Cách bảo vệ dữ liệu quan trọng và phương pháp phát hiện thâm nhập phần 2

Trang 1

Chưởng 4 Phương pháp kiểm tra và phát hiệ thăm hap 100 BI" Chương 4:

PHƯƠNG PHÁP KIEM TRA VA

PHAT HIEN THAM NHAP “Tim hiểu về một số hệ thống 1DS

'Hệ thống phát hiện thâm nhập 1D8 Hộ thống phát hiện thâm nhập Snort Chương trinh IDSCenter

Quin tri Snort biing IDS Policy Manager

"Để hệ thống của công ty nói chung và máy tinh cia ban nói riêng (được an toàn trong mọi tình huống thì ngoài việc chon cho máy tinh một chương trình điệt Virus đũ mạnh, xmột tường lửa hiệu quả thì bạn cân phải có một chương trình giúp kiểm tra và phát hiện thâm nhập (D8)

6 rất nhiễu chương trình IDS (Intrusion Detect System), nhưng không phải chương trình nào cũng đủ mạnh và hiệu quả Vì vậy, để bạn đọc nhanh chóng nấm bắt được các kiến thức cần thiết vẻ IDS va quan tr} sắc công cụ này một cách tốt nhất, chương này chúng lôi tập trung giới thiệu cách sử dụng và cấu hình công cv Snort cũng như các tiện ích giúp bạn sử dụng và quản lý Snort

Snort là một IDS miễn phí, khi được cài dat và cấu hình trên máy, tính nó sẽ là một hệ thống kiểm tra và phát hiện thâm nhập tuyệt vời Smor là chương trình mã nguễn mở nên bạn có thể viết luật và điểu chinh các biến một cách dễ dàng:

Trang 2

36 Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập

1 Tìm hiểu về một số hệ thống IDS 1, Giới thiệu

Các Hackers, Attackers luôn tìm những mạng máy tinh có khả nang théa hiệp để phát hiện những lỗ hổng, từ đó đưa ra các phương pháp thâm nhập phù hợp với lỗ hổng mà Hacker tìm được

Lya chon và điều chỉnh các thiết lập phù hợp trong mạng máy tinh của bạn có thể dé dang ngăn chặn các truy cập của Hacker,

IDS, Firewall vk Honeypot la cde ky thuật quan trọng có thể giúp "gĩn chặn hiệu quả sự thâm nhập của Attacker từ những mang thỏa hiệp 3 Một số thuật ngữ

* Intrusion Detection System (IDS): Day la hé théng phat hign thâm nhập, Chức năng chính của nó là kiểm tra tất cả các hoạt động của mạng Inbound và Outbound, xác định những mẫu đáng nghĩ ngờ, tử đó chỉ ra một cuộc tấn công có thể xảy ra từ hệ thống thỏa hiệp

Firewall: Là một chương trình phẩn mềm hoặc một thiết bị phẩn cing có khả năng bảo vệ tài nguyên của mạng riêng từ người dùng hoặc từ những mạng khác +

*_ HOneyport: Là một hệ thống tài nguyên thông tín được xây dựng với Thục đích gid dạng, đánh lừa những người sử dụng và kẻ xám nhập

không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng lếp xúc với hệ thống thật Honeypok có thể giả dạng bất cứ loại máy ghủ nào như Mail Server, Domain Name Server, Web Server Honeypot sẽ trực tiếp tướng tác với tỉn tác và tìm cách khai thác thong tin về tín tặc như hình thức tấn công, công eụ tấn công hay ch thức tiến hành

II Hệ thống phát hiện thâm nhập IDS

1 Giới thiệu về IDS

Trang 3

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 18! IDS phát hiện dựa trên các đếu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm điệt virus dựa vào các đấu hiệu đặc biệt để phát hiện và diệt virus) hay đựa trên sơ sánh lưu thông mạng hiện tại với baseline (thông số chuẩn được thiết lập sẩn trong hệ thống) để tim ra các cấu hiệu khác thường

3 Chức năng của IDS

Chức năng cũa TDS ta có thể tóm tắt như sau: 8.1 Chức năng chính

Chức năng chính và quan trọng nhất của một hệ thống IDS là Giám sát - Cảnh báo ~ Bảo vệ

Giải thích:

$ Giám sát Giám sát các lau lượng mạng, các hành động bất thường và các hoạt động khả nghỉ Báo cáo: Khi đã biết được các hoại động bất thường của một (hoặc một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thống và người quản trị: © Bio vé: Dong những thiết lập mặc định và những cấu bình từ "người quản trị để có những hành động chống lại kẻ thâm nhập và phá hoại 2.2 Chức năng mở rộng Ngoài những chức năng chính đã giới thiệu trên, ID8 còn có các chức năng khác như:

+ Phân biệt “Tha trong giậc ngoài": Đây là chúc năng rất hay của IDS, nó có thể phân biệt được đầu là những truy cập hợp lệ (không hợp lệ từ bên trong và dâu là cuộc tấn công từ bên ngoài vào hộ thống

$ Phát hiện: Dựa vào sự so sánh lưu lượng mạng hiện tại với Baseline, IDS có thể phát hiện ra những đấu hiệu bất thường và đưa ra các cảnh báo và báo vệ ban đầu cho hệ thống

8, Nơi đặt IDS

Giả sử ta có một mô hình mạng như hình 4.1, các thành phẩn chính của mô hình này như sau:

Trang 4

98 — Chương á: Phương pháp kiểm tra và phát hiện thâm nhập

Internal Network: Đây là hệ thống mạng cục bộ, gốm các máy trạm,

Firewall: Treng mô hình này, ta sử dụng hai tưởng lửa và được đặt ở hai vị trí khác nhau

$+ IDS: He thống IDS được đặt tại hai tường lửa và hoạt động theo nô hình cia meng DMZ,

TRouter: Hệ thống định tuyến, được dùng để truy cập ra Internet, External Network 1, 2: Là hai hệ thống mạng độc lập và liên Ine với nhau thông qua VPN (Virtual Private Network) (xem hinh 40 * +

