《入侵檢測(cè)與防御原理及實(shí)踐（微課版）》-習(xí)題 第4章 開(kāi)源入侵檢測(cè)系統(tǒng)Snort2 習(xí)題

一、選擇題Snort是哪個(gè)類(lèi)型的系統(tǒng)？A.閉源商業(yè)入侵檢測(cè)系統(tǒng)B.開(kāi)源跨平臺(tái)輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)C.專(zhuān)有硬件安全設(shè)備D.云服務(wù)安全解決方案答案：BSnort是用什么語(yǔ)言開(kāi)發(fā)的？A.PythonB.JavaC.CD.Ruby答案：CSnort主要依賴(lài)哪個(gè)庫(kù)進(jìn)行數(shù)據(jù)包捕獲？A.WinPcapB.OpenSSLC.LibPcapD.NTP答案：C（注意：雖然Windows下使用WinPcap，但LibPcap是跨平臺(tái)的基礎(chǔ)庫(kù)）Snort中，哪個(gè)模塊負(fù)責(zé)將捕獲的數(shù)據(jù)包進(jìn)行解碼？A.預(yù)處理器B.報(bào)警輸出C.包解碼器D.檢測(cè)引擎答案：C在Snort的配置文件中，哪個(gè)部分用于設(shè)置網(wǎng)絡(luò)相關(guān)變量？A.[preproc_rules]B.[rule_path]C.[ipvar]D.[output]答案：CSnort的工作模式不包括以下哪一項(xiàng)？A.嗅探器模式B.數(shù)據(jù)包記錄器模式C.防火墻模式D.入侵檢測(cè)模式答案：CSnort的規(guī)則庫(kù)是在哪個(gè)階段被加載到系統(tǒng)中的？A.Snort啟動(dòng)前B.Snort運(yùn)行時(shí)動(dòng)態(tài)加載C.數(shù)據(jù)包捕獲后D.預(yù)處理完成后答案：A以下哪個(gè)不是Snort可以輸出的報(bào)警信息格式？A.日志文件B.數(shù)據(jù)庫(kù)C.電子郵件D.控制臺(tái)輸出答案：C（雖然可以通過(guò)配置實(shí)現(xiàn)郵件報(bào)警，但直接選項(xiàng)中未提及，通常說(shuō)的是日志文件、數(shù)據(jù)庫(kù)等標(biāo)準(zhǔn)輸出）Snort的預(yù)處理器主要用于什么目的？A.數(shù)據(jù)包捕獲B.數(shù)據(jù)包解碼C.數(shù)據(jù)包預(yù)處理和規(guī)范化D.規(guī)則匹配答案：C在高數(shù)據(jù)流量環(huán)境下，為了提高Snort的運(yùn)行效率，應(yīng)該使用哪種輸出模式？A.標(biāo)準(zhǔn)輸出B.快速輸出（fast）C.詳細(xì)輸出（verbose）D.ASCII輸出答案：B二、填空題Snort是著名的____、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。答案：開(kāi)源Snort采用基于____的網(wǎng)絡(luò)信息搜索機(jī)制，對(duì)數(shù)據(jù)包進(jìn)行內(nèi)容的模式匹配。答案：規(guī)則Snort的____模塊用于將捕獲的數(shù)據(jù)包進(jìn)行解碼，并存放到Snort定義的結(jié)構(gòu)體中。答案：包解碼器Snort2的配置文件通常命名為_(kāi)___。答案：snort.conf在Snort的配置文件中，通過(guò)____部分可以配置預(yù)處理器。答案：preprocessor（或具體配置項(xiàng)如dynamicpreprocessor等，但更通用的是preprocessor這個(gè)大類(lèi)）三、判斷題Snort是一個(gè)商業(yè)的、閉源的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。答案：錯(cuò)誤。Snort是著名的開(kāi)源、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。Snort最早是由MartyRoesch在2000年開(kāi)發(fā)的。答案：錯(cuò)誤。Snort最早是由MartyRoesch在1998年開(kāi)發(fā)的。Snort只能在Linux系統(tǒng)上運(yùn)行。