Я использую листовки, чтобы ежедневно получать мои правила. Я хочу проверить эти правила и убедиться, что все работает. Есть ли что-нибудь, что обновляется и работает? Я знаю, что rules2alert существует, но он очень незавершен и не был затронут через некоторое время. Когда я запускаю его на своих правилах, я получаю много ошибок.Тестирование правил Snort
2
A
ответ
0
Было бы интересно попытаться использовать скрипт Scapy для автоматического генерации трафика, который будет отключать правила. Тем не менее, существует служба, с помощью которой вы можете создать несколько предупреждений IDS, используя только инструменты командной строки, такие как wget
и curl
или ваш браузер - testmyids.com (blog post).
Просто запустите wget testmyids.com
, чтобы отключить подпись «GPL ATTACK_RESPONSE id check received root». Это самая простая проверка. Веб-сайт содержит сведения о более сложных проверках файлового формата или исполняемых файлов, подробно описанных в ссылке.
У вас есть определенные правила в виду, которые вы хотите проверить? (т. е. конкретные подписи) Или вы хотите проверить охват набора правил? –
@ EriksDobelis хорошо, я бы предпочел протестировать приоритетные предупреждения уровня 1. Но идея заключалась бы в том, чтобы проверить все правила. – dez
rules2alert, кажется, самый близкий ответ. Я не знаю ничего лучшего. Вам просто нужно исправить ошибки :) –