Tình 4.1: Nơi doe IDS, 4 Phân loại IDS

4.1 Network Based IDS (NIDS)

“Bay la he thống 1DS được đặt giữa kết nối hệ thống mạng bên

trong và mạng bên ngoài để giám sát tất cả lưu lượng vào ra

Trang 5

Nhược điểm của IDS nay là có thể xảy ra hiện tượng thất cổ chai khí lưu lượng mạng hoat dong ở mức cao (xem hình 42) 1S Etna Network Fiewal é Ly) toteret a 2 NDS — tạ * _- Internal Network

Tình 4.8: Network Based IDS (NIDS) 4.2, Host Based IDS (HIDS)

Loại IDS nay duge cai dat eve bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiễu so với N1DS

Chức năng chính của HIDS là kiểm soát lưu lượng vào ra trên một, máy tính, có thể được triển khai trên nhiều máy tính trong hộ thống mang

Trang 6

140 Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập External Network @~ ; wai — Ira Natok gia re ips - 9 HDS Pc

‘Hinh 4.3: Host Based IDS (HIDS), 4.3 Theo doi tap tin Log

Một số hệ thống IDS thường phân tích dữ liệu trong các tập tin log 46 xde định và đứa ra cảnh báo về một cuộc tấn công nào đó Quá trình phân tích các thông tin trong tập tìn log sẽ được thực hiện ngay khi một chuỗi các sự kiện truy nhập lỗi được các chương trình log ghỉ lại

4-4 Miểm trở sự toàn nen của tập tin

Co chế này có chức năng kiểm tra sự tên tại của Trojan hay sự toàn ven sác tập tin, xác định xem các tập tin này có bị sửa đổi hoặc bị thâm nhập hay không,

5 Các cách phát hiện thâm nhập

ð.1 Phát hiện thâm nhập dựa oào luật

"Đây là phương pháp phát hiện thâm nhập dựa vào những hiểu biết VỀ các cuộc tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hop Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record),

Trang 7

“Chương á: Phương pháp kiểm tra và phát hiện thâm nhap 140 B® 5.8 Phân biệt § định người dùng

ỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên bệ thống (chức năng người dùng) Bộ phân tích giữ một tập nhiệm vụ có thể chấp nhận cho mỗi người đùng Nếu có bất kỳ một truy cập nào không hợp lệ thì hệ thống sẽ đưa ra một cảnh báo

5.3 Phân tích trạng thái phiên

Mật tấn công được miêu tả bằng một tập các mục tiêu và phiên Để thâm nhập hoặc gây tổn bại cho hộ thống thì Hacker cần phải thực biện thông qua các phiên này Các phiên được trình bày trong sơ đổ trạng thái phiên Nếu phát biện được một tập phiên vi phạm, ID6 sẽ tiến hành cảnh báo hay hồi đáp lại bằng các hành động đã được định trước 5.4 Phương pháp phân tích thống kê

Hành vi người ding hay hệ thống được tính theo biến thời gian; ví dy cfc bién như: đăng nhập, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,

"Hệ thống sẽ lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Tuy nhiên, phương pháp này không thích hợp với mô hình hành vi người ding ey thé

VÀ vậy, một md hinh tinh vi hon về hành vi người dòng đã được phát triển bằng cách sử dụng thông tin người ding ngấn bạn hoặc dài đối trong hành vi người dòng Các phương pháp thống kê thường được sit dụng để bổ sung vào IDS làm tăng khả năng và độ chính xác của hệ thống khi đưa ra các hành động

II Hệ thống phát hiện thâm nhập Snort 1 Giới thiệu

Snort 1a một IDS, né là một chương trình được cài đặt trên mạng, (hay máy tính), nhiệm vụ của Snort là giám sát những gối tin vào ra hệ thống của bạn

Trang 8

442 Chương 4: Phương pháp kiểm tra và phát hiển thâm nh

“Tuy nhiên, Snork chỉ số thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được đấu hiệu (signature) của các cuộc tấn công đó, Dựa vào điểm này, các Hackers e6 thé diu chink các cuộc tấn công để thay đổi sighature của cuộc tấn công đó Từ đó, các cuộc tấn công này có ‘thé "qua mặt” được sự giám sát của Snort

Như vậy, 48 Snort hoat động hiệu quả thì một trong những yếu tố quan lrọng cẩn phải chú ý là các luật viết cho Snort Khi Snori hoạt động, nổ sẽ đọc các tập luật, giám sát luồng đữ liệu chạy qua hộ thống và sẽ phản đng nếu có bất kỳ luỗng dữ liệu nào phù hợp với tập luật của nó

"Tập luật có thể được tạo ra để giảm sát các công việc quết cổng (eeanning), tìm đấu vết (footprinting) hoặc nhiều phương pháp khác mà các Haeker dùng để tìm cách chiếm quyển hệ thống Tập luật nay có thể được tạo ra bởi người ding hose truy cập đến trang chil cia Snort la httpJhewtw.snort.org để tãi về

3 Download và cài đặt Snort

Để download và cài đặt Snort, bạn thực hiện theo các bước sau 1 Mở trình duyệt bất kỳ, trên thanh Address (địa chỉ nhập

Trang 9

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập us

3, Trong mục Latest Production Snort Release, nhấp vào mục CHekk to view binaries (xem hình 4.5)

Hình 4õ: Nhấp uào mue Click to view binaries

4, Tai mye Binaries, ban nhấp vào liên kết Win8#/ để mở thư mục chứa chương trình Snort (xem binh 4.6) Si me

Hình 4.6: Mở thư mục chứa chương trình Snort

Trang 10

Hinh 4.7: Mé thu mye old,

6 Kéo thanh trượt xuống dưới và nhấp vào liên kết Snort 283_Build14_Installer.exe để download Snort về máy tính (xem bình 4.8)

inh 4.8: Download Snort v8 mdy tinh

7 Sau khi qué trinh download hoàn thành, bạn nhấp đôi vào tập tin Snort.288.Build14_Enstaller.exe (tập tin Snort vừa download về

máy tính) để khôi động chương trình cài đặt

Trang 11

vương 4: Phuong php kidin tra va phét hiện thâm nhấp — 146 ÑŸ”

