《開源OSSIM企業運維疑難問題解析》提高篇課後習題

《開源OSSIM企業運維疑難問題解析-提高篇》

課後習題

一、多項選擇題 OSSIM企業運維疑難問題解析-提高篇

1.爲了在OSSIM前端能顯示豐富的圖形，系統中必須安裝庫，它是一種圖形庫，可以讓PHP繪製各種圖形，能夠創建Jpg、PNG和BMP圖像。

A．Zlib B.GD C.Glibc

2.下列選項中屬於HIDS優勢的選項包括（ ），屬於HIDS侷限性包括（ ）。

A.HIDS需要將代理程序部署到要監視的每個主機，部署繁瑣。

B.HIDS不能檢測網絡偵察或掃描

C.HIDS可以檢測到***是否成功

D.HIDS監視系統活動

E.HIDS可檢測文件或應用程序的變化

3.下列選項中屬於NIDS優勢的是（ ），屬於NIDS侷限性是（ ）。

A.如果部署得當NIDS能監視整個網絡的流量

B.由於NIDS只分析網絡流量副本，幾乎不會影響網絡性能。

C. NIDS可以分析加密流量

D.NIDS無法分析加密流量

E.NIDS需要經常升級簽名（已知***）和規則

F.NIDS需要特定的配置來接受流量副本

G.NIDS無法阻止***

4.NIDS中外部引用用來加入新的外部參考系統，下列數據源中（ ）使用了外部引用。

A . Snort B . syslog C.Alienvault OTX D.SSH

5.命令suricata --list runmodes的作用是( )。

A .查看所有運行方式 B. 查看Suricata運行狀態

6.OSSIM 4.15系統中，下列組件不屬於嗅探類軟件的是( ) 。

A.snort B .ntop C netflow D nfsen E syslog

7. 爲了提高libpcap處理數據包的效率，OSSIM 2.3平臺上採用了基於零拷貝思想的( ) 機制，由於這種機制避免了多次內存複製並減少CPU的干預，故可以在高速網環境下進行數據抓包分析。

A.PF_RING B.NAPI C.DMA

8.手動安裝IDS系統過程中爲了實現在WebUI瀏覽Snort報警需要經歷九個安裝環節，除去安裝虛擬機和操作系統以外，請按安裝順序依次在圖1中的A~G標誌中選擇相應軟件包的名稱（順序顛倒則無法通過編譯）。循序（ ）

圖1 Snort安裝階梯

A.BASE B.Apache PHP C.bardyard2 D.MySQL

E.Snort F. libdnet G. DAQ

9.網絡探測化技術可以分爲兩類: 主動探測和被動探測，主動探測是通過主動掃描來檢查監聽服務的存在主動探測的優點是掃描快速和結果完整，例如 程序;被動探測一般通過網絡嗅探來提取服務端相關信息，例如 程序。

A.Nmap B.p0f C.prads D.traceroute

10.snort規則中由reference選項定義所支持的外部系統，這些網址的內容保存在文件 中。

A . /etc/snort/reference.config B /etc/snort/snort.conf C /etc/snort.conf

11.當Suricata檢測到一個可疑數據包時，根據事先設定的規則將整個數據包以（）的方式存儲到文件中，目前已經支持（IPv4）、（IPv6）的數據包。其輸出格式可以被（）程序處理。該程序可以將Suricata輸出的內容存儲到數據庫中。

A. 文本 B.二進制 C. JSON D. XML

E . Barnyard2 F . Barnyard

12．以下是OSSIM 5.5系統中Suricata的一段配置文件路徑：/etc/suricata/suricata.yaml

第190~192，這3行配置文件的作用是（）。

A．保存所有數據包，最大爲1GB B.最大能分析1GB的數據包 C .支持最大網絡帶寬爲1GB

13.Suricata打開alert-debug功能後會產生什麼影響？（）

A．對系統無任何影響 B.會導致檢測時生成大量信息，使系統處理性能下降

14.OSSIM 5系統中NIDS由Suricata 3.2程序負責，其配置文件位於（ ）。

A . /etc/suricata/suricata.yaml B./etc/suricata.yaml

15.OSSIM 5中Surciata默認的抓包方式爲（ ）模式。

A. AF_PACKET B. IPFW C. PF_RING

16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的作用是讓Suricata以（ ）模式啓動。

A.IDS B. IPS C.DMZ

17.命令suricata --list-runmodes的作用是（ ）。

A．列出Suricata所有運行模式 B.列出Suricata運行參數

18.用（ ）命令可以查看Suricata配置信息。

A．suricata --build-info B． suricata –V

19.Suricata報警輸出文件存儲在（ ）文件。

A．/var/log/suricata/unified2.alert B. /var/log/auth.log C . /var/log/suricata/

20．分佈式OSSIM系統中在（ ）端使用命令行（ ）可以查看各個ossec agent工作狀態

A.server B.sensor C./var/ossec/bin/agent_control –lc D./etc/init.d/ossec status

21.OSSIM系統中OSSEC模塊將日誌存儲在 。

A . /var/ossec/logs/alerts/ B . /var/log/ossim/

22. OSSEC Server與Agent之間通信端口爲 。

A.TCP 1514 B.UDP 1514 C.UDP 514

23.若要捕獲OSSEC Server與Agent之間的通信，下列（ ）命令可實現。

A．ngrep –q –d any port 1514 B.tcpdump

24.爲了在一臺Windows 2008 Server上安裝ossec agent，請根據下列選項按順序寫出正確的步驟：

A．在OSSEC官網下載Agent程序

B.將程序進行安裝

C.在WebUI上environment→detection

D選擇Agents，並選擇ADD AGENT按鈕輸入名稱和Windows 2008的IP地址

E.Extract key

F .將key複製到agent ossec G.單擊Download preconfigured agent for Windows按鈕

25.圖2中箭頭所示處通過Web UI自動部署HIDS Agent，只能在下列（）系統中安裝成功。

A.Linux B.Windows 2000 C .UNIX

圖2 部署HIDS Agent

26.OpenVAS採用“openvas-nvt-sync”命令升級漏洞庫時主要利用的是命令同步漏洞庫信息。

A.HTTP B. FTP C.sync D.Rsync E.SMB F.NFS

27.圖3中OSSIM Server和Sensor組成了一套分佈式監控系統，現在需要對LAN上的各臺服務器進行漏洞掃描，下列選項中是最合適的OpenVAS服務器。

A．192.168.11.160 B . 192.168.11.29

圖3 OSSIM掃描拓撲

28.下列選項中不屬於OpenVAS服務器端5大功能模塊的是（）。

A主控模塊 B.認證模塊 C.日誌模塊 D.掃描模塊 E.加密模塊 F.漏洞同步模塊

29.OSSIM中OpenVAS掃描器使用的證書是（）創建。

A．在安裝OSSIM期間由Openvas-mkcert命令 B.在安裝OSSIM之後由管理員手動

30.現在需要對網段192.168.0.0/16內的服務器進行端口掃描，應選用 ( ) 工具。

A.nmap B. OpenVAS C.Nessus

31.用戶需要將編寫的OpenVAS插件cross_scrip.nasl，放入系統進行檢測，首先將該插件複製到（）目錄下，加載插件，最後通過（）命令重建插件數據庫。

