Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 152 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
152
Dung lượng
18,88 MB
Nội dung
B
Ộ
GI
Á
O
D
Ụ
C
V
À
ĐÀO
T
Ạ
O
TR
ƯỜ
NG
ĐẠ
I
H
Ọ
C
HOA
SEN
KHOA
KHOA
H
Ọ
C
V
À
CÔN
G
N
GH
Ệ
Gi
ả
ng
vi
ê
n
h
ướ
ng
d
ẫ
n
:
Nguy
ễ
n
N
g
ọ
c
Nh
ư
H
ằ
ng
Nh
ó
m
s
inh
vi
ê
n
t
h
ự
c
hi
ệ
n
:
Ng
uy
ễ
n
Qu
ỳ
nh
MSSV:
070073
Ph
ù
S
ử
H
ù
n
g
MSSV:
070156
L
ớ
p
:
VT071
T
h
á
ng
12
/
n
ă
m
2010
PHI
Ế
U
GIAO
ĐỀ
T
À
I
KH
Ó
A
LU
Ậ
N
T
Ố
T
NG
HI
Ệ
P
1.
M
ỗ
i
si
nh
vi
ê
n
ph
ả
i
vi
ế
t
ri
ê
n
g
m
ộ
t
b
á
o
c
á
o
2.
Ph
i
ế
u
n
à
y
ph
ả
i
d
á
n
ở
tran
g
đầ
u
ti
ê
n
c
ủ
a
b
á
o
c
á
o
1.
Họ
v
à
t
ê
n
sinh
vi
ê
n
/
nh
ó
m
si
nh
vi
ê
n
đượ
c
gi
ao
đề
t
à
i
(s
ĩ
s
ố
trong
nh
ó
m
:
)
(1)
MSSV:
kh
ó
a:
(2)
MSSV:
kh
ó
a:
(3)
MSSV:
kh
ó
a:
Chuy
ê
n
ng
à
nh:
M
ạ
n
g
m
á
y
t
í
nh
Khoa:
Khoa
H
ọ
c
-
C
ô
ng
Ng
h
ệ
2.
T
ê
n
đề
t
à
i:
X
â
y
d
ự
ng
h
ệ
th
ố
ng
ID
S
–
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
L
inux
3.
C
á
c
d
ữ
li
ệ
u
b
a
n
đầ
u:
S
nort
đượ
c
x
â
y
d
ự
n
g
v
ớ
i
m
ụ
c
đí
ch
ph
á
t
hi
ệ
n
x
â
m
nh
ậ
p
v
à
o
h
ệ
th
ố
ng
.
Snort
c
ó
kh
ả
n
ă
ng
ph
á
t
hi
ệ
n
m
ộ
t
s
ố
l
ượ
n
g
l
ớ
n
c
á
c
k
i
ể
u
th
ă
m
d
ò
,
x
â
m
nh
ậ
p
k
h
á
c
nhau
nh
ư
:
buffer
ov
erflo
w,
ICMP,
virus…
Snort
l
à
ph
ầ
n
m
ề
m
open
source
cu
n
g
c
ấ
p
cho
nh
à
qu
ả
n
tr
ị
c
á
c
th
ô
ng
tin
c
ầ
n
thi
ế
t
để
x
ử
l
ý
c
á
c
s
ự
c
ố
k
hi
b
ị
x
â
m
nh
ậ
p
4.
C
á
c
y
ê
u
c
ầ
u
đặ
c
b
i
ệ
t
:
Hi
ể
u
đượ
c
k
h
á
i
ni
ệ
m
,
c
á
ch
ho
ạ
t
độ
ng
c
ủ
a
I
D
S
-
Snort.
C
à
i
đặ
t,
c
ấ
u
h
ì
nh
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu.
Ki
ể
m
ch
ứ
ng
k
ế
t
qu
ả
đạ
t
đượ
c
sau
k
hi
c
à
i
đặ
t
th
à
nh
c
ô
ng
5.
K
ế
t
q
u
ả
t
ố
i
t
h
i
ể
u
ph
ả
i
c
ó
:
1.
N
ắ
m
r
õ
k
h
á
i
ni
ệ
m
v
ề
I
D
S
v
à
Sno
rt
2.
C
à
i
đặ
t,
c
ấ
u
h
ì
nh
th
à
nh
c
ô
ng
S
nor
t
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu
3.
4.
Ng
à
y
g
iao
đề
t
à
i:……
/………./………N
g
à
y
n
ộ
p
b
á
o
c
á
o:
……/…………/
H
ọ
t
ê
n
GV
h
ướ
ng
d
ẫ
n
1:
Ng
uy
ễ
n
N
g
ọ
c
Nh
ư
H
ằ
ng
…
….
