测试Snort安装

Question

安装后最简单的测试Snort的方法是什么？是否会使用并编写一条捕捉所有流量工作的规则？

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

也就是说，使用自己的规则。

我知道的一种测试Snort的方法是使用一些程序，比如Nmap、Metasploit和其他一些东西，但是如何才能做到呢？

Answer 1

有两个微妙的不同的东西，你可能要测试。

1. Snort在运行的意义上是否有效，它能够嗅出交易，根据规则进行测试，并在触发时提醒您？
2. Snort是否工作在它当前的规则集检测到X类型的特定入侵？

为了测试用例1，您制定了一条易于触发的规则，就像您的示例一样，并启动它。要测试用例2，您必须尝试X类型的入侵并确认检测到它。

您似乎希望使用案例2中的方法来测试用例1(安装已经正确完成)，但是您不需要这样做。使用“假”规则是Snort在第一个意义上起作用的一个完全有效的测试。而且更容易。简单的测试是好的。当你只是检查提醒邮件给正确的人时，你不会想和Metasploit在一起。尤其是如果您不擅长运行入侵-如果您做错了入侵，并得到一个错误的测试结果？如果入侵尝试使目标崩溃(这在许多类型的入侵中都很有可能)，该怎么办？

如果您不信任您的规则集(在这种情况下--为什么要使用它)，那么您只需要测试一个特定规则对真正的入侵尝试是否有效。或者你在制定新的规则。

Answer 2

同样值得一看的是IDSWakeUp 2019年年4月:链接死了。

IDSwakeup是一组允许测试网络入侵检测系统的工具。IDSwakeup的主要目标是生成模仿著名攻击的假攻击，以查看NIDS是否检测到它们并生成假阳性。和nidsbench一样，IDSwakeup也被出版了，希望一种更精确的测试方法可以应用于网络入侵检测，这在最好的情况下仍然是一门黑色的艺术。

Answer 3

为了测试您的默认规则是否有效，假设您已经将它们拉下来，然后使用pulledpork、oinkmaster或其他东西--否则，您可以从一个客户端浏览到http://testmyids.com/，该客户端的流量将被IDS看到，通过您的IDS设备内联或作为端口跨度浏览。

http响应包含以下文本：

uid=0(root) gid=0(root) groups=0(root)

它将匹配查找包含root的“内容”的默认snort规则之一。当攻击者运行id或whoami类型命令以检查他/她是否有根访问权限时，这是一条检查权限提升是否成功的老规则。

这里有一个(旧的)博客也讨论了如何测试snort：我如何知道我的Snort实现是否有效？。