9, Tai trang Installation Options, hãy xác định loại cơ sở dữ liệu mà ban muốn chương trình hỗ trợ Vĩ dụ, chọn Ï đo not plan to log to a database, or I am planning to log to one of the databases Histed above, sau đó nhấp nút Next để tiếp tục (xem hình 4.9), "mm — @ en eer tty ame pan TU RE in neyo ee omnes ng, mee Sve KT nannnnaawaaan ae

Hình 4.9: Chọn đối tượng mà bạn muốn chương trình hỗ trợ 10 Tai trang Choose Components, đánh dấu chọn vào các mục: Snort,

Trang 12

146 — Chương á:Ph đi

im tra và phát hiện thâm nhập 11 Tai trang Choose Iastall Loeation, nhấp nút Browse để thay đổi đường dẫn cài đặt chương trình, sau đó nhấp nút Next để cài đặt Snort Trong mục này chúng tôi để mặc định là C:\Snort Hướng dẫn thêm:

‘Sau khi quá trình cài dat Snort thành công, chứng ta sẽ có thêm, thư mục Snort tại ổ đĩa của máy tính Trong thư mục C:\§nort có 7 thư mục con đồ là: bin, contrib, doc, ete, log, rules, schernas và tập tin Uninstall.exe Chức năng cụ thể của từng thư mục như sau:

#_ Bìn: Đây là thư mục chứa tập tin thye thi Snort.exe và một số tập tin DLLs được gọi khi Snort chay

® Contrib: Thư mục này chứa một số chương trình liên kết và một 86 Add-ons clin Snort

Doe: Thur mye nly chứa các tùy chọn của Snort và một số mô tả về các diấu hiệu $# Ete: Thư mục này chứa một số tập tin cấu hình của Snort như snort.cont + ® Log: This mye may chứa những tập tin nhật ký của chương trình Khi mới được cài đật và chưa kích hoạt thì thư mục này cua có tập tin nào

Rules: Day 18 thir mye rất quan trọng vì nó chứa tất cả các tập tin luật của Snort

Schemas: Thu mye này chứa cá mô hình cơ sở dữ liệu 3 Download và cài đặt WinPeap

“Trước khi sử dụng Snort thi mdy tính của bạn phải cài đặt chương: trình WinPeap Để download và cài dat WinPeap, bạn thực hiện theo các bước sau

1 Mô trình duyệt bất kỹ, trên thanh Address (thanh địa chỉ) nhập htip/Awww.wlnpeap.org, sau đó nhấn Enter để vào giao điện chỉnh “của trăng cong cấp chương trình WinPeap

Trang 13

ch vương 4: Phương pháp kiểm tra và phát biện thâm nhập — 14

dt

3, Kéo thanh trượt xuống mục Older Versions, sau đó nhấp,

Archive để mỡ thư mục chứa các phiên bản cũ hơn của WinPcap Để tương thích với Snort 23.8 thi hệ thống yêu cấu phải có Description — — | [, Ệ SE me: r=eoi |ẤHPCAp|Y gen gen Hình 4.11: Nhdp vao mye Get WinPeap vào liên kết WinPeap 3.0 hoặc mới hơn Trong rave này chúng ta sẽ sử đụng WinPeap 8.0 (xem hinh 4.12), Sau khi quá trình đownl‹ 8.0.WinPeap.exe (t4p tin chương trình CS GÀ _ bre Mtn Renae event cmon nt vert ora a te GE) = Hình 4.18: Mở tư mục Archiue

Trang 14

148 —— Chương 4: Phương pháp kiếm tra và phát hiện thâm nhập 6 Tiép theo, bạn thực hiện cài dat WinPcap như các chương trình bình thường khác

4 Download va cai dt Rules cho Snort

Dé Snort hoạt động tốt thì sau khi cài đặt chương trình, ta phải cập nhật Rules cho nó, các bước thực hiện như sau:

L Mở trình duyệt bất kỷ, trên thanh Address nhập httpe/www.snortorg, sau đó nhấn Enter để mở trang, Tai trang www.snort.org, bạn kéo thanh trượt xuống dưới và nhấp vào liên kết Not Registered để mở trang đăng ký tài khoản

Để download được các Rules của Snort thì trang này yêu cầu người dùng đăng ký một tài khoản Ngoài việc tải ede Rules, người dùng có thé sử dụng tài khoản miỄn phí này để thảo luận các mục liên quan đến Snort trén điễn đàn (xem hình 4.13) đc 2s sem Sean ey af Mo 6 in CONFERENCE & SOURCEFIR poo BSS ¿005 0100)

"Hình 4.18: Nhấp oào muc Not Registered

$ Tại mye Enter Registration Information, bạn thực hiện như sau để đăng ký tài khoản: #_ Firstname: Nhập vào tên của bạn

'#_ Lastname: Nhập vào họ của ban,

Trang 15

Chương 4: Phương pháp kiểm tra và phát hiện thám nhập — 148

Company/Organization: Nhập tên công ty hoặc tổ chức mà bạn đang làm việc (tên bất kỳ)

"Nhập vào địa chỉ của bạn (tùy 3) (City: Nhập tên thành phố,

State/Province: Nhập NIA

+ Address 1,

'Country: Nhập tên quốc gia

Zip: Thành phố Hé Chi Minh nhập 70000, Hà nội nhập 40000,

Email Address: Nhập địa chỉ Email của bạn, địa chỉ này phải có thật và được sử dụng để kích hoạt tài khoản

Forums Alias: Nhép vào tân, tên này được hiển thị khi bạn đăng nhập vào điễn đàn của Snort (xem hình 4.14)

Hình 4.1á: Nhập (hông tin dang by

Trang 16

GB iso chusomg 4: Phang psp kidm trà và phát hiện thâm nhập {upon fog econ tls a hep cocoanut ou shay fe the Sikotenretare =

Hình 4.16: ấy thông tin đăng nhập

6 Mở trình duyệt bất kỳ, trên thanh Address nh§p http//www.snortorg để mở trang nay “Tại mye Account, nhập địa chỉ email ma bạn đã dùng để đăng ký vào mye email, nhập paasword mà chương trình đã gửi cho bạn trong mục Password, sau đó nhấp nút Login để đăng nhập (xem hình 4.16),

2 to er bone ioe

l@- 2 LẾ 0y i) Be

na nh

(seo trae nado :