………Ch
ữ
k
ý
:
H
ọ
t
ê
n
GV
h
ướ
ng
d
ẫ
n
2:
………………….
.
.…………………
Ch
ữ
k
ý
:
Ng
à
y
….
th
á
ng
…
n
ă
m…
T
r
í
c
h
Y
ế
u
I
ntrusio
n
Detection
Syste
m
(
I
D
S)
l
à
h
ệ
th
ố
ng
ph
ò
n
g
ch
ố
n
g
v
à
ph
á
t
hi
ệ
n
x
â
m
nh
ậ
p
th
ô
ng
m
inh
nh
ấ
t
hi
ệ
n
nay.
I
D
S
ph
á
t
hi
ệ
n
nh
ữ
n
g
t
í
n
hi
ệ
u,
bi
ể
u
hi
ệ
n,
h
à
nh
v
i
c
ủ
a
n
g
ườ
i
x
â
m
nh
ậ
p
tr
ướ
c
khi
c
ó
th
ể
g
â
y
thi
ệ
t
h
ạ
i
đế
n
h
ệ
th
ố
ng
m
ạ
n
g
nh
ư
l
à
m
c
ho
d
ị
ch
v
ụ
m
ạ
n
g
ng
ừ
n
g
ho
ạ
t
độ
n
g
hay
m
ấ
t
d
ữ
li
ệ
u.
T
ừ
đó
n
g
ườ
i
qu
ả
n
tr
ị
m
ạ
n
g
c
ó
th
ể
n
g
ă
n
ch
ặ
n
th
ô
n
g
qua
c
á
c
bi
ệ
n
ph
á
p
k
ỹ
thu
ậ
t
k
h
á
c
nhau.
Đề
t
à
i
c
ủ
a
ch
ú
ng
t
ô
i
v
ớ
i
m
ụ
c
ti
ê
u
l
à
x
â
y
đự
n
g
m
ộ
t
h
ệ
th
ố
n
g
S
nort
–
I
D
S
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu,
h
ệ
th
ố
n
g
n
à
y
v
ớ
i
m
ụ
c
đí
ch
p
h
á
t
hi
ệ
n
v
à
ph
ò
n
g
ch
ố
n
g
c
á
c
h
à
nh
độ
n
g
t
ấ
n
c
ô
ng
v
à
th
â
m
nh
ậ
p
trong
m
ạ
n
g.
Do
đó
đề
t
à
i
t
ậ
p
trung
n
g
hi
ê
n
c
ứ
u
v
à
o
ph
ươ
n
g
th
ứ
c
ho
ạ
t
độ
ng
v
à
v
ậ
n
h
à
nh
c
ủ
a
h
ệ
th
ố
n
g
Sn
ort
–
IDS
đồ
n
g
t
h
ờ
i
đư
a
ra
c
á
ch
c
à
i
đặ
t
v
à
thi
ế
t
l
ậ
p
m
ộ
t
h
ệ
th
ố
n
g
ID
S
ho
à
n
ch
ỉ
nh
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu.
B
ê
n
c
ạ
nh
đó
ch
ú
n
g
t
ô
i
đư
a
ra
g
i
ả
i
ph
á
p
nh
ằ
m
t
ă
ng
c
ườ
n
g
kh
ả
n
ă
n
g
ho
ạ
t
độ
ng
v
à
v
ậ
n
h
à
nh
c
ủ
a
h
ệ
th
ố
ng
th
ô
ng
qua
vi
ệ
c
s
ử
d
ụ
n
g
barnyard
để
t
ă
ng
c
ườ
ng
kh
ả
n
ă
n
g
g
hi
l
ạ
i
lo
g
c
ủ
a
h
ệ
th
ố
n
g
v
à
oinkm
a
ster
để
t
ự
độ
ng
li
ê
n
t
ụ
c
c
ậ
p
nh
ậ
t
rule.
Ng
o
à
i
vi
ệ
c
s
ử
d
ụ
n
g
h
ệ
th
ố
n
g
rule
c
ó
s
ẵ
n,
đề
t
à
i
t
ì
m
hi
ể
u
c
á
ch
t
ạ
o
ra
rule
theo
y
ê
u
c
ầ
u
nh
ằ
m
g
i
á
m
s
á
t
v
à
k
i
ể
m
tra
đố
i
v
ớ
i
m
ộ
t
lu
ồ
n
g
th
ô
n
g
tin
c
ụ
th
ể
khi
m
à
h
ệ
th
ố
n
g
rule
c
ủ
a
snort
kh
ô
n
g
th
ể
đá
p
ứ
ng
.
