《开源安全运维平台OSSIM疑难解析:提高篇》
课后习题
一、多项选择题 OSSIM企业运维疑难问题解析-提高篇
1.为了在OSSIM前端能显示丰富的图形,系统中必须安装 库,它是一种图形库,可以让PHP绘制各种图形,能够创建Jpg、PNG和BMP图像。
A.Zlib B.GD C.Glibc
2.下列选项中属于HIDS优势的选项包括( ),属于HIDS局限性包括( )。
A.HIDS需要将代理程序部署到要监视的每个主机,部署繁琐。
B.HIDS不能检测网络侦察或扫描
C.HIDS可以检测到***是否成功
D.HIDS监视系统活动
E.HIDS可检测文件或应用程序的变化
3.下列选项中属于NIDS优势的是( ),属于NIDS局限性是( )。
A.如果部署得当NIDS能监视整个网络的流量
B.由于NIDS只分析网络流量副本,几乎不会影响网络性能。
C. NIDS可以分析加密流量
D.NIDS无法分析加密流量
E.NIDS需要经常升级签名(已知***)和规则
F.NIDS需要特定的配置来接受流量副本
G.NIDS无法阻止***
4.NIDS中外部引用用来加入新的外部参考系统,下列数据源中( )使用了外部引用。
A . Snort B . syslog C.Alienvault OTX D.SSH
5.命令suricata --list runmodes的作用是( )。
A .查看所有运行方式 B. 查看Suricata运行状态
6.OSSIM 4.15系统中,下列组件不属于嗅探类软件的是( ) 。
A.snort B .ntop C netflow D nfsen E syslog
7. 为了提高libpcap处理数据包的效率,OSSIM 2.3平台上采用了基于零拷贝思想的( ) 机制,由于这种机制避免了多次内存复制并减少CPU的干预,故可以在高速网环境下进行数据抓包分析。
A.PF_RING B.NAPI C.DMA
8.手动安装IDS系统过程中为了实现在WebUI浏览Snort报警需要经历九个安装环节,除去安装虚拟机和操作系统以外,请按安装顺序依次在图1中的A~G标志中选择相应软件包的名称(顺序颠倒则无法通过编译)。循序( )
图1 Snort安装阶梯
A.BASE B.Apache PHP C.bardyard2 D.MySQL
E.Snort F. libdnet G. DAQ
9.网络探测化技术可以分为两类: 主动探测和被动探测,主动探测是通过主动扫描来检查监听服务的存在主动探测的优点是扫描快速和结果完整,例如 程序;被动探测一般通过网络嗅探来提取服务端相关信息,例如 程序。
A.Nmap B.p0f C.prads D.traceroute
10.snort规则中由reference选项定义所支持的外部系统,这些网址的内容保存在文件 中。
A . /etc/snort/reference.config B /etc/snort/snort.conf C /etc/snort.conf
11.当Suricata检测到一个可疑数据包时,根据事先设定的规则将整个数据包以( )的方式存储到文件中,目前已经支持(IPv4)、(IPv6)的数据包。其输出格式可以被( )程序处理。该程序可以将Suricata输出的内容存储到数据库中。
A. 文本 B.二进制 C. JSON D. XML
E . Barnyard2 F . Barnyard
12.以下是OSSIM 5.5系统中Suricata的一段配置文件路径:/etc/suricata/suricata.yaml
第190~192,这3行配置文件的作用是( )。
A.保存所有数据包,最大为1GB B.最大能分析1GB的数据包 C .支持最大网络带宽为1GB
13.Suricata打开alert-debug功能后会产生什么影响?( )
A.对系统无任何影响 B.会导致检测时生成大量信息,使系统处理性能下降
14.OSSIM 5系统中NIDS由Suricata 3.2程序负责,其配置文件位于( )。
A . /etc/suricata/suricata.yaml B./etc/suricata.yaml
15.OSSIM 5中Surciata默认的抓包方式为( )模式。
A. AF_PACKET B. IPFW C. PF_RING
16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的作用是让Suricata以( )模式启动。
A.IDS B. IPS C.DMZ
17.命令suricata --list-runmodes的作用是( )。
A.列出Suricata所有运行模式 B.列出Suricata运行参数
18.用( )命令可以查看Suricata配置信息。
A.suricata --build-info B. suricata –V
19.Suricata报警输出文件存储在( )文件。
A./var/log/suricata/unified2.alert B. /var/log/auth.log C . /var/log/suricata/
20.分布式OSSIM系统中在( )端使用命令行( )可以查看各个ossec agent工作状态
