He seguido esta guía para instalar Snort, utilizando Barnyard2, BASE, IIS y MySql.
Mi Snort está arriba & En ejecución y se están registrando un montón de eventos. Después de eliminar algunos falsos positivos, quería probar el arpspoof del preprocesador.
Así que habilité:
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.1.1 58:6d:8f:a0:40:7f
preprocessor arpspoof_detect_host: 192.168.1.3 d4:3d:7e:38:37:4d
Y corrió un ataque de arp usando ettercap. El problema es que estos eventos no se muestran en mi winids (y tampoco en la base de datos mysql). Parece ser un problema similar a éste .
Ahora, he revisado la ventana de salida de mi corral y los eventos ettercap se muestran allí (ver captura de pantalla), simplemente no se muestran en la interfaz de usuario básica. Por lo tanto, creo que es un problema de formato: el arpspoof del preprocesador genera los eventos en un formato que el corral no puede registrar en mySQL O que es incompatible con la interfaz BASE. ¿Alguien tiene una idea de cómo resolver esto?