Ci sono due cose sottilmente diverse che potresti voler testare.
- Snort funziona nel senso che è in esecuzione, in grado di sniffare trafic, testarlo contro le regole e avvisarti quando ne viene attivato uno?
- Snort funziona nel senso che il set di regole corrente rileva una specifica intrusione di tipo X?
Per testare il caso 1, fai una regola facile da sparare, come il tuo esempio, e sparagli.
Per testare il caso 2, devi tentare un'intrusione di tipo X e confermare che viene rilevato.
Sembra che voglia testare il caso 1 (che l'installazione sia stata eseguita correttamente) usando il metodo nel caso 2, ma non è necessario. L'utilizzo di una regola "falso" è un test perfettamente valido che Snort sta lavorando nel primo senso. Ed è più facile. I test facili sono buoni. Non ti va di dilungarti con Metasploit quando stai solo controllando che le email di avviso vadano alla persona giusta. Soprattutto se non sei abile nell'eseguire le intrusioni - cosa succede se fai un'intrusione sbagliata e ottieni un risultato falso? Cosa succede se il tentativo di intrusione arresta il bersaglio (che è molto probabile su molti tipi di intrusione).
Hai solo bisogno di testare il caso 2, che una regola specifica funziona contro un tentativo di intrusione reale, se non ti fidi del tuo set di regole (nel qual caso - perché lo stai usando?) o se stai sviluppando nuove regole.