A.server B.sensor C./var/ossec/bin/agent_control –lc D./etc/init.d/ossec status
21.OSSIM系统中OSSEC模块将日志存储在 。
A . /var/ossec/logs/alerts/ B . /var/log/ossim/
22. OSSEC Server与Agent之间通信端口为 。
A.TCP 1514 B.UDP 1514 C.UDP 514
23.若要捕获OSSEC Server与Agent之间的通信,下列( )命令可实现。
A.ngrep –q –d any port 1514 B.tcpdump
24.为了在一台Windows 2008 Server上安装ossec agent,请根据下列选项按顺序写出正确的步骤:
A.在OSSEC官网下载Agent程序
B.将程序进行安装
C.在WebUI上environment→detection
D选择Agents,并选择ADD AGENT按钮输入名称和Windows 2008的IP地址
E.Extract key
F .将key复制到agent ossec G.单击Download preconfigured agent for Windows按钮
25.图2中箭头所示处通过Web UI自动部署HIDS Agent,只能在下列( )系统中安装成功。
A.Linux B.Windows 2000 C .UNIX
图2 部署HIDS Agent
26.OpenVAS采用“openvas-nvt-sync”命令升级漏洞库时主要利用的是 命令同步漏洞库信息。
A.HTTP B. FTP C.sync D.Rsync E.SMB F.NFS
27.图3中OSSIM Server和Sensor组成了一套分布式监控系统,现在需要对LAN上的各台服务器进行漏洞扫描,下列选项中 是最合适的OpenVAS服务器。
A.192.168.11.160 B . 192.168.11.29
图3 OSSIM扫描拓扑
28.下列选项中不属于OpenVAS服务器端5大功能模块的是( )。
A主控模块 B.认证模块 C.日志模块 D.扫描模块 E.加密模块 F.漏洞同步模块
29.OSSIM中OpenVAS扫描器使用的证书是( )创建。
A.在安装OSSIM期间由Openvas-mkcert命令 B.在安装OSSIM之后由管理员手动
30.现在需要对网段192.168.0.0/16内的服务器进行端口扫描,应选用 ( ) 工具。
A.nmap B. OpenVAS C.Nessus
31.用户需要将编写的OpenVAS插件cross_scrip.nasl,放入系统进行检测,首先将该插件复制到( )目录下,加载插件,最后通过( )命令重建插件数据库。
A.openvasmd –rebuild B./etc/init.d/openvas restart C ./var/lib/openvas/plug×××/
32.Openvas漏洞脚本采用 语言编写。
A.XML B .NASL C ASCII
33为了提高OSSIM中OpenVAS漏洞扫描效率,采用 功能,实现脚本通过专用的高速通道来推送消息。
A Redis的Pub/Sub B.memcache缓存 C.squid反向代理
34.在OpenVAS输出报表中用不同的颜色将漏洞重要程度进行分级,请问在OSSIM系统中非常严重(Serious)的漏洞用 颜色表示。
A.紫色 B.红色 C.黑色 D.绿色
35.下列 ( ) 命令可以控制openvas-redis功能。
A. alienvault-redis-server-openvas B .redis
36.用Nessus进行漏洞扫描内存占用分为 ( )两部分,内存动态变化的,大小取决于同时运行的扫描线程数量,扫描线程越多,内存消耗( )。
A.前端管理配置和后台进程的内存占用
B. 加载到内存的扫描插件所占用的内存
C. GUI界面所占用的内存
D.不变
E. 越大
37.下面那条命令可以将RabbitMQ运行状态报告输出到文件。( )
A.rabbitmyctl report >/root/filename
B.rabbit reportlist > /root/filename
38.下列 命令可以检测本地OSSIM服务器Memcache端口是否在监听。
A telnet 127.0.0.1 11211 B.ping 127.0.0.1
39.RabbitMQ采用了 语言编写的AMQP服务器。
A.Erlang B.XML C.Python
40.下列选项中不属于OSSIM缓存系统的是 。
A.Redis B.memcached C.squid D.samba
41.下列选项中( ) 属于内存持久化数据库。
A.Redis B.memcache C .MySQL D .Squid
42.下列选项中 不是OSSIM内置数据库。
A.SQLite B.Redis C.MySQL D mongoDB E.PostgreSQL F hbase
43. Redis运行高效的原因是( )。
A.所有数据都在内存
B.Redis和OSSIM Server 之间没有网络延迟
