Перейти к основному содержимому

Сетевые уязвимости (CVE)

Плагин «Сетевые уязвимости (CVE)» воспроизводит сетевые сценарии из библиотеки PTI. Он используется для проверки IDS/IPS, NGFW, WAF, NDR и других средств обнаружения. Сценарии запускайте только в закрытом тестовом контуре.

Перед настройкой задачи загрузите или обновите базу в Библиотека → Сетевые уязвимости (PTI) (или через Настройки → Пакет сетевых уязвимостей (PTI)) и синхронизируйте агенты. В карточках CVE отображаются CVE ID, продукт, версия, протокол, CVSS, описание и варианты воспроизведения.

Рис. 18 — Параметры CVE Replay

Рис. 18 — Режим атаки / FP и выбор CVE в конструкторе

Табл. 187 – Параметры CVE Replay в конструкторе

НазваниеОписаниеЗначение
Режим эмуляции атак / Режим проверки ложных срабатыванийattack — эксплойт-трафик; false_positive — легитимный трафик, похожий на атаку (проверка FP IPS/IDS)Смена режима сбрасывает выбранные CVE
Первый сценарий / Все сценарииОхват: один поддерживаемый сценарий на CVE или все сценарии каждой CVERadio
Выбрать сетевые уязвимостиМодалка выбора из библиотеки PTIПоказывает «Выбрано CVE» и «Сценариев к запуску»
Таймаут шагаРазрыв соединения, если между шагами нет прогресса; классифицируется как blocked_timeout (silent-drop IPS). 0 — без лимита0–300 сек., по умолчанию 30
Параметры сессии / TLS / Длительность / ТуннелиОбщие stateful-вкладкиКак у других L7-плагинов

Плагин доступен как клиент и как сервер (two-arm). Клиент воспроизводит exploit/FP-обмен; сервер отвечает по сценарию на стороне Пересвет-СТ.

Дашборды CVE (режим × охват)

Вкладка Метрики показывает только дашборд, соответствующий комбинации параметров в задаче:

Дашборд в UIКлючУсловие
Сетевые уязвимости (CVE)cve_replayАтака + первый сценарий
Сетевые уязвимости (CVE, все сценарии)cve_replay_allАтака + все сценарии
Сетевые уязвимости (CVE, режим FP)cve_replay_fpЛожные срабатывания + первый сценарий
Сетевые уязвимости (CVE, режим FP, все сценарии)cve_replay_fp_allЛожные срабатывания + все сценарии

Как читать результат

Успешное завершение сценария в метриках означает, что тестовый обмен был воспроизведён до конца. Для средств защиты «успех защиты» обычно соответствует блокировке (RST, silent-drop/blocked_timeout и т.п.). Итоговую оценку делайте по событиям DUT, логам Пересвет-СТ и выбранному CVE-дашборду — не по одному факту «сценарий дошёл до конца».

В helper таймаута шага явно указан исход blocked_timeout. Остальные исходы (completed / blocked_rst / …) смотрите на дашборде и в событиях задачи.