¿Cuál es la forma más fácil de probar Snort IDS después de la instalación? ¿Usar y escribir una regla que capture todo el tráfico funcionará?
alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )
Es decir, usando sus propias reglas.
Una forma que conozco para probar Snort es mediante el uso de algunos programas como Nmap , Metasploit y otra cosa, pero ¿cómo se puede hacer?
Es posible que desee probar dos cosas sutilmente diferentes.
Para probar el caso 1, establece una regla que es fácil de activar, como su ejemplo, y la dispara. Para probar el caso 2, debe intentar una intrusión de tipo X y confirmar que se detectó.
Parece que desea probar el caso 1 (que la instalación se ha realizado correctamente) utilizando el método en el caso 2, pero no es necesario. Usar una regla "falsa" es una prueba perfectamente válida de que Snort está funcionando en el primer sentido. Y es más fácil. Las pruebas fáciles son buenas. No querrás perder el tiempo con Metasploit cuando solo estás comprobando que los correos electrónicos de alerta van a la persona correcta. Especialmente si no eres experto en ejecutar intrusiones, ¿qué sucede si haces la intrusión mal y obtienes un resultado de prueba falso? ¿Qué sucede si el intento de intrusión bloquea el objetivo (lo cual es muy probable en muchos tipos de intrusión)?
Realmente solo necesita probar el caso 2, de que una regla específica funciona contra un intento de intrusión real, si no confía en su conjunto de reglas (en qué caso, ¿por qué lo usa?) o si está desarrollando nuevas reglas.
También puede valer la pena echar un vistazo a IDSWakeUp .
IDSwakeup es una colección de herramientas que permite probar sistemas de detección de intrusos en la red.
El objetivo principal de IDSwakeup es generar ataques falsos que imiten a los más conocidos, para ver si el NIDS los detecta y genera falsos positivos.
Al igual que nidsbench, IDSwakeup se publica con la esperanza de que se aplique una metodología de prueba más precisa a la detección de intrusos en la red, que es todavía un arte negro en el mejor de los casos.
Para probar que sus reglas predeterminadas están funcionando, asumiendo que las ha eliminado con pullpork, oinkmaster o cualquier otra cosa, simplemente puede navegar a enlace de un cliente cuyo tráfico será visto por el IDS, a través de su dispositivo IDS en línea o como un tramo de puerto.
La respuesta http contiene el siguiente texto:
uid=0(root) gid=0(root) groups=0(root)
que coincidirá con una de las reglas predeterminadas de snort que busca "contenido" que contiene root. Esta es una regla antigua para verificar que la escalada de privilegios sea exitosa cuando un atacante ejecuta los comandos de tipo id o whoami para verificar que él / ella tenga acceso de root.
Aquí hay un (antiguo) blog que también analiza cómo probar el snort: ¿Cómo puedo saber si mi implementación de Snort está funcionando? .
Sé que esto es viejo, pero de todos modos lo tiraré por ahí ...
Echa un vistazo a snort -T
Este interruptor está diseñado para exactamente la pregunta que se hizo. Está integrado, no necesita cumplir con las reglas, no necesita enviar tráfico malicioso (aunque esté "controlado"), no necesita enviar ningún . Incluso te dirá dónde están tus problemas.