C.Redis避免了线程切换的消耗
D.Redis采用C语言开发
44.在OSSIM平台中的 ( )都模块采用了Redis技术。
A.日志消息队列 B. Openvas漏洞扫描器 C.OTX D . nmap
45.查看Redis服务器统计信息是 ( )。
A.redis_cli info B. redis_cli -v
46.RabbitMQ通信端口为( )。
A.TCP 5672 B.UDP 5672 C.UDP 12001
47.下列哪种方式中不能用于日志收集的是( )。
A.文本方式 B.SNMP Trap方式 C.Syslog D.代理程序 E.端口镜像方式
48.日志服务器IP地址为192.168.11.1,下列rsyslog.conf中 ( )配置是实现UDP协议转发,( )配置实现TCP协议转发。
A . *.warning @192.168.11.1:514
B. *.warning @@192.168.11.1:514
C *.warn @192.168.11.1:1514
49. Syslog每条消息最大长度为( ),一千万条syslog日志将约占用( )磁盘空间。
A . 1019 byte B.100GB C.1TB D. 10GB
50.根据ISO 27001安全审计要求,原始日志至少保存时间为( )。
A.7天 B.1个月 C.90天 D.1年
51.下列选项中不属于iptables日志记录形式的是 ( )。
A.log B. ulog C . nflog D dlog
52.Rsyslog ( ) 多线程,它可以通过 ( )协议实现Syslog日志消息转发和接收。
A.支持 B.不支持 C.TCP D.UDP E.IP
53.OSSIM关联策略配置文件位于( )。
A ./etc/ossim/server/config.xml B ./etc/ossim/agent/config.xml
54.下列风险Risk计算公式正确的是( )
A Risk=(asset*priority*reliability)/25 B Risk=asset*priority*reliability/25
55. 资产Asset 的取值范围为 ( ),asset默认值为2, Asset值( ),对资产影响越大,受重视程度越高。优先级Priority 的取值范围为( ),默认值为 1,该参数描述一次成功***,所造成的危害程度,数值越大危害程度( );可靠性Reliability 的取值范围为 ( ),默认值为 1,其值( ),代表越不可靠。
A.越高 B.越低 C.1~5 D.1~10
56.OSSIM下资产扫描分为主动监测和被动监测扫描两种,其中_ ___属于主动检测,_____属于被动监测。
A.prads B.p0f C Nmap
57.现需要调整Risk的值,可通过设置______实现。
A .Pririty B.Reliability C.asset D.plugin_ID
58.以下命令的作用是( )。
#/etc/init.d/nagios3 restart
A 重启Nagios服务 B 加载Nagios插件
59.以下命令的作用是( )
#nagios3 -v /etc/nagios3/nagios.cfg
A. 检验Nagios配置是否正确
B. 查看Nagios版本
C. 加载Naigos服务
60.下列选项中不属于RRD Tool绘图流程的是( )。
A.创建RRD文件
B.更新RRD数据
C. 绘图
D.刷新图像
61.OSSIM系统的Nagios、Ntop、Munin以及Netflow子系统中图像文件存储在下列( )数据库中
A .Redis B.RRD Tools C.MySQL
62.OSSIM系统中Nagios插件位于( )。
A./usr/lib/nagios/plug×××/
B. /etc/nagios/plug×××/
C. /etc/agent/plug×××/
63.OSSIM 5.0 中为了使Ntop分析数据包提高性能采用了 技术。
A.PFRING B.libpcap C端口镜像
64.Ntop将图形数据存入 数据库中。
A.MySQL B.rrd C. Redis
65.Netflow数据是通过( )协议传输。
A.TCP B.IP C.UDP D.SAN
66.下列( )命令可实现在思科路由器上启用NetFlow,并转发送接收服务器192.168.100.1的555端口。
A.show ip cache flow
B.ip flow-export destination 192.168.100.1 555
67.在NetFlow模块由中,( )用于数据采集、过滤及存储,( )用于将借口收集的数据转化为NetFlow格式,( )用于生成图形化分析界面。
A. nfdump B. fprobe C . nfsen D. nfcapd E.nfprofile F.nfreplay
68.下列( )命令可以快速查看fprobe进程及通信端口。
A ps -ef |grep fprobe B netstat