Th
ô
ng
qua
vi
ệ
c
nghi
ê
n
c
ứ
u,
đề
t
à
i
c
ủ
a
ch
ú
n
g
t
ô
i
đư
a
m
ộ
t
c
á
i
nh
ì
n
t
ổ
n
g
quan
v
ề
h
ệ
th
ố
ng
Host-based
ID
S
v
à
Netw
or
k
-based
I
D
S,
v
ề
s
ự
k
h
á
c
v
à
g
i
ố
n
g
nhau
c
ủ
a
hai
h
ệ
th
ố
ng
t
ừ
đó
c
ó
th
ể
ứ
ng
d
ụ
n
g
trong
m
ô
h
ì
nh
m
ạ
ng
th
ự
c
t
ế
.
M
ụ
c
L
ụ
c
Tr
í
ch
Y
ế
u
iv
M
ụ
c
L
ụ
c
v
L
ờ
i
C
ả
m
Ơ
n
v
ii
Nh
ậ
n
X
é
t
C
ủ
a
Ng
ườ
i
H
ướ
ng
D
ẫ
n
v
iii
Nh
ậ
p
Đề
9
1.
Ng
uy
ê
n
L
ý
H
o
ạ
t
Độ
n
g
C
ủ
a
Sno
rt
10
1.1
Qu
á
tr
ì
nh
k
h
ở
i
độ
ng
c
ủ
a
snort
10
1.2
X
ử
l
ý
g
ó
i
tin
trong
snor
t
11
1.3
Detection
Eng
ine
15
1.4
Kh
ả
o
s
á
t
Detection
Eng
ine
18
1.5
S
nort
I
nline
Mode
20
2.
Preprocessor
22
2.1
Preprocessor
frag3
23
2.2
Preprocessor
strea
m
5
25
3.
H
ệ
Th
ố
ng
Rule
Trong
Snort
31
3.1
T
ổ
ng
qua
n
v
ề
rule
trong
snort
31
3.2
C
ấ
u
tr
ú
c
rule
31
3.3
Th
ứ
t
ự
c
á
c
rule
trong
r
ule
base
c
ủ
a
snort
34
3.4
Oinkm
a
ster
34
4.
S
nort
Output
Plu
g
-in
35
4.1
Output
log
v
à
alert
v
ớ
i
t
ố
c
độ
nha
nh
35
4.2
Output
log
v
à
alert
v
à
o
database
38
4.3
Output
log
v
à
alert
v
à
o
Unix
syslog
38
4.4
Output
log
v
à
alert
v
à
o
m
ộ
t
f
ile
c
ụ
th
ể
39
4.5
Output
log
v
à
alert
v
à
o
file
C
S
V
40
4.6
Output
log
v
à
alert
ra
nhi
ề
u
d
ạ
ng
kh
á
c
nhau
41
5.
Networ
k
-Based
v
à
Host-Based
I
D
S
41
5.1
Nework
-
Based
ID
S
41
5.2
Host-Based
I
D
S
43
5.3
Tri
ể
n
Khai
I
D
S
T
rong
M
ạ
n
g
44
6.
C
á
c
H
ì
nh
Th
ứ
c
Khai
Th
á
c
V
à
T
ấ
n
C
ô
ng
H
ệ
T
h
ố
ng
Ph
ổ
Bi
ế
n
47
6.1
Port
sc
an
47
6.2
DOS
(Denial
of
S
er
v
ices)
50
6.3
A
RP
Spoofin
g
53
7.
C
à
i
Đ
ặ
t
S
nort
54
7.1
M
ộ
t
s
ố
t
ù
y
c
h
ọ
n
k
hi
bi
ê
n
d
ị
ch
snort
54
7.2
C
ấ
u
tr
ú
c
database
c
ủ
a
snort
55
7.3
C
à
i
đặ
t
S
nort
v
ớ
i
S
nort
Report
(S
in
gle
S
nort
Sensor)
56
7.4
C
à
i
đặ
t
S
nort
v
ớ
i
BAS
E
(S
in
gle
S
nort
S
ensor)
62
7.5
C
à
i
đặ
t
snort
v
ớ
i
BAS
E
(Multiple
S
nort
S
ensors)
72
7.6
C
à
i
đặ
t
S
nort
inline
81
8.