CONFERENCE '& SUA | 2OO8 ers 8 Hình 4.16: Dang nhap

Trang 17

Thương 4: Phương pháp kiếm tra và phát hiện thâm nhập 161” me Lo mr Hình 4.17: Nhấp nút Get Code 8, ‘Tai mye Configuration Changes, ban Copy (chép) URL sau htipuhwww.snort.orgipub-bin/oinkmaster.cgi/ 5a08{646c16a27Be1012e1cS4bdc8fab9a70e2ad!

snortrules-snapshot-2 tar.gz va Paste (dần) vào cửa sổ soạn thio Notepad hoặc một chương trình soạn thảo văn bản bất kỳ (xem hình

Binh 4.18: Copy URL

Trang 18

Hinh 4.19: Copy đoạn mã ào Clipboard

Trang 19

Chwong 4: Phương pháp kiểm tra và phát hiện thâm nhập — 153

Hinh 4.21: Download Rules

38 Giải nén t@p tin snortrules-snapshot-2.3.targz ta được thư mục snortrules-snapshot-2.3, sau đó chép tất cả các thư mục con của snortrules-snapshot-2:8 vào Ct\Snort (ghỉ đè lên các tập ti đã tôn tại)

14 Vào Start > Run nhập emd, sau đó nhấn Bnter để mở cửa số cmd 15, Tai đấu nhắc lạnh của của sổ cmđ, nhập Snort\bin\anort =W, sau đó nhấn Enter để thực hiện

Lạnh này có chức năng kiểm tra quá trình hoạt động của Snort và WinPeap Nếu WinPeap chưa được cải đặt hoặc phiên bản cài đặt không đúng thì những thong tin vé Driver eda Card mang trong hệ thống sẽ không được hiển thị (xem hình 4.22)

Tình 4.38: Kiểm tra hoat dong ciia Snort 5 Cấu hình tập tin Snort.conf

Trang 20

BAP 51 Chuang 4: Phuong php kiém tra va phét biện hôn nhập

lượng nguy hiểm, Việc tìm hiếu một cách thấu đáo những gì trong tập tin này và cách cấu hình chúng là rất quan trọng vì nó sẽ gép phần triển khai Snort một cách đúng đẩn và thành công trên hệ thống của bạn Để cấu hình tập tin Snort.eonf, bạn thực hiện theo các bước sau:

1 Vito Start > Run nhép emd, sau đó nhấn Enter để mở cửn sổ emd

3 Tại dấu nhấc lệnh của cửa sổ cmả, nhập ipeonfig /all để hiển thị tất cả các dja chi IP trong máy tính “Sau khi các địa chỉ IP được hiển thị, bạn ghí lại các thơng số như: © IP Address: Địa chỉ IP trên mấy tính của bạn, ví dụ 192,168.1.100 % DNS Servers: Địa chỉ IP của DNS, ví dy: 221.199.1.2 va 221,193,022 (xem hình 4.28)

Hinh 4.28: Ghi loi thông số TP

3 Nhấp phải chuột vào biểu tượng My Computer trên Desktop vi di chuyển đến thư mục C:\Snort 4 Nhấp đôi vào thy mye Bin và mở tập tin snort.eonf bằng Wordpad hoặc bằng bất kỹ một trình soạn thảo vân bản nào (rong mục này

chúng tôi dùng phân mễm Edit Plus để mồ)

Trang 21

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 155]

"Hình 4.34: Nhập địa chỉ IP của hệ thống cần Snort bảo uệ Hướng dẫn thêm:

Ban cũng có thể khai báo một miền địa chi IP bing cách xác định địa chỉ mạng và số bịt của Subnet Mask, ví dụ muốn bảo vệ tất cả các địa chi IP eda lớp mạng 192.168.10 và có Subnet Mask là 255.255.255.0 ban có thể khai báo là var HOME, NET 182.168.1024

Ngoai ra, bạn cũng có thể khai báo một nhóm các địa chỉ IP eda bảo vệ thay vì bảo vệ toàn bộ lớp mạng bằng cách đặt tất cả các địa chỉ TP cần bảo vệ trong đấu ngoộc vuông ([ ] và phân cách nhau bằng dấu phẩy Q) không có đấu khoảng trắng Ví dụ, cẩn bảo vệ 8 dja chi IP là 189.168.1100, 101001 và 1721601 bạn khai báo như sau: vì HOME, NET [192.168.1.100,10.10.0.1,172.16.0.1)

6 Tiếp tue trong tập tím snortcom, bạn tìm đến dòng var EXTERNAL NET any và thay tham số any bằng biến '§HOME, NET

Dấu chấm than 0) trong biến !§HOME,_NET là cách gọi phủ định, điều này có nghĩa là Snort sẽ xác định tất cã các địa chỉ IP trừ địa chỉ 182.188.1100 là địn chỉ bên ngồi và khơng thuộc phạm vi bảo vệ của Snort

Trang 22

Hinb 4.25: Khai bdo bién EXTERNAL _NET

7 Tiếp theo, bạn thm dong var DNS_SERVERS $HOME_NET, sau đó thay tham số $HOME_NET bing các dia chi IP của DNS Server Ví dụ thay biến $HOME_NET bằng địa chỉ IP (221.188.1.3/281.183.0.2] Sau khi thay giá trị khai báo thi dong var ĐNSSERVERNS $HOMENET thành var DNS SERVERS (#1.188.1.8,281.188.0.3] (xem hình 4.26)

Hinh 4.26: Khai béo biển DNS_SERVERS

8 Tìm dòng var SMTP.SERVERS $HOME_NET va thay tham số HOME, NET bằng địa chỉ IP trên máy tính của bạn Vi dy, thay tham số $HOME_NET bang dja chỉ 193.168.1.100 Sau “khi khai báo biến thì dong var SMTP_SERVERS $HOME_NET thinh var SMTP_SERVERS 192.168.1.100 (xem hinh 4,27)

Trang 23

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập, SL SETH OME IT Hinh 4.27: Khai báo biển SMTP_SERVERS wt

9, ‘Tim dong var HTTP_SERVERS $HOME_NET sau đó thay tham số $HOME_NET bang dja chi IP trên máy tính của bạn

