pytbull-入侵检测/预防系统(IDS / IPS)测试框架

黑白之道

pytbull是Snort，Suricata和任何生成警报文件的IDS / IPS的入侵检测/预防系统（IDS / IPS）测试框架。它可用于测试IDS / IPS的检测和阻止功能，比较IDS / IPS，比较配置修改和检查/验证配置。

该框架随附了大约300个测试，分为11个测试模块：

• badTraffic：不符合RFC的数据包被发送到服务器以测试数据包的处理方式。
• bruteForce：测试服务器跟踪暴力攻击（例如FTP）的能力。在Snort和Suricata上使用自定义规则。
• clientSideAttacks：此模块使用反向shell为服务器提供下载远程恶意文件的说明。此模块测试IDS / IPS防止客户端攻击的能力。
• denialOfService：测试IDS / IPS防止DoS尝试的能力
• evasionTechniques：各种规避技术用于检查IDS / IPS是否可以检测到它们。
• fragmentedPackets：将各种碎片有效负载发送到服务器，以测试其重构和检测攻击的能力。
• ipReputation：测试服务器检测来自/到低信誉服务器的流量的能力。
• normalUsage：与正常使用相对应的有效负载。
• pcapReplay：允许重播pcap文件
• shellCodes：在端口21 / tcp上向服务器发送各种shellcode，以测试服务器检测/拒绝shellcode的能力。
• testRules：基本规则测试。这些攻击应该由IDS / IPS附带的规则集检测到。

它易于配置，可以在未来集成新模块。

基本上有5种类型的测试：

• socket：在给定端口上打开一个套接字，并将有效负载发送到该端口上的远程目标。
• command：使用subprocess.call（）python函数将命令发送到远程目标。
• scapy：根据Scapy语法发送特制的有效负载。
• 客户端攻击：在远程目标上使用反向shell并向其发送命令以使其由服务器处理（通常是wget命令）。
• pcap重放：允许基于pcap文件重放流量。

Pytbull的主界面基于命令行（CLI）。为避免一长串参数，大多数选项都在配置文件中提供。

在测试活动期间，所有测试都会实时显示，并且可以使用调试选项显示详细结果。

注意：测试基于非常全面的语法，使人们可以编写自己的测试。

处理完所有测试后，即可获得基于HTML的报告。

Pytbull可轻松适应您的环境，无论您的IDS / IPS（Snort，Suricata等）和您的架构（独立模式，网关模式）。

独立模式：这是默认模式。它可以测试连接到交换机的IDS，就像网络上的标准计算机一样（只使用一个网络接口）。

网关模式：此模式通常用于IPS，必须在IDS上使用两个网络接口时使用。

注意：您的防病毒程序可能会将pytbull检测为恶意软件，因为pytbull包含恶意负载（用于测试目的）。

下载地址:https://sourceforge.net/projects/pytbull/files/