L
ab
Ki
ể
m
Tra
Ho
ạ
t
Độ
ng
C
ủ
a
S
nort
91
8.1
Rule
để
k
i
ể
m
tr
a
ho
ạ
t
độ
ng
c
ủ
a
snort
91
8.2
Rule
ph
á
t
hi
ệ
n
truy
c
ậ
p
web
92
8.3
Ph
á
t
hi
ệ
n
portscan
trong
S
nort
93
8.4
Ph
á
t
hi
ệ
n
DOS
v
ớ
i
snort
94
8.5
Ph
á
t
hi
ệ
n
A
RP
attac
k
96
K
ế
t
L
u
ậ
n
101
T
à
i
L
i
ệ
u
Tha
m
Kh
ả
o
102
L
ờ
i
C
ả
m
Ơ
n
Ch
ú
ng
t
ô
i
xin
ch
â
n
th
à
nh
c
ả
m
ơ
n
c
ô
Ng
uy
ễ
n
Ng
ọ
c
Nh
ư
H
ằ
n
g
-
g
i
ả
n
g
vi
ê
n
tr
ự
c
ti
ế
p
h
ướ
ng
d
ẫ
n
nh
ó
m
ch
ú
n
g
t
ô
i
th
ự
c
hi
ệ
n
kh
ó
a
lu
ậ
n
t
ố
t
n
g
hi
ệ
p
n
à
y
n
à
y,
đã
t
ậ
n
t
ì
nh
h
ướ
n
g
d
ẫ
n
v
à
h
ỗ
tr
ợ
v
à
g
i
ú
p
ch
ú
n
g
t
ô
i
g
i
ả
i
quy
ế
t
kh
ó
kh
ă
n
trong
qu
á
tr
ì
n
h
n
g
hi
ê
n
c
ứ
u
đề
t
à
i
n
à
y.
Ch
ú
ng
t
ô
i
ch
â
n
th
à
nh
c
ả
m
ơ
n
s
ự
nhi
ệ
t
t
ì
nh
c
ủ
a
c
ô
,
c
ô
đã
g
i
ú
p
ch
ú
ng
t
ô
i
g
i
ả
i
đá
p
nh
ữ
n
g
th
ắ
c
m
ắ
c
c
ũ
n
g
nh
ư
cung
c
ấ
p
nh
ữ
n
g
t
à
i
li
ệ
u
c
ầ
n
thi
ế
t
cho
qu
á
tr
ì
nh
n
g
hi
ê
n
c
ứ
u
đề
t
à
i
c
ủ
a
ch
ú
ng
t
ô
i.
M
ộ
t
l
ầ
n
n
ữ
a
xin
c
h
â
n
th
à
n
h
c
ả
m
ơ
n
c
ô
.
Ch
ú
ng
t
ô
i
xin
g
ử
i
l
ờ
i
c
ả
m
ơ
n
đế
n
nh
ữ
n
g
g
i
ả
n
g
vi
ê
n
c
ủ
a
n
g
à
nh
M
ạ
n
g
M
á
y
T
í
nh
tr
ườ
n
g
đạ
i
h
ọ
c
Hoa
S
en
đã
t
ậ
n
t
ì
nh
g
i
ả
n
g
d
ạ
y
v
à
t
ạ
o
đ
i
ề
u
k
i
ệ
n
cho
ch
ú
n
g
t
ô
i
h
ọ
c
t
ậ
p,
nghi
ê
n
c
ứ
u.
Để
t
ừ
đó
ch
ú
n
g
t
ô
i
c
ó
đượ
c
m
ộ
t
n
ề
n
t
ả
ng
k
i
ế
n
th
ứ
c
v
ữ
n
g
ch
ắ
c
l
à
m
ti
ề
n
đề
g
i
ú
p
cho
ch
ú
ng
t
ô
i
th
ự
c
hi
ệ
n
t
ố
t
đề
t
à
i
t
ố
t
nghi
ệ
p
c
ủ
a
m
ì
nh.