Vi dy, thay tham s8 $HOME_NET bing địa chỉ 193.168 1.100 Sau khi khai báo biến thì dong var HTTP_SERVERS $HOME_NET thanh var HTTP_SERVERS 192.168.1.100 (xem hinh 4.28) tne SERVERS 101081100 a 1 fa rr te E= NI ERyEM tr ST Jamies -ù

Hình 4.88: Khai báo biến HTTP_ SERVERS

10 Tim dong var SQL_SERVERS $HOME_NET, sau đó thay tham số $HOME_NET bing dja chi IP trên máy tính của bạn

Trang 24

Hình 4.89: Xhai báo bién SQL_SERVERS

11, Tun dong var TELNETSERVERS $HOME_NET, sau dé thay tham số §HOME, NET bằng die chi IP trên máy tinh của bạn

‘Vi dy, thay tham s6 $HOME_NET bing dja chi 198.168.1.100 Sau khi khai báo biến thi dong var TELNET_SERVERS $HOME_NET thành var TELNET_SEIRVERS 19.168.1.100 (xem hinh 4.90) ‘SQL SERVERS 2168100 fl evr Ys tee Goren sen ‘anton arc yu nce ‘a SGP ENV SR NT 9 Co se avi pers Th low so oe eset clon ea Bat orphan le an eb ant SR, ek TỐT ine

‘Minh 4.30: Khai báo biến TELNET_SERVERS

Trang 25

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập 18 BE terme

Hình 4.31: Khai báo biến SNMP_SERVERS

18 Để giám bớt lưu lượng trong quá trình hoạt động của Snort thi tai tap tin snort.conf, bạn kéo thanh trượt xuống dưới cùng và tìm dòng include $RULE_PATH/bad-traffic.rules, sau đó đặt đấu thăng (#) ở đầu dòng này (xem hình 4.52)

Hình 4.88: Không sit dung tập tin bad-traffi.rules 14 Sau khi đã khai xong tất cả các mục, bạn nhấn tổ hợp phim Ctrl + 8

để la Hướng dẫn thêm:

"Tập tin saor©eonf được tổ chức thành nhiều phần và chứa nhiều lời chứ thích cũng như các hướng dẫn để nhắc ban vé mot số tùy chọn như:

Trang 26

6Ö — Chương 4: Phương pháp kiếm tra và phat hiện thâm nhập '#ˆ Cấu hình tiễn xử lý

Phần đầu của tập tin norL.conf dành cho việc khai báo các thing tản cấu hình Các biến này được sử dụng để gọi các luật của Snort nhằm “ác định chức năng của một số hiển thị và vị trí của các thành phần (xem hình 4.33)

tan nay KỆ Ngư

Mình 4.88: #chai báo các biến, vạch ra cách bố trí, môi trường 46 Snort có thể quyết định °ự kiện nào sẽ tạo ra cảnh báo Mặc định, các biến được khai báo với giá trị any (bat kỳ) Nó đúng với mọi địa chỉ IP, Khi giá trị này được sử dung, Tất có thể tạo ra một số lượng lớn các cảnh báo nhắm Do vậy, để xác định một địa chi đơn, ta chỉ cắn nhập vào địa chi IP đó,

Vi dy: var HOME NET 100,120.25.135,

Ban cing có thể khai báo nhiễu địa chỉ cho cùng một biến, mỗi nhóm dị chỉ này đêu phải nằm trong dấu ngoặc vuông và cách nhau bởi đấu phẩy (không có khoảng trắng)

‘Wi du: var HOME NBT (100.0.1.2,192,168.1.10,172,16.0.1) Ban cũng có thể xác định một không gian địa chỉ bằng cách xác dinh số các bịt trong Subnet Mask

Trang 27

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 161 var HOME_NET

{198.168.1.10,172.16.0.0/16,100.1.1.100,10.10.20.0/8

Bạn có thể sử dụng ký tự chấm than “” để dang trong việc phủ định một biến nào đó La ý rằng khi thiết lập các biến, bạn chỉ sử dụng tên biến Khi muốn sử dụng biển, ta phải đặt ký tự *$? trước tân biến Ví dủụ san đây sẽ thiết lập biến EXTERNAL, NET là tất cả các địa chỉ không nằm trong biến HOME, NET,

var PXTERNAL, NET !§HOME, NET,

hi khai báo cho biến cổng, ta có thể gán một cổng đơn, bay một đây các cổng liên tục hoặc là phủ định của một cổng

Vi du:

var ORACLE PORTS 1621,

var ORACLE_PORTS 8000:8080 (các cổng từ 8000 đến 8080) var ORACLE, PORTS :8080 (các cổng lớn hơn 8080) var SHELLCODE_PORTS !80 (không phải cổng 80) 'Các biến mặc định trong tập tin snort.conf la:

Trang 28

162 Chong 4: Phuong pháp kiểm tra va phát hiện thâm nhập 5 _ SHELLCODE_PORTS: Thường được đặt là các cổng không phải là 80 (tay ÿ) ORACLE_PORTS: Xác định cổng mà Oracle lắng nghe Mặc định, Oracle ling nghe ở cổng 1521,

AIM_SERVERS: Biển này sử dụng để giám sát lưu lượng mạng Pser- ‘To-Peor và Instant Messenger Né được cấu hình bằng danh sách địa chỉ IP của Server AOL Instant Messenger

RULE_PATH: Bign nay dùng để chỉ đến vị trí thu mye Rules chứa sác tập tin luật của Snort, Ban cắn khai báo đúng, nếu khong Snort sẽ không hoạt dong

Cấu hình bộ giải mã

Bộ giải mã giúp 8ort giám sát cấu trúc gói tin nhằm đảm bảo cho cấu trúc của các gói tin được xây dựng theo qui định Nếu một gói tin có kích thước lạ, một tập các tùy chọn lạ, hoạc các thiết lập không phổ biển Snort s8 tao ra một cảnh báo Nếu bạn không quan tâm đến các cảnh báo này hoặc là số lượng các cảnh báo nhắm quá lớn, bạn có thể tất bộ giải xã (xem bình 4.34),

Hình 4.84: Cấu hình bộ giải ma

Mac định, tất cả các cảnh báo đều được tất Để bật một kiểu cảnh báo, bạn chỉ cân xóa ký tự thăng (#) ở đầu dòng của mỗi khai báo Các ty chọn cấu hình bộ giải mã là:

