Я использую листовки, чтобы ежедневно получать мои правила. Я хочу проверить эти правила и убедиться, что все работает. Есть ли что-нибудь, что обновляется и работает? Я знаю, что rules2alert существует, но он очень незавершен и не был затронут через некоторое время. Когда я запускаю его на своих правилах, я получаю много ошибок.Тестирование правил Snort
2
A
ответ
0
Было бы интересно попытаться использовать скрипт Scapy для автоматического генерации трафика, который будет отключать правила. Тем не менее, существует служба, с помощью которой вы можете создать несколько предупреждений IDS, используя только инструменты командной строки, такие как wget
и curl
или ваш браузер - testmyids.com (blog post).
Просто запустите wget testmyids.com
, чтобы отключить подпись «GPL ATTACK_RESPONSE id check received root». Это самая простая проверка. Веб-сайт содержит сведения о более сложных проверках файлового формата или исполняемых файлов, подробно описанных в ссылке.
Смежные вопросы
- 1. Загрузка правил snort
- 2. Snort правил или фырканье местных правил?
- 3. Snort ищет каталог неправильных правил
- 4. Snort не может найти файл правил
- 5. Как сделать встроенные комментарии в файле правил snort?
- 6. Новый набор данных для создания правил для snort IDS
- 7. Единичное тестирование пользовательских правил FxCop
- 8. Модульное тестирование пользовательских правил StyleCop
- 9. правила Snort Regex соответствие
- 10. Редактирование конфигурации Snort
- 11. Задание адреса правила в файле предупреждений Snort
- 12. Интерпретация журнала snort
- 13. snort daq модуль программирования
- 14. Флаги Snort TCP
- 15. Формат файла журнала Snort
- 16. Запуск Snort as Service
- 17. Snort не определяет правила, кроме ping
- 18. Перенаправить пользователя, который пытается просмотреть вредоносный URL-адрес или тот, который отсутствует в списке правил snort?
- 19. Snort правило не предупредил войти
- 20. Snort Output - распознавание типа трафика
- 21. Выполнить скрипт на оповещении Snort
- 22. Синхронизация журналов Snort с PyParsing
- 23. Прочтите журнал предупреждений из snort
- 24. Как запустить программное обеспечение Snort?
- 25. Snort Inline с 1 NIC
- 26. , используя Snort IDS с Webcrawler
- 27. Тестирование правил кодирования и именования кода C/C++
- 28. Раздел правил правил - настраиваемый модуль
- 29. Язык правил правил подачи ADFS
- 30. PulledPork не может найти Snort двоичный
У вас есть определенные правила в виду, которые вы хотите проверить? (т. е. конкретные подписи) Или вы хотите проверить охват набора правил? –
@ EriksDobelis хорошо, я бы предпочел протестировать приоритетные предупреждения уровня 1. Но идея заключалась бы в том, чтобы проверить все правила. – dez
rules2alert, кажется, самый близкий ответ. Я не знаю ничего лучшего. Вам просто нужно исправить ошибки :) –