Я использую pullpork, чтобы ежедневно получать свои правила. Я хочу иметь возможность протестировать эти правила и убедиться, что все работает. Есть ли что-нибудь актуальное и работающее? Я знаю, что rules2alert существует, но он сильно недоработан и давно не трогался. Когда я запускаю его по своим правилам pullpork, я получаю много ошибок.
Тестирование правил Snort
comment
У вас есть какие-то конкретные правила, которые вы хотите проверить? (т.е. конкретные подписи) Или вы хотите проверить охват набора правил?
- person Eriks Dobelis schedule 20.07.2015
comment
@EriksDobelis, я бы предпочел протестировать оповещения о приоритете 1 уровня. Но идея заключалась бы в том, чтобы иметь возможность проверить все правила.
- person dez schedule 21.07.2015
comment
rules2alert кажется наиболее близким ответом. Я не знаю ничего более подходящего. Вам просто нужно исправить ошибки :)
- person Eriks Dobelis schedule 21.07.2015
comment
@EriksDobelis Я пытаюсь. У меня также нет опыта работы со scapy или манипуляциями с пакетами, поэтому это происходит довольно медленно. ~_~
- person dez schedule 21.07.2015
comment
Если вы используете версию python3 и у вас есть какая-то конкретная проблема, не стесняйтесь опубликовать ее на github.com/phaethon/scapy
- person Eriks Dobelis schedule 21.07.2015
Ответы (1)
Было бы интересно попробовать использовать скрипт со Scapy для автоматической генерации трафика, который будет отключать правила. Однако существует служба, с помощью которой вы можете генерировать ряд предупреждений IDS, используя только инструменты командной строки, такие как wget и curl, или ваш браузер — testmyids.com (запись в блоге).
Просто запустите wget testmyids.com, чтобы отключить сигнатуру «Проверка идентификатора GPL ATTACK_RESPONSE вернула root». Это самая основная проверка. Веб-сайт содержит подробную информацию о более сложных проверках формата файла или исполняемых файлов, подробно описанных в ссылке.
person
RyPeck
schedule
20.07.2015