A．openvasmd –rebuild B./etc/init.d/openvas restart C ./var/lib/openvas/plugins/

32.Openvas漏洞腳本採用語言編寫。

A．XML B .NASL C ASCII

33爲了提高OSSIM中OpenVAS漏洞掃描效率，採用功能，實現腳本通過專用的高速通道來推送消息。

A Redis的Pub/Sub B.memcache緩存 C.squid反向代理

34.在OpenVAS輸出報表中用不同的顏色將漏洞重要程度進行分級，請問在OSSIM系統中非常嚴重（Serious）的漏洞用顏色表示。

A．紫色 B.紅色 C.黑色 D.綠色

35.下列（）命令可以控制openvas-redis功能。

A. alienvault-redis-server-openvas B .redis

36.用Nessus進行漏洞掃描內存佔用分爲（）兩部分，內存動態變化的，大小取決於同時運行的掃描線程數量，掃描線程越多，內存消耗（）。

A．前端管理配置和後臺進程的內存佔用

B．加載到內存的掃描插件所佔用的內存

C． GUI界面所佔用的內存

D．不變

E．越大

37.下面那條命令可以將RabbitMQ運行狀態報告輸出到文件。（）

A．rabbitmyctl report >/root/filename

B．rabbit reportlist > /root/filename

38.下列命令可以檢測本地OSSIM服務器Memcache端口是否在監聽。

A telnet 127.0.0.1 11211 B.ping 127.0.0.1

39.RabbitMQ採用了語言編寫的AMQP服務器。

A．Erlang B.XML C.Python

40.下列選項中不屬於OSSIM緩存系統的是。

A．Redis B.memcached C.squid D.samba

41.下列選項中（）屬於內存持久化數據庫。

A．Redis B.memcache C .MySQL D .Squid

42.下列選項中不是OSSIM內置數據庫。

A.SQLite B.Redis C.MySQL D mongoDB E.PostgreSQL F hbase

43. Redis運行高效的原因是（）。

A.所有數據都在內存

B.Redis和OSSIM Server 之間沒有網絡延遲

C.Redis避免了線程切換的消耗

D.Redis採用C語言開發

44.在OSSIM平臺中的（）都模塊採用了Redis技術。

A．日誌消息隊列 B. Openvas漏洞掃描器 C.OTX D . nmap

45.查看Redis服務器統計信息是（）。

A．redis_cli info B. redis_cli -v

46.RabbitMQ通信端口爲（）。

A.TCP 5672 B.UDP 5672 C.UDP 12001

47.下列哪種方式中不能用於日誌收集的是（ ）。

A．文本方式 B.SNMP Trap方式 C.Syslog D.代理程序 E.端口鏡像方式

48.日誌服務器IP地址爲192.168.11.1，下列rsyslog.conf中（ )配置是實現UDP協議轉發，（ ）配置實現TCP協議轉發。

A . *.warning @192.168.11.1:514

B. *.warning @@192.168.11.1:514

C *.warn @192.168.11.1:1514

49. Syslog每條消息最大長度爲( )，一千萬條syslog日誌將約佔用（）磁盤空間。

A . 1019 byte B.100GB C.1TB D. 10GB

50.根據ISO 27001安全審計要求，原始日誌至少保存時間爲（）。

A．7天 B.1個月 C.90天 D.1年

51.下列選項中不屬於iptables日誌記錄形式的是（）。

A.log B. ulog C . nflog D dlog

52.Rsyslog （）多線程，它可以通過（）協議實現Syslog日誌消息轉發和接收。

A．支持 B.不支持 C.TCP D.UDP E.IP

53.OSSIM關聯策略配置文件位於（）。

A ./etc/ossim/server/config.xml B ./etc/ossim/agent/config.xml

54.下列風險Risk計算公式正確的是( )

A Risk=（asset*priority*reliability）/25 B Risk=asset*priority*reliability/25

55. 資產Asset 的取值範圍爲 ( )，asset默認值爲2， Asset值（），對資產影響越大，受重視程度越高。優先級Priority 的取值範圍爲( )，默認值爲 1，該參數描述一次成功***，所造成的危害程度，數值越大危害程度（）；可靠性Reliability 的取值範圍爲 ( )，默認值爲 1，其值（），代表越不可靠。

