Sort of a fox-hen house issue there, but it should at least test some parts of it.  Sort of hard problem, you'll have to mimic DCE/RPC, web traffic, etc...to trigger flowbits and prime the dcerpc preprocessor.<div><br>
</div><div>I might try to put together some pcaps that test the major functionality of Snort so you can check your configs.</div><div><br></div><div>/me adds to my extensive todo list</div><div><br></div><div>Matt<br><br>
<div class="gmail_quote">On Tue, Feb 8, 2011 at 12:12 PM, Fraser, Hugh <span dir="ltr"><<a href="mailto:hugh.fraser@...15146...">hugh.fraser@...15146...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">




<div>
<div dir="ltr" align="left"><span><font face="Arial" color="#0000ff" size="2">There's also a project, still in development, called 
Rule2Alert that imports snort rules and uses Scapy to generate the corresponding 
traffic to trigger the rules. It's at <a href="http://www.malforge.com" target="_blank">www.malforge.com</a>.</font></span></div><br>
<div lang="en-us" dir="ltr" align="left">
<hr>
<font face="Tahoma" size="2"><b>From:</b> Matt Olney [mailto:<a href="mailto:molney@...1935..." target="_blank">molney@...1935...</a>] 
<br><b>Sent:</b> Tuesday, February 08, 2011 10:54 AM<br><b>To:</b> Kevin 
Ross<br><b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br><b>Subject:</b> Re: 
[Snort-users] how to test snort rules?<br></font><br></div><div><div></div><div class="h5">
<div></div>For example, <a href="https://www.openpacket.org/capture/grab/40" target="_blank">https://www.openpacket.org/capture/grab/40</a> 
(ms06-040) should fire sid:7209:
<div><br></div>
<div>
<div>kpyke@...15155...:~/mal_pack$ stest -Kqn ms06_04.pcap</div>
<div>Alerts (2.9.0, ms06_04.pcap)</div>
<div>1:7209:10       NETBIOS DCERPC NCACN-IP-TCP srvsvc 
NetrPathCanonicalize overflow attempt     Alerts: 2</div>
<div><br></div><br>
<div class="gmail_quote">On Tue, Feb 8, 2011 at 7:38 AM, Kevin Ross <span dir="ltr"><<a href="mailto:kevross33@...14012..." target="_blank">kevross33@...14012...</a>></span> 
wrote:<br>
<blockquote class="gmail_quote" style="padding-left:1ex;margin:0px 0px 0px 0.8ex;border-left:#ccc 1px solid">You 
  could also look at <a href="http://openpacket.org" target="_blank">openpacket.org</a> and set snort to read the packet in (make 
  sure you haven't set your $HOME_NET variable and to test it so it will fire on 
  any IP though in practice you should have your $HOME_NET set and then 
  EXTERNAL_NET !HOME_NET so it considers everything else non-internal). I would 
  also advise using the emergingthreats snort rules (google them) for some free 
  rules which cover a lot of malware, command and control, known hostile IP 
  address, exploits, scanners and so on. You could also look on sites like <a href="http://exploit-db.com" target="_blank">exploit-db.com</a> for 
  vulnerabilities which are covered to test them from another 
  system.<br><br>Regards, Kevin <br><br>
  <div class="gmail_quote">
  <div>
  <div></div>
  <div>On 8 February 2011 09:29, anvin igcar <span dir="ltr"><<a href="mailto:avigcar@...11827..." target="_blank">avigcar@...11827...</a>></span> 
  wrote:<br></div></div>
  <blockquote class="gmail_quote" style="padding-left:1ex;margin:0pt 0pt 0pt 0.8ex;border-left:rgb(204,204,204) 1px solid">
    <div>
    <div></div>
    <div>Dear members<br>  I am new in snort and I installed it on 
    my Fedora 12 system. SNORT is running properly and I am using BASE to view 
    snort alerts. I want to know how to test snort rules , I want to test my 
    running snort before deploying it. <br>Is there any software which would do 
    this?<br><br>Thanks<br><br><br></div></div>
    <div>------------------------------------------------------------------------------<br>The 
    ultimate all-in-one performance toolkit: Intel(R) Parallel Studio 
    XE:<br>Pinpoint memory and threading errors before they happen.<br>Find and 
    fix more than 250 security defects in the development cycle.<br>Locate 
    bottlenecks in serial and parallel code that limit performance.<br><a href="http://p.sf.net/sfu/intel-dev2devfeb" target="_blank">http://p.sf.net/sfu/intel-dev2devfeb</a><br>_______________________________________________<br>
Snort-users 
    mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to 
    change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users 
    list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></div></blockquote></div><br><br>------------------------------------------------------------------------------<br>
The 
  ultimate all-in-one performance toolkit: Intel(R) Parallel Studio 
  XE:<br>Pinpoint memory and threading errors before they happen.<br>Find and 
  fix more than 250 security defects in the development cycle.<br>Locate 
  bottlenecks in serial and parallel code that limit performance.<br><a href="http://p.sf.net/sfu/intel-dev2devfeb" target="_blank">http://p.sf.net/sfu/intel-dev2devfeb</a><br>_______________________________________________<br>
Snort-users 
  mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go 
  to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users 
  list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br></div></div></div></div>
</blockquote></div><br></div>