您可能想要测试两种微妙不同的东西。

1. Snort 是否在运行，能够嗅探流量，根据规则对其进行测试，并在触发时提醒您？
2. Snort 是否在其当前规则集检测到 X 类型的特定入侵的意义上工作？

要测试案例 1，您需要创建一个易于触发的规则，就像您的示例一样，然后触发它。要测试案例 2，您必须尝试类型 X 的入侵并确认它已被检测到。

您似乎想使用案例 2 中的方法测试案例 1（安装已正确完成），但您不需要。使用“假”规则是 Snort 在第一方面工作的一个完全有效的测试。而且更容易。简单的测试是好的。当您只是检查警报电子邮件是否发送给正确的人时，您不想与 Metasploit 混为一谈。特别是如果你不擅长运行入侵——如果你做错了入侵，得到了错误的测试结果怎么办？如果入侵尝试使目标崩溃怎么办（这很可能在许多类型的入侵中。）

您真的只需要测试案例 2，如果您不信任您的规则集（在这种情况下 - 为什么要使用它？）或者您正在开发新规则，那么特定规则是否适用于真正的入侵尝试。

也可能值得一看 IDSWakeUp [Apr 2019: 链接已失效]。

IDSwakeup 是一组允许测试网络入侵检测系统的工具。

IDSwakeup 的主要目标是生成模仿众所周知的错误攻击，以查看 NIDS 是否检测到它们并生成误报。

与 nidsbench 一样，IDSwakeup 正在发布，希望可以将更精确的测试方法应用于网络入侵检测，这充其量仍然是一门黑魔法。

要测试您的默认规则是否有效，假设您已经使用 pullpork、oinkmaster 或其他东西将它们拉下来，您可以简单地从 IDS 看到其流量的客户端浏览到http://testmyids.com/ ，通过您的 IDS 设备内联或作为端口跨度。

http 响应包含以下文本：

uid=0(root) gid=0(root) groups=0(root)

这将匹配查找包含根的“内容”的默认 snort 规则之一。当攻击者运行id或whoami键入命令以检查他/她是否具有 root 访问权限时，这是检查权限提升是否成功的旧规则。

这是一个（旧）博客也讨论了如何测试 snort：我如何知道我的 Snort 实现是否正常工作？.

我知道这是旧的，但无论如何我都会把它扔在那里......

查看 snort -T

此开关专为所提出的问题而设计。它是内置的，您无需使用规则，您无需发送恶意流量（即使它是“受控的”），您无需发送任何流量。甚至会告诉你你的问题在哪里。