A．越高 B.越低 C.1~5 D.1~10

56．OSSIM下資產掃描分爲主動監測和被動監測掃描兩種，其中_ ___屬於主動檢測，_____屬於被動監測。

A．prads B.p0f C Nmap

57.現需要調整Risk的值，可通過設置______實現。

A .Pririty B.Reliability C.asset D.plugin_ID

58.以下命令的作用是（ ）。

#/etc/init.d/nagios3 restart

A 重啓Nagios服務 B 加載Nagios插件

59.以下命令的作用是（ ）

#nagios3 -v /etc/nagios3/nagios.cfg

A．檢驗Nagios配置是否正確

B．查看Nagios版本

C．加載Naigos服務

60.下列選項中不屬於RRD Tool繪圖流程的是（ ）。

A．創建RRD文件

B．更新RRD數據

C. 繪圖

D．刷新圖像

61.OSSIM系統的Nagios、Ntop、Munin以及Netflow子系統中圖像文件存儲在下列( )數據庫中

A .Redis B.RRD Tools C.MySQL

62.OSSIM系統中Nagios插件位於（）。

A．/usr/lib/nagios/plugins/

B． /etc/nagios/plugins/

C. /etc/agent/plugins/

63.OSSIM 5.0 中爲了使Ntop分析數據包提高性能採用了技術。

A.PFRING B.libpcap C端口鏡像

64.Ntop將圖形數據存入數據庫中。

A.MySQL B.rrd C. Redis

65．Netflow數據是通過（）協議傳輸。

A．TCP B.IP C.UDP D.SAN

66.下列（）命令可實現在思科路由器上啓用NetFlow，並轉發送接收服務器192.168.100.1的555端口。

A．show ip cache flow

B．ip flow-export destination 192.168.100.1 555

67.在NetFlow模塊由中，( )用於數據採集、過濾及存儲，（）用於將藉口收集的數據轉化爲NetFlow格式，（）用於生成圖形化分析界面。

A. nfdump B. fprobe C . nfsen D. nfcapd E.nfprofile F.nfreplay

68.下列（）命令可以快速查看fprobe進程及通信端口。

A ps -ef |grep fprobe B netstat

69.混合方式安裝的OSSIM系統，默認由fprobe程序將收集的數據按照一定規則換爲Netflow格式，然後轉發到系統的（）端口。

A. 555 B.12000 C 12001

70.Prads 是被動實時資產檢測的簡稱，它採用（）獲取網絡資產信息，可實現資產信息監測服務。

A.數字指紋 B.日誌採集技術 C.全網掃描

71.PARDS程序可從嗅探到的數據包中分析MAC、TCP、UDP，再通過和自己所帶的指紋庫對比，從而得到統一的狀態表。OSSIM中這種指紋庫文件存儲路徑爲 ___擴展名爲_______ 。

A /etc/prads B /etc/pads C .pf D XML

72.局域網爆發尼姆達蠕蟲病毒時，不能通過OSSIM_____功能感知到網絡異常行爲。

A.RAW log B.WebUI中儀表盤 C.NetFlow D.SIEM事件控制檯 E.Ntop

73.在分佈式環境中，抓取傳感器（IP地址爲192.168.11.29），如圖4所示。OSSIM服務器IP爲192.168.11.160，OSSIM傳感器IP爲192.168.11.29。

圖4 分佈式系統中選擇傳感器

圖4中的數據包，抓包文件位於（）。

A.OSSIM服務器 /var/ossim/traffice/目錄

B.傳感器192.168.11.29 /var/ossim/traffic/目錄

74 .在目錄/var/cache/nfdump/flow/live/下刪除NetFlow產生的過期數據（）影響查看NetFlow歷史流量信息。

A .會 B.不會 C.不確定

75.OSSIM系統中源碼文件jquery.base64.js主要用途是（）。

A加密/解密 B.數據編碼

76.(___ )軟件包可以讓Python支持MySQL數據庫。

A.python-mysqldb B.mysqldb

77.OSSIM系統中/usr/share/ossim/www/js/jquery.base64.js文件的作用是（）。

A.加密解密 B. 登錄系統時保存用戶名和密碼

78.OSSIM系統中/usr/share/ossim/www/js/jquery.cookie.js文件的作用是（）。

A.加密解密 B. 登錄系統時保存用戶名和密碼

79.需要查看系統加載了哪些PHP擴展模塊輸入命令。

A.php -m B . php -version

80. 爲了限制PHP上傳文件的大小可以修改php.ini文件中的參數。

A. post_max_size B.upload_max_filesize

81.命令“php —ini”的作用是

A. 查找PHP CLI的ini文件位置 B. 初始化PHP程序

82.小張剛裝完OSSIM系統，立即在Web瀏覽器輸入服務器IP（假定爲a.b.c.d），https://a.b.c.d/，等了很長時間卻無法打開Web界面，隨即採用w3m命令在命令行下檢測Web，

輸入命令：w3m https://a.b.c.d/後得到如圖5所示界面。

圖5 w3m訪問OSSIM的界面

以上信息說明了這臺OSSIM平臺Web Server服務在（），爲了驗證還可以採用（）命令。

A.停止狀態 B.啓動狀態 C.無法判斷 D.netstat –na |grep 443 E.ps -ef |grep apache2

83.下列命令無法實現命令行下訪問Web Server。

A https B .lynx C .w3m D.httpie

二、判斷題《開源OSSIM企業運維疑難問題解析》提高篇課後練習題

1.OSSIM 5中Suricata默認不支持PF_Ring。（）

2.命令“suricata --build-info”可以查看Suricata工作模式（）

3.NIDS通常以混雜模式工作，通過監視網絡流量的副本。它通過將流量與已知***（也稱爲簽名）的數據庫進行比較或通過檢測流量模式中的異常來分析流量。如果被識別，則生成NIDS事件告警。（）

4.Snort可以把它產生報警的所有封包內容完全記錄下來。（）

5. 當Suricata工作在IDS模式下，可使用drop操作的規則，這些丟掉的數據包信息就會存儲在drop.log文件中。（）

6.Suricata和snort都是單線程處理程序，只不過Suricata比Snort有更新的檢測規則。（）

7.Suricata在對流量檢測之前需要將所有的規則簽名加載到內存。（）

8.Suricata 啓用自帶的IPS功能就可攔截網絡中有害數據包。（）

9.通過vi /var/log/suricata/unified2.alert.1514956476命令可以文本方式查看suricata日誌。（）

10.OSSEC日誌由純文本格式的文件組成。（）

11.OSSIM中HIDS數據通過在交換機設置端口鏡像（SPAN）獲取。（）

12.若Sensor系統重裝導致OSSEC Server的密鑰失效，那麼所有OSSEC Agent連接失效。（）

13.OSSIM Server防火牆規則中默認放行1514端口，故在Windows 7/8/2012 系統上安裝OSSEC Agent需要客戶端上無需關閉防火牆。（）

14．OpenVAS中的NASL是由***腳本組成，所以用OpenVAS進行測試就是網絡***行爲。（）

15.OSSIM系統中的OpenVas漏洞庫文件放置在/var/cache/openvas/目錄下。（）

16.在進行漏洞掃描過程中X-scan的CPU佔用率相對於Nessus要低。（）

17.Redis利用消息隊列技術將並多個Sensor併發傳遞來的日誌消息變爲串行訪問，消除了MySQL數據庫串行控制的開銷。（）

18. OSSIM平臺下Redis採用單進程，單線程模式工作。（）

19．Memcached是具有身份驗證功能的緩存服務系統，它的多線程模式可以充分利用CPU功能。（）

20. Memcached不具備身份驗證功能。（）

21.Rsyslog是Syslog的升級版實現了多線程傳輸日誌，Rsyslog可以通過TCP/UDP協議實現syslgo日誌消息轉發和接收，但不支持多路日誌轉發，也就是不支持將同一條日誌轉發到兩臺日誌收集器 ( )。

22.syslog協議可將日誌以加密形式存儲。（）

23.OSSIM關聯指令規則不可以遞歸但可以嵌套。（）

24. 在OSSIM系統運行之前，必須爲已知的***場景建立對應的樹形規則集，在啓動時，系統將預先定義好的指令讀入內存，在接收到一個事件後，先將該事件與之前已經匹配，而還沒有匹配完的指令中的規則進行匹配，然後在與其他規則匹配。（）

