprocessor arpspoof_detect_host: 192.168.1.3 d4:3d:7e:38:37:4d

Y corrió un ataque de arp usando ettercap. El problema es que estos eventos no se muestran en mi winids (y tampoco en la base de datos mysql). Parece ser un problema similar a éste .

Ahora, he revisado la ventana de salida de mi corral y los eventos ettercap se muestran allí (ver captura de pantalla), simplemente no se muestran en la interfaz de usuario básica. Por lo tanto, creo que es un problema de formato: el arpspoof del preprocesador genera los eventos en un formato que el corral no puede registrar en mySQL O que es incompatible con la interfaz BASE. ¿Alguien tiene una idea de cómo resolver esto?

    
pregunta Michael 21.04.2015 - 06:43
fuente

1 respuesta

0

Después de un poco de depuración, he encontrado que el problema se debe al código de almacenamiento en caché BASE. Busca (entre otros) '(spp_%' en lugar de 'spp_%', que es el inicio correcto del nombre de la firma del preprocesador arpspoof. Así que cambié la parte de la consulta que se creó a partir de la línea 234 en base_cache.inc. php:

  /* Preprocessor events only */
  # The original "(sig_name LIKE '(spp_%')" is too limited. Cf.
  # /usr/local/src/snort-2.8.3.1_unpatched/etc/gen-msg.map
  # /usr/local/src/snort-2.8.3.1_unpatched/src/generators.h
  # Currently I have included all the names that I have found in 
  # these files.
  # Note: Do always add '%' in LIKE-statements. Otherwise the entries
  #       won't match.
  if ( $db->baseGetDBversion() >= 100 ) {
    $schema_specific[3] = " ( " . 
                          "(sig_name LIKE '(spp_%') OR " . 
                          "(sig_name LIKE '(spo_%') OR " . 
                          "(sig_name LIKE '(snort_decoder)%') OR " .
                          "(sig_name LIKE '(http_decode)%') OR " . 
                          "(sig_name LIKE '(http_inspect)%') OR " . 
                          "(sig_name LIKE '(portscan)%') OR " . 
                          "(sig_name LIKE '(flow-portscan)%') OR " . 
                          "(sig_name LIKE '(frag3)%') OR " . 
                          "(sig_name LIKE '(smtp)%') OR " .
                          "(sig_name LIKE '(ftp_pp)%') OR " . 
                          "(sig_name LIKE '(telnet_pp)%') OR " .
                          "(sig_name LIKE '(ssh)%') OR " .
                          "(sig_name LIKE '(stream5)%') OR " . 
                          "(sig_name LIKE '(dcerpc)%') OR " .
                          "(sig_name LIKE '(dns)%') OR " . 
                          "(sig_name LIKE '(ppm)%') OR " .
                          "(sig_name LIKE 'spp_%') OR " . 
                          "(sig_name LIKE 'spo_%') OR " . 
                          "(sig_name LIKE 'snort_decoder%') OR " .
                          "(sig_name LIKE 'http_decode%') OR " . 
                          "(sig_name LIKE 'http_inspect%') OR " . 
                          "(sig_name LIKE 'portscan%') OR " . 
                          "(sig_name LIKE 'flow-portscan%') OR " . 
                          "(sig_name LIKE 'frag3%') OR " . 
                          "(sig_name LIKE 'smtp%') OR " .
                          "(sig_name LIKE 'ftp_pp%') OR " . 
                          "(sig_name LIKE 'telnet_pp%') OR " .
                          "(sig_name LIKE 'ssh%') OR " .
                          "(sig_name LIKE 'stream5%') OR " . 
                          "(sig_name LIKE 'dcerpc%') OR " .
                          "(sig_name LIKE 'dns%') OR " . 
                          "(sig_name LIKE 'ppm%') " .
                          " ) ";    

Y todos los eventos se registran ahora.

    
respondido por el Michael 25.04.2015 - 10:12
fuente

Lea otras preguntas en las etiquetas