vii
X
â
y
d
ự
ng
h
ệ
th
ố
n
g
I
D
S
–
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
L
inux
[...]... khác nhau và snort không hề biết destination host của gói tin mà nó đang ráp mảnh là hệđiềuhành gì Một gói tin có thể xem là bình thường với hệ điềuhành này, nhưng nó có thể được xem là bất thường với một hệ điềuhành khác Do đó frag3 đưa ra target-based với 7 loại policy dành cho nhựng OS như sau: BSD BSD-right Linux First Last Windows Solaris Snort phân chia hệ điềuhành theo policy... hướng dẫn ký tên viii XâydựnghệthốngIDS – Snorttrên hệ điềuhànhLinux Nhập Đề Khái niệm tấn công một máy tính bằng việc tác động trực tiếp vào máy đó đã trở thành quá khứ khi mà ngày nay con người có thể truy cập vào một máy chủ ở cách xa mình nửa vòng trái đất để lấy thông tin website, mail… Hacker cũng làm những công việc tương tự nhưng họ tận dụng những lỗ hỏng của hệthống nhằm chiếm quyền... –enable-dynamicplugin khi biên dịch Khi đó khi chạy lệnh make install snort sẽ cài vào các share object module và xâydựng các share object rule Thêm vào đó người dùng phải cấu hình snort để load các engine và những module rule cần thiết dynamic-engine-lib : load một dynamic engine từ một file chỉ định dynamic-detection-lib : load dynamic rule từ một file dynamic-detection-lib-dir... lý data, điều này giúp cho frag3 tăng khả năng dự báo và tăng tính quyết đoán của frag3 Khi môi trường mạng có nhiều gói tin bị phân mảnh thì frag3 sẽ hoạt động rất hiệu quả và giúp người quản trị quản trị dễ dàng hơn Preprocessor frag3 đưa ra khái niệm “target-base” IDS, tức là frag3 sẽ xâydựng lại gói tin bị phân mảnh dựa vào destination host mà gói tin sẽ đến Bởi vì mỗi hệ điềuhànhxâydựng lại... matcher là thành phần cốt lõi cho dectection engine ngày nay 1.4.2 Xâydựng pattern matcher Việc xâydựng pattern matcher bắt đầu mỗi rule tree, mục đích chính của rule tree là giảm số lượng rule cần được kiểm tra với gói tin, bằng cách giảm số lượng rule thì sẽ giảm được thời gian tìm kiếm trên rule đối với một gói tin Điều này sẽ làm giảm thời gian snort xử lý gói tin và tăng khả năng hoạt động trên những... để tấn công vào hệthốngĐiều đó là nguyên nhân dẫn đến sự cần thiết sử dụng công cụ IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các hành vi lạm dụng đặc quyền để giám sát hệthống mạng 1 Nguyên Lý Hoạt Động Của Snort 1.1 Quá trình khởi động của snort Quá trình khởi động của snort chia làm 3 giai đoạn... Logger mode: ở mode này snort chỉ log lại gói tin và ghi vào hệthống đĩa Network Intrusion Detection System (NIDS) mode: đây là mode phức tạp nhất của snort, ở mode này snort phân tích traffic trong mạng, từ đó phát hiện được những hành động thâm nhập hoặc tấn công trong mạng Inline mode :trong mode này snort sẽ tiếp nhận gói tin từ iptables thay vì từ libpcap sau đó sẽ tiến hành xử lý gói tin (DROP,... option như sid (snort identifier), message…Khi rule được phân tích snort sẽ tiến hànhxâydựng tất cả các rule theo dạng cây Phần header của rule dùng để tạo thành rule tree node (RTN) và phần option sẽ tạo thành option tree node (OTN) Một phần của OTN sẽ bao gồm các dection option Tất cả các OTN tương ứng với một header sẽ được nhóm lại dưới cùng một RTN 1.2 Xử lý gói tin trong snortSnort bắt đầu với... phần khác nhau của gói tin, điều này cho phép snort có thể truy xuất nhanh đến những thành phần trong gói tin Con trỏ này cho phép các thành phần của snort như preprocessor, detection engine và output-plugin có thực hiện công việc một cách dễ dàng sau này Trong sự phát triển và cải tiến của snort, một số con trỏ được thêm vào trong gói tin cho phép các thành phần khác nhau của snort có thể thông tin cho... chạy ở IDS mode) Khi chạy snort ở chế độ inline, vấn đề lúc này là không có thư viện nào tương đương với libpcap cho snort khi chạy ở Sniffer, Packages và Intrusion Detection mode.Tuy nhiên snort có thể tiếp nhận được gói tin trực tiếp từ iptables thay vì từ libpcap Nhưng do snort hoạt động trên nền tảng pcap, các gói tin sẽ được chuyển thành định dạng pcap sau đó sẽ gọi hàm PcapProcessPacket Khi snort .
Networ
k
-Based
v
à
Host-Based
I
D
S
41
5.1
Nework
-
Based
ID
S
41
5.2
Host-Based
I
D
S
.
c
ủ
a
snort
Qu
á
tr
ì
nh
k
h
ở
i
độ
ng
c
ủ
a
snort
chia
l
à
m
3
g
iai
đ
o
ạ
n
C
á
c
đố
i
s
ố
c
ủ
a
comm
an
d-line