EICAR alternativa per IDS / IPS

Question

EICAR alternativa per IDS / IPS

#1 da (4 voti)
#2 da (3 voti)
#3 da (2 voti)

3

C'è un modo per attivare gli allarmi in un sistema di rilevamento delle intrusioni con qualcosa di simile al virus di test EICAR? Forse qualche pacchetto speciale che è innocuo per l'ambiente, ma si innescherà IDS?

Lo sto chiedendo nel contesto di un dispositivo rogue SE che sta scaricando senario, in cui il dispositivo utilizza diversi protocolli di tunneling per uscire dalla rete. Se viene stabilito un tunnel, invia questo pacchetto di prova per fornire alla infrastruttura di sicurezza un'altra possibilità di bloccare la connessione.

social-engineering ids

posta David 18.03.2014 - 09:36

fonte

3 risposte

4

Il mondo è la tua ostrica con questo. Se hai semplicemente bisogno di creare un avviso, usa uno strumento di creazione dei pacchetti come lo scapy. Provare una regola come questa in snort è facile, tuttavia, questo può funzionare per tutti i tipi di regole.

alert tcp any any -> any 80 (content:"GET";)

Da qui, fai fuoco su scapy e sul tipo di console:

send(IP(src="X.X.X.X",dst="X.X.X.X")/TCP(dport=80)/"GET")

Ricordare che è necessario aggiungere gli indirizzi IP appropriati per garantire che il pacchetto passi dal sensore. La complessità della regola che vuoi testare (innescare) è limitata solo dalla tua abilità in scapy, che è super facile da imparare.

risposta data 18.03.2014 - 12:48

fonte

2

Test My IDS ha l'output del comando 'id' di Unix, quando eseguito come root. Dovrebbe allarmare un IDS.

risposta data 18.03.2014 - 19:14

fonte

Leggi altre domande sui tag social-engineering ids

Posso ascoltare il traffico di un IP remoto usando Wireshark? (Uomo nel mezzo) È possibile creare una "firma" per un pezzo di JavaScript

score 3 · Accepted Answer

Non sono a conoscenza di prodotti ufficiali simili a EICAR ma suggerirei che qualcosa di rumoroso e facilmente visibile come non valido, ad esempio una scansione dell'albero di Natale, dovrebbe ottenere ciò che stai cercando.

Un IDS se configurato per notare / bloccare le scansioni delle porte dovrebbe sicuramente notare qualcosa del genere che usa un tipo di pacchetto che non dovrebbe mai (AFAIK) essere traffico valido.