+ #eontig disable_decode_alerts,

Trang 29

Chutang 4 Phuong phép kiém tra vi phat hign tham nhập 169 BA)” + # config disable_tepopt.ttep_olerts

+ # config disable_tepopt_alerts ôâ # config disable spopt_ alerts, 8 Cấu hình tiền xử lý

Các bộ tiên xử lý thường chỉ phục vụ một vài mục đích nhỏ Chúng được cấu hình để chuẩn hóa lưu lượng cho nhiều loại dich vụ và dảm bảo cho dỡ liệu trong các géi tin ma Snort giám sát luôn có một định dạng cy thể (xem hình 4.85) TƯ rears Ra "Hình 4.85: Cổ hình điển xử lý

Một chúc năng khác của bộ tiên xử lý là tự bảo vệ, Nhiều loại tấn công được thiết kế để gây nhằm lân hoặc làm tràn bộ cảm biến NIDS, vì Vậy mà kê tấn công có thể thực hiện tấn công mà không bị phát hiện “Tiên xử lý (rag2 và stream4 được thiết kế chủ yếu cho cơ chế nhàng thủ

Lợi ích cuối cùng của bộ tiên xử lý là mở rong khả năng của Snort nhằm phát hiện các điều bất thường, từ đó phát biện kê xâm nhập

4 Cấu hình xuất thông tin

“Một trong những sức mạnh thật sự cia Snort là các tùy chọn để xuất các cảnh báo và thông tin phát hiện xâm nhập Nhiều nhà quản trị Snort sử dụng các ứng dụng của một công ty thứ ba để giám sát và "nghiên cứu thông tin được Snort ghi lei

Trang 30

WB se chong 4: Phung php kiém tra va phét hign thim nhập

moments i

`Vi dụ: Một cấu hình mẫu cho output plug-in alert syslog: ® # output alert syslog: LOG_AUTH LOG_ALERT

Output plug-in nay dùng để định dạng tập tin log theo chuẩn của chương trình Tcpdump Vì định dạng tập tỉn log theo chuẩn này sẽ có nhiễu ứng dụng có thể đọc và phân tích được nội dung của tập tỉa log Plug-in sơ sở dữ liệu cho phép viết nhiễu cơ sở dữ liệu liên quan với nhau trên cùng một hệ thống đang chạy Snort hoặc trên một host khác Các thông tản log thường được ghỉ vào cơ sở dữ liệu như: các cảnh báo liên quan đến host, gối tin gây ra cảnh báo Chính điều này đã làm cho việc phân biệt giữa các cảnh báo thật và giả được dễ đàng hơn

5 Khai báo các tập tin đính kèm

“hành phần cuối cùng trong file snort.conf là khai báo các tập tin luật và tập tín đính kèm Câu lệnh Include dùng để chỉ ra một tap tin nào đó được sử đụng khi Snort thực thí Những tập tin này bao gốm thông tín cấu hình và ede files chứa luật mà Snort sử dụng Đường dẫn mặc định của các tập tin nay được xác định trong phẩn khai báo biến

Biến #RULE_PATH được sử dụng để chỉ ra đường dẫn đến thư mục rules, Bạn cũng có thể sử dụng đường dẫn cụ thể với tên đây đủ của tập, tin để chỉ ra đối tượng muốn sử dụng (xem hình 4.87)

Trang 31

“Chương 4 Phung ph idm ra và táthiện thận anep_ 106

Hinh 4.87: Khai bdo ede tip tin đính kim

Dưới đây là một số tập tìn luật được khai báo trong phẩn cuối của tap tin snort.cont:

Trang 32

tượng 4: Phương pháp kiểm tra và phát hiện thâm nhập include $RULE_PATH/web-mise.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-php rules include $RULE_PATH/sql.rules include $RULE_PATH/x11 rules include $RULB_PATH/emp.rules include $RULE_PATH/net include $RULE_PATH/mise.rules include $RULE_PATH/attack-responses.rules include $RULE_PATH/oracle,rules include $RULE_PATH/mysql.rules include $RULE_PATH/snmp rules ios rales include $RULE_PATH/smtp.rules include $RULE_PATH/imap.rules include $RULE_PATH/pop2.rules inelude $RULE_PATH/pop9.rules include $RULE_PATH/nntp.rules include $RULE_PATH/other-ids.rules include $RULE_PATH/virus.rules

ude $RULE_PATH/experimental rules

Trang 33

hướng pháp kiểm tra và phát hiệu thâm shập 167 AI”

Chương

i2uh Ast2 ex 2 vsö+ cw|s2 22.” mise aber ds deme DIE

(en easicoton: weve esttnimton bà)

` ẽ.aaởn

Pr cecum coats

ình 4.88: Nội dung tập tin classification config, ‘Tap tin reference.config bao gồm các liên kết đến ede trang web và thông tin về tất cả các cảnh báo (xem hình 4.39) Sees ee er ie vom Bo Ppua jes) =“ —. ee 1 x/nrdstvĐ§ccẻdsTmr 927] a :Ễ ae ee =

Pa swt ewes bate p0 xeendlybena soát

Sees wegen cane: Cog tne aS 22-2 ng hợc vhalna sonl8409 feat "—- ˆ a Bến = TH aes ha al elit Sota aren cave Fig nonce he | Shares ey 3 Jamies hài vị

"Hình 4.39: Nội dung tập tìn reference.config

Duti day là các kha báo của tập tin classifieation.config va yeferenee.config trong phan khai báo tập tin đính kèm của file snort.conf:

ineluäe classification config

Trang 34

Hình 4.40: Khai bdo them mot s6 tap tin

6 Tìm hiểu về luật của Snort

61 Giới thiệu

Hw hét các hành vi xâm nhập đều có một số đặc điểm nhất định, những đặc điểm này được gọi là dấu hiệu Thông tin vẻ các đấu hiệu này được sử dụng để tạo ra các luật cho Snort

