《入侵檢測(cè)與防御原理及實(shí)踐（微課版）》-習(xí)題 第6章 Snort的規(guī)則 習(xí)題

一、選擇題Snort是一個(gè)基于什么的檢測(cè)系統(tǒng)？A.簽名B.特征C.行為D.流量答案：B.特征Snort規(guī)則庫(kù)中的規(guī)則主要存放在什么文件中？A..bin文件B..rules文件C..conf文件D..lua文件答案：B..rules文件在Snort3中，規(guī)則文件的包含語(yǔ)句是什么？A.include_rulesB.import_rulesC.includeD.require答案：C.includeSnort3的規(guī)則中，哪個(gè)選項(xiàng)提供了有關(guān)規(guī)則的信息但在檢測(cè)過程中沒有影響？A.PayloadB.GeneralC.non-payloadD.post-detection答案：B.GeneralSnort規(guī)則中，用于定義規(guī)則唯一標(biāo)識(shí)符的選項(xiàng)是？A.gidB.sidC.cidD.uid答案：B.sid在Snort3中，用于檢測(cè)HTTP內(nèi)容的協(xié)議關(guān)鍵字是什么？A.TCPB.UDPC.HTTPD.ICMP答案：C.HTTPSnort規(guī)則中，哪個(gè)選項(xiàng)用于查找數(shù)據(jù)包有效負(fù)載中的數(shù)據(jù)？A.PayloadB.GeneralC.non-payloadD.http_inspect答案：A.PayloadSnort3的規(guī)則中，用于記錄日志到用戶指定文件的選項(xiàng)是？A.logtoB.alertC.sessionD.react答案：A.logtoSnort3的規(guī)則中，用于定義一個(gè)會(huì)話并記錄其應(yīng)用層信息的選項(xiàng)是？A.PayloadB.sessionC.non-payloadD.post-detection答案：B.sessionSnort規(guī)則中，用于在規(guī)則觸發(fā)后發(fā)出警告信息的選項(xiàng)是？A.msgB.sidC.warnD.react答案：D.react（注意，這里更精確的說法是react選項(xiàng)中包含發(fā)出警告信息的動(dòng)作，但選項(xiàng)中直接對(duì)應(yīng)的是react）二、填空題Snort是一個(gè)基于______檢測(cè)的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。答案：特征Snort規(guī)則文件中的規(guī)則通過______語(yǔ)句包含在配置文件中。答案：includeSnort3中，規(guī)則的唯一標(biāo)識(shí)符（SID）不允許為______，且小于100的SID保留給未來擴(kuò)充時(shí)使用。答案：0Snort規(guī)則中，______選項(xiàng)提供了有關(guān)規(guī)則的信息，但在檢測(cè)過程中沒有任何影響。答案：General在Snort3中，用于檢測(cè)HTTP內(nèi)容的協(xié)議關(guān)鍵字是______。答案：HTTPSnort規(guī)則中，用于查找數(shù)據(jù)包有效負(fù)載中數(shù)據(jù)的選項(xiàng)是______。答案：PayloadSnort規(guī)則可以通過______選項(xiàng)將日志記錄到用戶指定的文件。答案：logtoSnort3中，______檢查器用于對(duì)解碼后的數(shù)據(jù)包進(jìn)行錯(cuò)誤檢測(cè)和預(yù)處理。答案：InspectorSnort規(guī)則中，用于定義一個(gè)會(huì)話并記錄其應(yīng)用層信息的選項(xiàng)是______。答案：session在Snort規(guī)則中，如果希望規(guī)則觸發(fā)后發(fā)出警告信息，可以使用______選項(xiàng)中的相關(guān)參數(shù)。答案：react三、判斷題Snort是一個(gè)基于特征檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。答案：正確。Snort規(guī)則庫(kù)中的規(guī)則可以隨意存放在任何位置，不需要分類存放。答案：錯(cuò)誤。規(guī)則需要分類存放在不同的規(guī)則文件中，且每個(gè)規(guī)則文件都是文本文件。在Snort3中，規(guī)則文件必須以“.rules”為后綴。答案：正確。但需要注意，這是規(guī)則文件的通常命名約定，并非絕對(duì)要求，關(guān)鍵是要在配置文件中正確引用。Snort3的規(guī)則文件中，暫時(shí)不用的規(guī)則必須用“#”注釋掉。答案：錯(cuò)誤。雖然可以用“#”注釋掉暫時(shí)不用的規(guī)則，但這不是必須的操作。Snort3中，sid選項(xiàng)的值可以為0。答案：錯(cuò)誤。Snort3規(guī)定，所有規(guī)則必須有sid選項(xiàng)，且sid不允許為0。Snort3的規(guī)則中，metadata選項(xiàng)對(duì)檢測(cè)過程有影響。答案：錯(cuò)誤。metadata選項(xiàng)提供了有關(guān)規(guī)則的信息，但在檢測(cè)過程中沒有任何影響。Snort3中，可以使用“l(fā)ogto”選項(xiàng)將日志記錄到標(biāo)準(zhǔn)輸出文件以外的文件。答案：正確。Snort3的規(guī)則中，不能使用“react”選項(xiàng)來定義規(guī)則匹配后的動(dòng)作。答案：錯(cuò)誤?？梢允褂谩皉eact”選項(xiàng)來定義規(guī)則匹配后的基本反應(yīng)和附加修改器。Snort3的規(guī)則中，協(xié)議關(guān)鍵字HTTP只能用于檢測(cè)使用標(biāo)準(zhǔn)端口的HTTP流量。答案：錯(cuò)誤。Snort3中，無(wú)論HTTP是否使用標(biāo)準(zhǔn)端口，都可以使用HTTP關(guān)鍵字進(jìn)行檢測(cè)。在Snort3中，規(guī)則文件必須用include語(yǔ)句包含在配置文件中。答案：正確。需要使用的規(guī)則文件應(yīng)該用include語(yǔ)句包含在配置文件（如snort.lua）中。四、簡(jiǎn)答題簡(jiǎn)述Snort規(guī)則的基本語(yǔ)法要求。答案：Snort規(guī)則的基本語(yǔ)法要求包括：規(guī)則分類存放在不同的規(guī)則文件中，每個(gè)規(guī)則文件都是文本文件；需要使用的規(guī)則文件應(yīng)該用include語(yǔ)句包含在配置文件中；若想禁用已包含在配置文件中的規(guī)則文件，可以在句首加“#”將其注釋掉；在每個(gè)規(guī)則文件中可以添加一條或多條規(guī)則，每條規(guī)則占一行；暫時(shí)不用的規(guī)則可以用“#”注釋掉；Snort3增加了#begin和#end注釋，允許規(guī)則編寫者輕松注釋多行。Snort規(guī)則中的sid選項(xiàng)有什么作用？其取值范圍有哪些規(guī)定？答案：sid選項(xiàng)用于唯一標(biāo)識(shí)一條規(guī)則。其取值范圍規(guī)定如下：小于100的值保留給未來擴(kuò)充時(shí)使用；100-1000000的值用于Snort官方預(yù)設(shè)配置的規(guī)則項(xiàng)目；大于1000000的值用于本地自定義的規(guī)則項(xiàng)目。在Snort3中，如何使用自定義規(guī)則文件？答案：在Snort3中，使用自定義規(guī)則文件需要先創(chuàng)建自定義的規(guī)則文件，并在其中創(chuàng)建用戶自定義的規(guī)則。然后，在對(duì)Snort進(jìn)行配置時(shí)，使用include語(yǔ)句將自定義的規(guī)則文件包含在配置文件中，或者使用-R選項(xiàng)在命令行中直接指定自定義的規(guī)則文件。簡(jiǎn)述Snort規(guī)則中metadata選項(xiàng)的作用。答案：metadata選項(xiàng)用于提供有關(guān)規(guī)則的信息，如規(guī)則的政策、分類、優(yōu)先級(jí)等，但這些信息在檢測(cè)過程中沒有任何影響。它主要用于對(duì)規(guī)則進(jìn)行描述和分類，方便規(guī)則的管理和使用。Snort3中規(guī)則文件的包含方式是怎樣的？答案：在Snort3中，規(guī)則文件通過include語(yǔ)句包含在配置文件中，語(yǔ)法格式為“include<includefile_path/name>”。Snort規(guī)則中，如何指定IP地址范圍？答案：在Snort規(guī)則中，可以使用IP地址范圍表示法來指定IP地址范圍，例如使用“/24”表示從到55的IP地址范圍。請(qǐng)解釋Snort規(guī)則中的“alert”動(dòng)作。答案：“alert”動(dòng)作是Snort規(guī)則中用于觸發(fā)報(bào)警的動(dòng)作之一。當(dāng)檢測(cè)引擎發(fā)現(xiàn)與規(guī)則匹配的數(shù)據(jù)包時(shí)，會(huì)觸發(fā)報(bào)警，并將相關(guān)信息記錄到指定的日志文件或輸出到控制臺(tái)。Snort規(guī)則中如何使用“msg”選項(xiàng)？答案：在Snort規(guī)則中，“msg”選項(xiàng)用于指定規(guī)則的描述信息，即當(dāng)規(guī)則觸發(fā)報(bào)警時(shí)，將顯示該描述信息以提供有關(guān)報(bào)警的詳細(xì)信息。請(qǐng)列舉Snort3中新增的協(xié)議關(guān)鍵字，并解釋其作用。答案：Snort3中新增了協(xié)議關(guān)鍵字HTTP，用于進(jìn)行HTTP內(nèi)容檢測(cè)。這提供了無(wú)論HTTP是否使用標(biāo)準(zhǔn)端口，Snort都可以進(jìn)行檢測(cè)并對(duì)HTTP內(nèi)容進(jìn)行告警的好處，規(guī)則編寫者無(wú)需擔(dān)心惡意軟件通信的端口是否為標(biāo)準(zhǔn)端口。Snort規(guī)則中如何指定端口范圍？答案：在Snort規(guī)則中，可以使用端口范圍表示法來指定端口