Questão nº 46

Questão de Tecnologia da Informação · FGV CVM 2024 (nº 46)

FGV2024Analista CVM - TI Infraestrutura e Segurança (Perfil 9)Tecnologia da Informação
Gabarito: Cver comentário ↓

Foi configurado o Snort com a seguinte regra:
Alert tcp BINARIOany>BINARIO any -> HEXA any
(msg: "SCAN SYN FIN" flags: SF, 12;
reference: arachnids, 198: classtype: attempted
Analisando a regra acima, é correto afirmar que:

Resposta comentada

Gabarito Alternativa C

Snort é um Sistema de Detecção de Intrusões (IDS) que utiliza regras para monitorar o tráfego de rede e identificar padrões de atividades maliciosas ou suspeitas, gerando alertas quando uma correspondência é encontrada.

  • (A) Incorreta: A porta de origem é especificada como any (qualquer porta). O número 12 faz parte da opção flags e representa uma máscara de bits de controle TCP, não uma porta.
  • (B) Incorreta: A porta de destino é especificada como any (qualquer porta). O número 198 faz parte da opção reference, que aponta para uma referência externa sobre o tipo de ataque, não uma porta.
  • (C) Correta: A opção flags: SF, 12; verifica os bits de controle TCP. SF significa que os bits SYN (Synchronize) e FIN (Finish) devem estar setados (com valor 1). O número 12 é uma máscara (em binário 00001100), que indica que os bits PSH (Push) e RST (Reset) devem ser ignorados na verificação. Os demais bits (CWR, ECE, URG, ACK) devem estar desativados (com valor 0). Portanto, a condição principal que está sendo verificada é que SYN e FIN estejam com valor 1.
  • (D) Incorreta: A barra invertida \ (backslash) é usada no Snort para indicar que a regra continua na próxima linha física, melhorando a legibilidade. Ela não serve para "escrever instruções em uma única linha", mas sim para permitir que uma única instrução lógica seja dividida em várias linhas físicas.
  • (E) Incorreta: $BINARIO e $HEXA são variáveis, mas não são predefinidas com esses nomes no Snort (variáveis predefinidas comuns são HOME_NET, EXTERNAL_NET). Elas seriam definidas pelo usuário para representar endereços IP ou redes, não tipos de arquivos. A armadilha aqui é confundir o uso de variáveis com seu propósito e tipo de dado.

Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho