Alternativa EICAR para IDS / IPS

No tengo conocimiento de ningún producto oficial similar a EICAR, pero sugeriría que algo ruidoso y fácilmente perceptible como inválido, como el escaneo de un árbol de Navidad, logre lo que estás buscando.

Una IDS, si está configurada para detectar / bloquear escaneos de puertos, definitivamente debería notar algo como eso que usa un tipo de paquete que nunca debería (AFAIK) ser tráfico válido.

El mundo es tu ostra con este. Si simplemente necesita crear una alerta, use una herramienta de creación de paquetes como scapy. Probar una regla como esta en snort es fácil, sin embargo, esto puede funcionar para todos los tipos de reglas.

alert tcp any any -> any 80 (content:"GET";)

Desde aquí, simplemente inicie scapy y en el tipo de consola:

send(IP(src="X.X.X.X",dst="X.X.X.X")/TCP(dport=80)/"GET")

Recuerde que deberá agregar las direcciones IP adecuadas para garantizar que el paquete pase por su sensor. La complejidad de la regla que desea probar (desencadenante) solo está limitada por su habilidad en scapy, que es muy fácil de aprender.

Test My IDS tiene la salida del comando 'id' de Unix, cuando se ejecuta como root. Debería alarmar una IDS.