There's a number of ways you can go about doing this, Pratik.<br><br>1) there are some places on the net that have packet captures of known malicious content (e.g. think malware traffic, etc.)<br>such as <a href="https://www.openpacket.org/">https://www.openpacket.org/</a><br>
<br>You would use tcpreplay to play these pcaps back from another system, or the snort system itself to try and force snort to trigger against the PCAP.<br><br><b>Tip:</b> If you want snort to trigger against PCAPs, make sure you use -k none or disable checksumming in snort.conf.<br>
<br>2) Waldo Kitty is probably thinking of scapy. Scapy is a packet crafting tool that can be used to modify and create packets of various types. more info at <a href="http://www.secdev.org/projects/scapy/">http://www.secdev.org/projects/scapy/</a><br>
<br>as far as I remember, scapy is included in backtrack.<br><br>3) There is another tool called udpflood that can be used to well, flood your network with UDP traffic, but what's interesting about this program is that you can specify a payload as well:<br>
<br><a href="http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx">http://www.mcafee.com/us/downloads/free-tools/udpflood.aspx</a><br><br>4) Lastly, there's the overkill approach: build your own virtual network and use NMAP/Metasploit/Armitage/W3AF and launch exploits against other virtual machines -- this is how I do my testing. If there's enough interest in this, I may do a write-up on how I configure my virtual lab for testing signatures. It's nothing fancy, but if the snort community thinks it would be beneficial, I would happily contribute it.<br>
<br>Hope this helps you<br><br>-Tony/da667<br><br><div class="gmail_quote">On Fri, Aug 24, 2012 at 2:26 AM, Pratik Narang <span dir="ltr"><<a href="mailto:pratik.cse.bits@...11827..." target="_blank">pratik.cse.bits@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear Snort users,<br>
<br>
A good deal of Snort rules do a 'content' check.<br>
Can I use some utility so that I may be able to craft or tamper<br>
packets just to suit them to trigger Snort rules of my choice?<br>
Essentially, I guess, I am asking if I can create sample pcaps or<br>
modify actual pcap captures which will trigger certain rules.<br>
<br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin?<br>