Q005 举例说明Snort采用什么规则检测可疑载荷？

Snort不仅检测IP包头的数据，而且还对数据包进行深度检测。例如在OSSIM系统中，打开文件/etc/snort/rules/deleted.rules，查看第5807行的规则，如图1-4所示。

图1-4 Snort规则

该规则表示，如果一个包头的载荷中含有“I|00|P|00|C|00 24 00 00 00|”，则表明从外部网络发送给运行SMB服务的计算机的TCP流量触发了Snort报警。在检测中发现，“sid=538”所占比例较大，这种载荷可能会引起一些旧版本的Windows系统发生缓冲区溢出，最终导致机器崩溃。