答案：錯(cuò)誤。Snort是跨平臺(tái)的，可以在Linux和Windows等系統(tǒng)上運(yùn)行。Snort的包捕獲器模塊可以直接從網(wǎng)卡獲得數(shù)據(jù)包。答案：錯(cuò)誤。Snort本身沒(méi)有捕獲數(shù)據(jù)包的模塊，它借助Linux的Libpcap或Windows的Winpcap/Npcap來(lái)捕獲數(shù)據(jù)包。Snort的預(yù)處理器只能對(duì)數(shù)據(jù)包進(jìn)行規(guī)范化處理，不能進(jìn)行入侵檢測(cè)。答案：錯(cuò)誤。預(yù)處理器也可以檢測(cè)數(shù)據(jù)包是否有明顯的錯(cuò)誤，并進(jìn)行入侵檢測(cè)生成告警。Snort的規(guī)則庫(kù)是靜態(tài)的，無(wú)法自定義或擴(kuò)展。答案：錯(cuò)誤。Snort的規(guī)則庫(kù)可以自定義和擴(kuò)展，用戶(hù)可以根據(jù)自己的需求添加或修改規(guī)則。Snort作為IDS部署時(shí)，必須串聯(lián)在網(wǎng)絡(luò)中。答案：錯(cuò)誤。Snort作為IDS部署時(shí)，通常以并聯(lián)的方式掛接在所關(guān)注流量必經(jīng)的鏈路上。Snort的報(bào)警輸出只能以日志文件的形式保存。答案：錯(cuò)誤。Snort的報(bào)警輸出可以以日志文件形式保存，也可以保存在MySQL、Oracle等數(shù)據(jù)庫(kù)系統(tǒng)中。Snort的解碼器只能解碼IP數(shù)據(jù)包。答案：錯(cuò)誤。Snort的解碼器可以解碼多種類(lèi)型的數(shù)據(jù)包，包括IP、TCP、UDP等。Snort的命令行參數(shù)-Afast表示記錄詳細(xì)的報(bào)警信息。答案：錯(cuò)誤。-Afast表示只寫(xiě)入時(shí)間戳、messages、IPs、ports到文件中，以加快記錄速度。四、簡(jiǎn)答題簡(jiǎn)述Snort的體系結(jié)構(gòu)。答案：Snort的體系結(jié)構(gòu)包括包捕獲器、包解碼器、預(yù)處理器、檢測(cè)引擎、報(bào)警輸出、規(guī)則庫(kù)和日志文件或數(shù)據(jù)庫(kù)。包捕獲器負(fù)責(zé)捕獲數(shù)據(jù)包，包解碼器對(duì)數(shù)據(jù)包進(jìn)行解碼，預(yù)處理器對(duì)解碼后的數(shù)據(jù)包進(jìn)行預(yù)處理，檢測(cè)引擎根據(jù)規(guī)則庫(kù)判斷數(shù)據(jù)包是否存在入侵行為，報(bào)警輸出模塊負(fù)責(zé)記錄并報(bào)警，規(guī)則庫(kù)是檢測(cè)引擎的依據(jù)，日志文件或數(shù)據(jù)庫(kù)用于記錄報(bào)警信息。Snort有哪些主要的部署方式？答案：Snort的主要部署方式包括作為IDS（入侵檢測(cè)系統(tǒng)）使用，以并聯(lián)方式掛接在所關(guān)注流量必經(jīng)的鏈路上；也可以作為IPS（入侵防御系統(tǒng)）使用，但功能相對(duì)較弱。具體的部署方案有部署在防火墻外、部署在防火墻內(nèi)、以及防火墻內(nèi)外分別部署。Snort的工作模式有哪些？答案：Snort有三種工作模式：嗅探器模式、數(shù)據(jù)包記錄器模式和入侵檢測(cè)模式。嗅探器模式相當(dāng)于數(shù)據(jù)包捕獲工具，可以實(shí)時(shí)查看網(wǎng)絡(luò)接口流量；數(shù)據(jù)包記錄器模式將抓取的數(shù)據(jù)包存儲(chǔ)到本地硬盤(pán)中；入侵檢測(cè)模式是最核心的模式，將捕獲的數(shù)據(jù)包與檢測(cè)規(guī)則進(jìn)行模式匹配，發(fā)現(xiàn)入侵行為。如何配置Snort的規(guī)則路徑？答案：在Snort的配置文件snort.conf中，可以通過(guò)設(shè)置varRULE_PATH來(lái)配置規(guī)則路徑。例如，設(shè)置為varRULE_PATHD:\snort\rules，表示規(guī)則文件存放在D:\snort\rules目錄下。簡(jiǎn)述Snort預(yù)處理器的作用。答