上周帮一家设计公司装完Snort,第二天老板就打电话来问:"系统真能拦住黑客?怎么知道它不是在那儿干瞪眼?"——这话问得实在。IDS不像防火墙,开了就能看到流量被挡,它不拦截、只告警,部署完不测,等于把监控摄像头对着墙装。
先从内网“捅自己一刀”
别一上来就等外网攻击,先用内网机器发几条典型攻击载荷。比如用curl模拟SQL注入:
curl "http://192.168.1.100/login.php?user=admin' OR '1'='1"注意:目标IP填你办公网里一台测试Web服务器,别直接扫生产库。如果IDS没响,要么规则没开,要么HTTP解析模块没加载——翻日志看/var/log/snort/alert有没有新记录。
用Nmap绕过基础探测
很多同事觉得“Nmap扫描太明显”,但恰恰是它最能验基础能力。在员工电脑上跑:
nmap -sS -p 22,80,443 192.168.1.10如果IDS对SYN扫描零反应,检查是否启用了stream5预处理器和flowbits规则集。有些厂商默认关了TCP状态追踪,纯靠签名匹配,这种配置连端口扫描都抓不住。
伪造日志骗过规则引擎
拿公司OA系统举例:登录失败5次触发账号锁定,那故意输错密码再看IDS是否告警。但更关键的是反向操作——改本地hosts文件,把oa.company.com指向内网一台空闲Linux机,然后用Burp发带../../../../etc/passwd的请求。真环境不敢这么干,测试网段随便造。
混点“正常噪音”再找异常
光测攻击不行,还得塞正常流量。用iperf灌入持续HTTP流(比如员工刷钉钉、传蓝湖设计稿),同时穿插一条msfvenom生成的shellcode请求。这时候盯住IDS控制台的告警频率:如果每分钟弹100条“可疑User-Agent”,但漏掉真正的payload,说明阈值设得太松,或者正则规则写死了Chrome版本号。
最后一步:拔网线看反应
这是办公室最容易忽略的实操。把IDS探针的网线拔掉30秒再插回,观察两件事:一是管理界面是否立刻标红“离线”,二是重新上线后,能否补全断连期间的告警(部分设备支持缓存)。去年有家律所就因没测这步,等真被横向渗透时才发现IDS已静默掉线两天。
测试不是为交差,是让系统真正长进你的网络肌理里。每次升级规则库、换交换机端口、甚至给打印机固件打补丁后,都值得重跑一遍这五步——毕竟办公网里,一个没被发现的告警,可能比一次真实攻击更危险。