Q002 Snort 2.9版本中主要有哪些预处理插件，各有什么功能？

在OSSIM 4.1中HIDS使用了Snort 2.9.3版本，在配置文件/etc/snort/snort.conf中Snort提供了14种预处理插件，下面介绍7种常用预处理插件的功能。

·Frag 3：该预处理插件能检测出与IP包分段有关的攻击，它是Snort应对IP分段攻击最有效的武器。

·Stream 5：该预处理插件可维持TCP流的状态，能检测某些信息收集类型的攻击。Stream 5预处理插件使Snort具备流重组和状态分析的能力，能够跟踪TCP和UDP会话。它给用户提供超过256个TCP同步连接，最大能够处理1048576个TCP同步连接。Stream 5还可以检测和处理在数据覆盖、TCP时间戳、FIN和RESET序列号等方面存在的异常。

·ARP Spoof：它是检测ARP的预处理程序。目前涉及ARP的攻击种类繁多，它们以ARP欺骗为基础，通过构造特殊ARP请求和应答包来达到目的。ARP Spoof预处理不但能检测此类攻击和ARP欺骗试探，而且能检测到ARP高速缓存重写攻击。它的配置选项为host IP address host MAC address，参数配置在snort.conf的第400行。

·HTTP Inspect：该插件用于解析HTTP报文，能发现一些针对HTTP的攻击。HTTP Inspect一次仅能检测一个报文，而不能将HTTP会话中不同报文关联起来进行检测。

·sfPortscan：该模块可用来应对侦查踩点（reconnaissance）阶段的扫描行为。因为在攻击发起之初，攻击者对目标网络并不了解，所以为了得到目标网络的主机信息，它往往会使用扫描工具发起扫描，以获得目标主机的回应，而sfPortscan可发现这种扫描。

·SMTP：检测SMTP流量，并对数据内容进行规范化。

·FTP/Telnet：可以对Telnet或FTP流中嵌入的二进制控制代码进行解码。黑客在试探过程中会将控制代码插入流量中来躲避Snort检测。