Người ta thường đựa vào việc phân tích thông tin của các cuộc tấn cong để lấy thông tin, những thông tin này sẽ được sử dụng đổ viết ra các luật cho Snort, Can ca vito các luật được mô tả, Saort sẽ phát hiện ra

những kẻ thâm nhập từ đó đưa ra cảnh báo và gửi thông tỉn đến người quần trị

Các

hiệu thường được lưu trong header của các gói tin nhưng ‘Snort lai phát hiện xâm nhập dựa trên các luật Các luật của Snor có thể được sử dụng để kiểm tra nhiều phần khác nhau của gói tin kể cã Hender

“Một luật có thể được sử dụng để tạo ra một thông điệp cảnh báo, ghỉ lại một thông digp, Hdu hết các luật của Snort được viết theo từng đồng đơn Các luật được phân theo từng nhóm ey thể, mỗi nhóm này sé được lưu lại trong một tập tin, mỗi tập tin luật đều được chia trong thư myc Rules (C:\Snort\rules) va duge gọi (khai báo) trong tập tin ssnort.conf, 6.8 Cấu trúc luật của Snort

‘Tit cả các luật Snort đều có hai phẩn chính dé la: Header và Options

Trang 35

Chương á: Phương pháp kiếm tra và phát hiện thám nhập a

Phin Option thường chứa một thông điệp cảnh báo và thông tin Mã phấn nào của gói tin được sử dụng để tạo ra cảnh báo Một luật có thể phát hiện một hoặc nhiều kiểu xâm nhập

631 Cấu trúc của phần Header

Cấu trúc Header của một luật có thể gồm các thành phần sau: + Aetion: Phân này xác định kiểu bành động sẽ thực hiện khi một tiêu đun được so sánh Hành động điền ình là việc tạo ra cức cảnh báo hoặc ghỉ lại ác thơng điệp lag

ear go thie ey thể, Dây là tiêu chuẩn đầu iên dược để cập trong

luật Một số giao thức được sử dụng như: TCP, ICMP, UDP,

+ Address: Phin hy dùng để xác định địa chỉ nguồn và địa chỉ đích

Địa chỉ có thể là của một host, nhiều host hoặc là địa chỉ mạng © Port: Phẩn này được áp dụng trong trường hợp 'TCP bay UDP, xác

định cổng nguồn và đích của một gói tin ma luật được áp dụng Đirection: Phần này xác định địa chỉ và cổng nào được sử dụng, ví dụ: địa chỉ nguồn bay đích

'Ví dụ: Sau đây là một luật dùng để tạo ra một thông điệp cảnh báo

khi nó phát hiện một gói tín ping ICMP với TTI là 200

alert iemp any any -> any any (msg“Ping with TTL=1007,\04: 100) Phần trước dấu ngoặc đơn là Header của luật, phần đầu phía trong

go dan la Option

Header eda luật trên chứa các thông tin như: Kiểu thực thí của luật

là "ler°, nghĩa là xuất một cảnh báo khi trùng với một dấu hiệu

Protocol: Giao thức được sử dung la ICMP, nghia là luật này chỉ

được áp dụng trên các gói tin ICMP

"Địa chỉ nguôn và cổng nguôn: Oã bai phần này déu 18 “any”, nghĩa là luật được áp đụng cho tất cả các gói tin đến từ một nguồn bất kì

Direction: Trong vi dy này, diecion được thiết lập TA ừ ái sang

phải và sử dụng ký hiệu *>” Điều này chỉ ra rằng số địa chỉ và cổng ở phía bên trái là nguồn và ở phía bên phải là của đích Nó cũng có nghĩa

rare øe áp đụng trên cc gi in di chuyển từ nguồn Với đích

Trang 36

170 Ch

"hương pháp kiểm tra và phát hiện thâm nhị Lam ý rằng ký hiệu <> cũng có thể được sử dụng để chỉ ra hai hưởng của nguồn và đích

Địa chi dich và cổng đích: Cả bai phẩn trong ví dụ này đều là any’, nghĩa là luật được áp dựng cho tất cả các gói tin đến từ một đích bất kỳ Phản direction trong luật này không đồng một vai trò gì cả vì luật được áp dụng trên tất cả các gói tin ICMP di chuyển theo bất kỳ hướng “ảo, vì từ khóa “any” ở cả phần nguồn và đích

'6.8.8 Cấu trúc của phần Options

Phần Option theo sau phẩn Header và được đóng gói trong dấu ngoặc đơn Có thể có một hoặc nhiều Option được cách nhau bởi đấu phẩy Tất cả ede Option được định nghĩa bằng các từ khóa Mật số Option cũng khứa các tham số,

“hông thường, một Option có thể có 2 phần: Từ khóa và đối số Các đối số được phân biệt với từ khóa bằng đấu hai chấm

‘Vi dy: mag: “ICMP ISS Pinger";

“rong Option này thi msg là từ khóa va “ICMP ISS Pinger” là đối số của từ khón,

‘Tu khóa Âck thường có cấu trúc: Ack: <number>

TOP header chita mot trutmg Acknowledgement Number dai 32 bit “Trường này chỉ ra rằng #8 sequence (sequence number) kế tiếp của người gửi đang chờ hỏi đáp Trường này chỉ có ý nghĩa khi cd flag trong trường “TP được thiết lập

+ Classtype

MMụ này bao gồm các thành phẩn như: Name, Description, Priority Name: Ten được sử dụng cho việe phân loại Nó được sử dụng kèm Với từ khóa Classtype trong luật của Snort

Description: Mo té ngắn về kiểu phân loại

riorit: Thử tự t tiên mặc định cho aự phân loại, Thứ tự ưu tiên "này có thể được chỉnh sửa tùy ý Priority cảng thấp thì độ v tiên cảng eno

Trang 37

“Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập, iB

+ Content

‘Tw khda Content thường có cấu trúc: Content: <straight text>; content: <hex data>

“Một đặc tính quan trong cla Snort 18 kha nang tim thấy một mẫu dữ liệu trong một gối tin MẪu đó cố thể tôn tại dưới dạng một chuối [ASCII hoge 1a ede ký tự thập lục phân

+ Offset

“Từ khóa Offeet thường có cấu trúc Offs

“Từ khóa này được sử dụng kết hợp với từ khóa content Từ khóa này được sử dụng để tìm kiếm từ một vị rí xác định so với vị trí bất đầu của gối ti