25. 資產掃描時由於指紋庫不全會出現掃描的操作系統和實際操作系統版本不一致的情況 ( )

26. 當事件的風險值Risk大於等於1時，SIEM控制檯會將Alert升級爲Alarm（）

27.在菜單Configuration→Threat Intelligence→DataSource中可以調整可靠性和優先級的值（）

28. 關聯引擎（Server）是OSSIM安全集成管理系統的核心部分，它支持分佈式運行，負責將Agents傳送來的歸一化安全事件進行關聯，並對網絡資產進行風險評估。（）

29.爲監控資產可靠性可在Sensor上調整配置Nagios的conf文件。（）

30.Ntop中產生的網絡流向圖，名爲network_map.png，每120秒被刷新一次（）

31.在OSSIM中可以通過命令“service netflow restart”重啓NetFlow服務。（）

32.OSSIM系統中使用Nmap和Netflow工具，它們主要區別是Nmap發出的雙向交互流量信息，而Netflow是被動接收單向流量並採集（）

33.NetFlow流量監測可以發現SQL注入、HTTP Get、Sync flooding網絡***。（）

34.NetFlow選用簡單高效UDP傳輸協議方式，但數據傳輸的可靠性是不保證（）

35.Netflow接收數據採用UDP協議，sFlow協議採用TCP協議，端口爲6343。（）

36.基於NetFlow流量採集，由於通過軟件算法實現，使用過程中對網絡帶寬影響很大（）

37.OSSIM平臺一腳本jquery.datatables.js具有自動分頁處理、即時表格數據過濾、數據排序以及數據類型自動檢測及自動處理列寬度的功能。（）

三、簡答題《開源OSSIM企業運維疑難問題解析》提高篇課後練習題

1. 當Snort檢測到匹配的數據包時，有幾種處理方式？

2.在/etc/snort/rules/local.rules文件添加一條檢測規則，爲何不生效？

3.Nginx支持Syslog日誌轉發功能嗎？

4.圖6中Risk風險數值如何計算出來？如何手動改變Risk值？

圖6 Risk風險數值 $說明: C:\Users\win\Documents\Tencent Files\101035730\Image\C2C\4B69762E1C2EABD081A1E8EF08EA76D3.jpg$

5. 風險評估三要素是什麼？

6.在下列給出一段的樹型關聯規則代碼實例中，如圖7所示，參數Occurrence表示什麼含義？

圖7 ***掃描指令示例

7.對於由OSSEC和Snort工具所產生的對同一***行爲的重複報警信息的採用什麼方法合併？

8.在儀表盤中Risk顯示的Risk Metric的C、A值表示什麼含義？

9.內網一臺郵件服務器資產值設定爲5，而Priority和Reliability的默認值設置爲3，試問這臺服務器Risk值爲多少？

10.調整了Nagios配置文件後，如何檢驗配置是否正確？

11. OSSIM平臺通過NetFlow採集的數據存放在什麼位置？

12.請解釋指定參數的含義。

OSSIM的Python環境下通過MySQLdb提供了connect方法用來連接數據庫，請正確填入下劃線參數的含義。

在/usr/share/ossim/scripts/checkEvents.py腳本中有如下語句

conn=MySQLdb.connect(host="localhost",user="dbUser",passwd="dbPass",db="snort"

解釋：

host:

user:

passwd:

db:

13．如何查看PHP信息？PHP配置文件在何處？

14.如何詳細瞭解OSSIM系統進程的網絡帶寬佔用情況？

15.如何對OSSIM目錄大小進行排序？

16. 如何將tcpdump抓包存入文件?

17.分佈式OSSIM系統中，在分析遠程某個網段的數據包時，捕獲的pcap文件存儲在什麼位置？

18.將PHP模塊名稱和對於含義，用線段正確連接。

《開源OSSIM企業運維疑難問題解析》提高篇課後習題