Snort z AcidLab to świetne połączenie pozwalające przeglądać jak probowano nas atakować.
Contents
Instalacja
Tworzymy bazę danych, użytkownika z hasłem oraz nadajemy mu uprawnienia do bazy danych
create database snort; grant all privileges on snort to snort@localhost identified by 'snort22';
Instalujemy paczkę snort-mysql
apt-get install snort-mysql
Tworzymy strukturę bazy danych:
cd /usr/share/doc/snort-mysql/contrib ? zcat create_mysql.gz | mysql -u-h -p
Uruchamiamy snorta
Wchodzimy na stronę www.localhost/acidlab/ i konfigurujemy program.
Usuwanie błędów
| snort: database: mysql_error: Duplicate entry '1-10731′ for key 1 | 1. Zatrzymaj Snort-a (w wyniku tego cid przestanie przyrastać). 2. Uruchom poniższą kwerendę: SELECT * FROM event ORDER BY cid DESC LIMIT 10; 3. Weź największą wartość cid. UPDATE sensor SET last_cid='naiwiekszy_cid' WHERE sid='id_sensora'; 5. Zrestartuj Snort-a |