+ Depth

Từ khóa Depth thường có cấu trúc: depth: <value>

“Từ khóa đepth cũng được sử dụng kết hợp với từ khóa content để xác định giới hạn trên của việc so sánh mẫu Bạn có thể sử đụng từ khóa này để xác định một vị trí so với vị trí bất đầu Dữ liệu sau vị trí này sở không được tìm kiếm để so mẫu —¬ + Nocase

Từ khóa Noease được sử dụng kết hợp với từ khóa cơntent, Nó không có đối số Mục dích là thực biện vide thm kiếm trong trường hợp vô tình,

+ Contentlist

“TW khóa Content-liet thường có cấu trie: content_list: <filename> 'Từ khóa này được sử dụng cùng với tên của một tập tần và xem tên tập tỉn như là một đốt số của của nó Tập in này chứa một danh sách các chuối sẽ được tim kiếm trong một gói tin Mỗi chuối được đật trên các đồng khác nhau của file

+ Dsize

“Từ khóa Daise thường có cấu trúc: deize: (<i>) <number> “Từ khóa deize được sử dụng để tìm chiều dài một phẩn đữ liễu cũ gối tin, Nhiều cách tấn công sử dụng lỗ hổng trên bộ dệm hàng cách 8 vie go ừn có kích thước lớn Sử dụng từ khóe này, bạn có thể tìm thấy tác gối tia có chiêu dai dữ liệu lớn hoặc nhỏ ơn một số xác định

Trang 38

7? —_ Chương 4: Phương pháp kiếm tra và phát biện thâm nhập + Flags

‘Ta kh6a Flags thuong 6 eu tre lag: <flags>

Từ khóa này được sit dung dé tim ra bit lag nào được thiết lập trong TCP Header của gói tin Mbi flag có thể được sử dụng như một đối số của từ khóa flags,

“Từ khóa Eragbits thường có cấu trúc: fragbits: <flag.settings> Sử dụng từ khóa này để xác định các bits: RB (Reserved Bit), DF (Don't Fragment Bit), MF (More Fragments Bit) trong IP Header có được bật lên hay khơng

«+ Tempid

“Từ khóa lemp, id thường có cấu trúc iemp_id: <number> “Từ khóa iemp_id được sử dụng để phát hiện một ID cụ thé trong gói ‘tin IOMP

+ Temp_seq

“Từ khóa Iemp.seq thường có cấu trúc: iemp seq: <hex_value> “Từ khóa này giống như từ khóa iemp id,

+ Itype

“Từ khóa Itype thường só cấu trúc itype: <number>

ICMP Header nằm sau IP header và chứa trường Type Từ khóa ]type được aử dụng để phát hiện các cách tấn công sit dung trutng Type trong ICMP header của gối tin,

+ leode

“Từ khóa Ieode thường có cấu trúc: code: <number»

“rong gối tin ICMP, ICMP header 4i sau IP header Gói tỉn này chứa một trường code và từ khóa ieode được sử dụng dé phát hiện trường code trong header gối tin ICMP

1d

“Từ khóa ] này thường có cấu trde: id: <number>

Trang 39

Chương 4: Phương pháp kiếm tra và phát hiện thâm nhập — 1

+ Ipopis

Từ khóa Tpopts thường có cấu trúc: ipopte: <ip.option>

Header eiia IPv4 dai 20 byte, Ban có thể thêm các thy chọn vào Header này ở coối Chiếu dài của phẩn tùy chon nay có thể lên đến 40 byte Các tùy chọn được sử dụng cho những mục đích khác nhau, bao gém:

Record Route (rr)

+

‘Time Stamps (ts) 4 Loose Source Routing (srr)

Strict Source Routing (sert + Ip.proto

"Từ khón này thường có cấu trúc Íp_proto: l] < name or number> “Từ khóa ip, proto sử dụng plug-in IP Proto để xác định số giao thức trong Header của TP

+ Logto

‘TW khóa này thường có cấu trúc: logt: <file_name>

'Từ khóa logto được sử dụng để ghỉ log các gối tin vào một tập tín được chỉ định

+ Msg

“Từ khóa này thudag o6 cfu tric: mag: <sample_message> "Từ khóa mag được sử dụng để thêm một chuỗi kí tự vào tập tỉn log và cảnh báo Ban có thể thêm một thông điệp trong hai đấu ngoặc kép tu từ khóa này + Priority

Trang 40

74 —_ Chương á: Phương pháp kiểm tra và phát hiện thâm nhập + Reference

"Từ khóa này thường có cấu trúc: reference : <id system>,<id>

“Từ khóa zeference có thể thêm một sự tham khảo đến thông tin tôn

tại trên các hệ thống khác trên mạng Nó không đóng một vai trò nào

trong cơ chế phát hiện Bằng việc sử dụng từ khóa này, bạn có thể kết nối đến các thông tin thêm trong thông điệp cảnh báo

Day là từ khóa rất quan trọng Nó có thể được sử dụng để đánh bụi các hành vi của Hacker bằng cách gửi các gối tin trả lời cho mot host dé tạo ra một géi tin thôa luật

+ Rev

“Từ khóa này thường có cấu trúc: ray: <revision integer> “Từ khóa rey dùng để chỉ ra số revision eủn luật Nếu cập nhật luật, bạn có thể sử dụng từ khóa này để phân biệt giữa các phiên bản « Rpe “Từ khóa này thường có cấu trúc: rpc: <số ứng dụng, số thủ tục, số phiên bản> ‘Ti khóa rpc được sử dụng để phát hiện các yêu edu RPC cơ bản + Sameip

“Từ khóa samøip được sử dung để kiểm tra địa chỉ nguồn và đích có giếng nhau hay không Nó không có đối số,

+ Seq

“Từ khóa này có cấu trúc: seq: chex_value>

“Từ khóa seq được sử dụng để kiểm tra số thứ tự sequence cia géi tin TOP,

* Flow

‘Ti khéa flow được dùng để áp dựng một luật cña Snort lên các gối tản di chuyển theo một hướng cụ thể Bạn có thể sử đụng các tùy chọn sau Két hop với từ khóa flow để xác định hướng Dưới đây là một số tủy chọn kết hợp với từ khóa flow;

Định dạng
Số trang	144
Dung lượng	14,36 MB