69.混合方式安装的OSSIM系统,默认由fprobe程序将收集的数据按照一定规则换为Netflow格式,然后转发到系统的( )端口。
A. 555 B.12000 C 12001
70.Prads 是被动实时资产检测的简称,它采用( )获取网络资产信息,可实现资产信息监测服务。
A.数字指纹 B.日志采集技术 C.全网扫描
71.PARDS程序可从嗅探到的数据包中分析MAC、TCP、UDP,再通过和自己所带的指纹库对比,从而得到统一的状态表。OSSIM中这种指纹库文件存储路径为 ___扩展名为_______ 。
A /etc/prads B /etc/pads C .pf D XML
72.局域网爆发尼姆达蠕虫病毒时,不能通过OSSIM_____功能感知到网络异常行为。
A.RAW log B.WebUI中仪表盘 C.NetFlow D.SIEM事件控制台 E.Ntop
73.在分布式环境中,抓取传感器(IP地址为192.168.11.29) ,如图4所示。OSSIM服务器IP为192.168.11.160,OSSIM传感器IP为192.168.11.29。
图4 分布式系统中选择传感器
图4中的数据包,抓包文件位于( )。
A.OSSIM服务器 /var/ossim/traffice/目录
B.传感器192.168.11.29 /var/ossim/traffic/目录
74 .在目录/var/cache/nfdump/flow/live/下删除NetFlow产生的过期数据( )影响查看NetFlow历史流量信息。
A .会 B.不会 C.不确定
75.OSSIM系统中源码文件jquery.base64.js主要用途是( )。
A加密/解密 B.数据编码
76.(___ )软件包可以让Python支持MySQL数据库。
A.python-mysqldb B.mysqldb
77.OSSIM系统中/usr/share/ossim/www/js/jquery.base64.js文件的作用是( )。
A.加密解密 B. 登录系统时保存用户名和密码
78.OSSIM系统中/usr/share/ossim/www/js/jquery.cookie.js文件的作用是( )。
A.加密解密 B. 登录系统时保存用户名和密码
79.需要查看系统加载了哪些PHP扩展模块输入 命令。
A.php -m B . php -version
80. 为了限制PHP上传文件的大小可以修改php.ini文件中的 参数。
A. post_max_size B.upload_max_filesize
81.命令“php —ini”的作用是
A. 查找PHP CLI的ini文件位置 B. 初始化PHP程序
82.小张刚装完OSSIM系统,立即在Web浏览器输入服务器IP(假定为a.b.c.d),https://a.b.c.d/,等了很长时间却无法打开Web界面,随即采用w3m命令在命令行下检测Web,
输入命令:w3m https://a.b.c.d/后得到如图5所示界面。
图5 w3m访问OSSIM的界面
以上信息说明了这台OSSIM平台Web Server服务在( ) ,为了验证还可以采用( )命令。
A.停止状态 B.启动状态 C.无法判断 D.netstat –na |grep 443 E.ps -ef |grep apache2
83.下列 命令无法实现命令行下访问Web Server。
A https B .lynx C .w3m D.httpie
二、判断题 《开源OSSIM企业运维疑难问题解析》提高篇 课后练习题
1.OSSIM 5中Suricata默认不支持PF_Ring。 ( )
2.命令“suricata --build-info”可以查看Suricata工作模式 ( )
3.NIDS通常以混杂模式工作,通过监视网络流量的副本。它通过将流量与已知***(也称为签名)的数据库进行比较或通过检测流量模式中的异常来分析流量。如果被识别,则生成NIDS事件告警。( )
4.Snort可以把它产生报警的所有封包内容完全记录下来。 ( )
5. 当Suricata工作在IDS模式下,可使用drop操作的规则,这些丢掉的数据包信息就会存储在drop.log文件中。( )
6.Suricata和snort都是单线程处理程序,只不过Suricata比Snort有更新的检测规则。( )
7.Suricata在对流量检测之前需要将所有的规则签名加载到内存。( )
8.Suricata 启用自带的IPS功能就可拦截网络中有害数据包。( )
9.通过vi /var/log/suricata/unified2.alert.1514956476命令可以文本方式查看suricata日志。( )
10.OSSEC日志由纯文本格式的文件组成。( )
11.OSSIM中HIDS数据通过在交换机设置端口镜像(SPAN)获取。( )
12.若Sensor系统重装导致OSSEC Server的密钥失效,那么所有OSSEC Agent连接失效。( )
13.OSSIM Server防火墙规则中默认放行1514端口,故在Windows 7/8/2012 系统上安装OSSEC Agent需要客户端上无需关闭防火墙。( )
