Q005 举例说明Snort采用什么规则检测可疑载荷？_开源安全运维平台OSSIM疑难解析：提高篇-QQ阅读男频科幻网

书名：开源安全运维平台OSSIM疑难解析：提高篇
作者名：李晨光
本章字数：188字
更新时间：2020-08-27 11:57:52

Q005 举例说明Snort采用什么规则检测可疑载荷？

Snort不仅检测IP包头的数据，而且还对数据包进行深度检测。例如在OSSIM系统中，打开文件/etc/snort/rules/deleted.rules，查看第5807行的规则，如图1-4所示。

图1-4 Snort规则

该规则表示，如果一个包头的载荷中含有“I|00|P|00|C|00 24 00 00 00|”，则表明从外部网络发送给运行SMB服务的计算机的TCP流量触发了Snort报警。在检测中发现，“sid=538”所占比例较大，这种载荷可能会引起一些旧版本的Windows系统发生缓冲区溢出，最终导致机器崩溃。