Сетевые уязвимости (CVE)
Плагин «Сетевые уязвимости (CVE)» воспроизводит сетевые сценарии из библиотеки PTI. Он используется для проверки IDS/IPS, NGFW, WAF, NDR и других средств обнаружения. Сценарии запускайте только в закрытом тестовом контуре.
Перед настройкой задачи загрузите или обновите базу в Библиотека → Сетевые уязвимости (PTI) (или через Настройки → Пакет сетевых уязвимостей (PTI)) и синхронизируйте агенты. В карточках CVE отображаются CVE ID, продукт, версия, протокол, CVSS, описание и варианты воспроизведения.

Рис. 18 — Режим атаки / FP и выбор CVE в конструкторе
Табл. 187 – Параметры CVE Replay в конструкторе
| Название | Описание | Значение |
|---|---|---|
| Режим эмуляции атак / Режим проверки ложных срабатываний | attack — эксплойт-трафик; false_positive — легитимный трафик, похожий на атаку (проверка FP IPS/IDS) | Смена режима сбрасывает выбранные CVE |
| Первый сценарий / Все сценарии | Охват: один поддерживаемый сценарий на CVE или все сценарии каждой CVE | Radio |
| Выбрать сетевые уязвимости | Модалка выбора из библиотеки PTI | Показывает «Выбрано CVE» и «Сценариев к запуску» |
| Таймаут шага | Разрыв соединения, если между шагами нет прогресса; классифицируется как blocked_timeout (silent-drop IPS). 0 — без лимита | 0–300 сек., по умолчанию 30 |
| Параметры сессии / TLS / Длительность / Туннели | Общие stateful-вкладки | Как у других L7-плагинов |
Плагин доступен как клиент и как сервер (two-arm). Клиент воспроизводит exploit/FP-обмен; сервер отвечает по сценарию на стороне Пересвет-СТ.
Дашборды CVE (режим × охват)
Вкладка Метрики показывает только дашборд, соответствующий комбинации параметров в задаче:
| Дашборд в UI | Ключ | Условие |
|---|---|---|
| Сетевые уязвимости (CVE) | cve_replay | Атака + первый сценарий |
| Сетевые уязвимости (CVE, все сценарии) | cve_replay_all | Атака + все сценарии |
| Сетевые уязвимости (CVE, режим FP) | cve_replay_fp | Ложные срабатывания + первый сценарий |
| Сетевые уязвимости (CVE, режим FP, все сценарии) | cve_replay_fp_all | Ложные срабатывания + все сценарии |
Как читать результат
Успешное завершение сценария в метриках означает, что тестовый обмен был воспроизведён до конца. Для средств защиты «успех защиты» обычно соответствует блокировке (RST, silent-drop/blocked_timeout и т.п.). Итоговую оценку делайте по событиям DUT, логам Пересвет-СТ и выбранному CVE-дашборду — не по одному факту «сценарий дошёл до конца».
В helper таймаута шага явно указан исход blocked_timeout. Остальные исходы (completed / blocked_rst / …) смотрите на дашборде и в событиях задачи.