14.OpenVAS中的NASL是由***脚本组成,所以用OpenVAS进行测试就是网络***行为。( )
15.OSSIM系统中的OpenVas漏洞库文件放置在/var/cache/openvas/目录下。( )
16.在进行漏洞扫描过程中X-scan的CPU占用率相对于Nessus要低。( )
17.Redis利用消息队列技术将并多个Sensor并发传递来的日志消息变为串行访问,消除了MySQL数据库串行控制的开销。( )
18. OSSIM平台下Redis采用单进程,单线程模式工作。( )
19.Memcached是具有身份验证功能的缓存服务系统,它的多线程模式可以充分利用CPU功能。( )
20. Memcached不具备身份验证功能。( )
21.Rsyslog是Syslog的升级版实现了多线程传输日志,Rsyslog可以通过TCP/UDP协议实现syslgo日志消息转发和接收,但不支持多路日志转发,也就是不支持将同一条日志转发到两台日志收集器 ( )。
22.syslog协议可将日志以加密形式存储。( )
23.OSSIM关联指令规则不可以递归但可以嵌套。( )
24. 在OSSIM系统运行之前,必须为已知的***场景建立对应的树形规则集,在启动时,系统将预先定义好的指令读入内存,在接收到一个事件后,先将该事件与之前已经匹配,而还没有匹配完的指令中的规则进行匹配,然后在与其他规则匹配。( )
25. 资产扫描时由于指纹库不全会出现扫描的操作系统和实际操作系统版本不一致的情况 ( )
26. 当事件的风险值Risk大于等于1时,SIEM控制台会将Alert升级为Alarm( )
27.在菜单Configuration→Threat Intelligence→DataSource中可以调整可靠性和优先级的值( )
28. 关联引擎(Server)是OSSIM安全集成管理系统的核心部分,它支持分布式运行,负责将Agents传送来的归一化安全事件进行关联,并对网络资产进行风险评估。( )
29.为监控资产可靠性可在Sensor上调整配置Nagios的conf文件。( )
30.Ntop中产生的网络流向图,名为network_map.png,每120秒被刷新一次( )
31.在OSSIM中可以通过命令“service netflow restart”重启NetFlow服务。( )
32.OSSIM系统中使用Nmap和Netflow工具,它们主要区别是Nmap发出的双向交互流量信息,而Netflow是被动接收单向流量并采集 ( )
33.NetFlow流量监测可以发现SQL注入、HTTP Get、Sync flooding网络***。( )
34.NetFlow选用简单高效UDP传输协议方式,但数据传输的可靠性是不保证 ( )
35.Netflow接收数据采用UDP协议,sFlow协议采用TCP协议,端口为6343。( )
36.基于NetFlow流量采集,由于通过软件算法实现,使用过程中对网络带宽影响很大( )
37.OSSIM平台一脚本jquery.datatables.js具有自动分页处理、即时表格数据过滤、数据排序以及数据类型自动检测及自动处理列宽度的功能。( )
三、简答题 《开源OSSIM企业运维疑难问题解析》提高篇 课后练习题
1. 当Snort检测到匹配的数据包时,有几种处理方式?
2.在/etc/snort/rules/local.rules文件添加一条检测规则,为何不生效?
3.Nginx支持Syslog日志转发功能吗?
4.图6中Risk风险数值如何计算出来?如何手动改变Risk值?
图6 Risk风险数值
5. 风险评估三要素是什么?
6.在下列给出一段的树型关联规则代码实例中,如图7所示,参数Occurrence表示什么含义?
图7 ***扫描指令示例
7.对于由OSSEC和Snort工具所产生的对同一***行为的重复报警信息的采用什么方法合并?
8.在仪表盘中Risk显示的Risk Metric的C、A值表示什么含义?
9.内网一台邮件服务器资产值设定为5,而Priority和Reliability的默认值设置为3,试问这台服务器Risk值为多少?
10.调整了Nagios配置文件后,如何检验配置是否正确?
11. OSSIM平台通过NetFlow采集的数据存放在什么位置?
12.请解释指定参数的含义。
OSSIM的Python环境下通过MySQLdb提供了connect方法用来连接数据库,请正确填入下划线参数的含义。
在/usr/share/ossim/scripts/checkEvents.py脚本中有如下语句
conn=MySQLdb.connect(host="localhost",user="dbUser",passwd="dbPass",db="snort"
解释:
host:
user:
passwd:
db:
13.如何查看PHP信息?PHP配置文件在何处?
14.如何详细了解OSSIM系统进程的网络带宽占用情况?
15.如何对OSSIM目录大小进行排序?
16. 如何将tcpdump抓包存入文件?
17.分布式OSSIM系统中,在分析远程某个网段的数据包时,捕获的pcap文件存储在什么位置?
18.将PHP模块名称和对于含义,用线段正确连接。
