BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM BÁO CÁO GIỮA KỲ TÌM HIỂU VỀ IDS/IPS Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: MẠNG MÁY TÍNH Giảng viên hướng dẫn : Sinh viên thực Hồ Hữu Trung : Nguyễn Trung Nam MSSV: 1151020126 Nguyễn Hồng Vũ MSSV: 1151020191 Lớp: 11DTHM MỤC LỤC LỜI NĨI ĐẦU CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu IDS/IPS 1.1.1 Định nghĩa 1.1.2 Sự khác IDS IPS 1.2 Phân loại IDS/IPS & phân tích ưu nhược điểm 1.2.1 Network based IDS – NIDS 1.2.2 Host based IDS – HIDS 1.3 Cơ chế hoạt động hệ thống IDS/IPS 1.3.1 Mơ hình phát lạm dụng 1.3.2 Mơ hình phát bất thường 1.3.2.1 Phát tĩnh 1.3.2.2 Phát động 1.3.3 So sánh hai mơ hình 1.4 Một số sản phẩm IDS/IPS CHƯƠNG II : NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 2.1 Giới thiệu snort 2.2 Kiến trúc snort 2.2.1 Modun giải mã gói tin 2.2.2 Mô đun tiền xử lý 2.2.3 Môđun phát 2.2.4 Môđun log cảnh báo 2.2.5 Mô đun kết xuất thong tin 2.3 Bộ luật snort 2.3.1 Giới thiệu 2.3.2 Cấu trúc luật Snort 2.3.2.1 Phần tiêu đề 2.3.2.2 Các tùy chọn 2.4 Chế độ ngăn chặn Snort : Snort – Inline 2.4.1 Tích hợp khả ngăn chặn vào Snort 2.4.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode CHƯƠNG III : CÀI ĐẶT VÀ CẤU HÌNH SNORT, THỬ NGHIỆM KHẢ NĂNG PHẢN ỨNG CỦA IDS/IPS LỜI NÓI ĐẦU -An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, phát phịng chống cơng xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, đồ án thực tập chuyên ngành chúng em mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt giải pháp, kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang sau trường Mặc dù cố gắng kiến thức khã nhìn nhận vấn đề cịn hạn chế nên làm khơng tránh khỏi thiếu sót, mong quan tâm góp ý thêm thầy tất bạn Để hồn thành đươc đồ án , chúng em xin gửi lời cảm ơn sâu sắc tới thầy Hồ Hữu Trung nhiệt tình hướng dẫn, bảo cung cấp cho chúng em nhiều kiến thức bổ ích suốt trình làm đồ án Nhờ giúp đỡ tận tâm thầy, chúng em hồn thành đồ án Một lần xin cảm ơn thầy nhiều ! CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu IDS/IPS 1.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phịng chống xâm nhập hay IPS Hình sau minh hoạ vị trí thường cài đặt IDS mạng : Hình : Các vị trí đặt IDS mạng 1.1.2 Sự khác IDS IPS Có thể nhận thấy khác biệt hai khái niệm tên gọi: “phát hiện” “ngăn chặn” Các hệ thống IDS thiết kế với mục đích chủ yếu phát cảnh báo nguy xâm nhập mạng máy tính bảo vệ đó, hệ thống IPS ngồi khả phát cịn tự hành động chống lại nguy theo quy định người quản trị thiết lập sẵn Tuy vậy, khác biệt thực tế không thật rõ ràng Một số hệ thống IDS thiết kế với khả ngăn chặn chức tùy chọn Trong số hệ thống IPS lại khơng mang đầy đủ chức hệ thống phòng chống theo nghĩa Một câu hỏi đặt lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc vào quy mơ, tính chất mạng máy tính cụ thể sách an ninh người quản trị mạng Trong trường hợp mạng có quy mơ nhỏ, với máy chủ an ninh, giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn Tuy nhiên với mạng lơn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng firewall chẳng hạn Khi đó, hệ thống cảnh báo cần theo dõi, phát gửi cảnh báo đến hệ thống ngăn chặn khác Sự phân chia trách nhiệm làm cho việc đảm bảo an ninh cho mạng trở nên linh động hiệu 1.2 Phân loại IDS/IPS Cách thông thường để phân loại hệ thống IDS (cũng IPS) dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: • Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập • Network-based IDS (NIDS): Sử dụng liệu tồn lưu thơng mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập 1.2.1 Network based IDS – NIDS NIDS thường bao gồm có hai thành phần logic : • Bộ cảm biến – Sensor : đặt đoạn mạng, kiểm soát lưu thơng nghi ngờ đoạn mạng • Trạm quản lý : nhận tín hiệu cảnh báo từ cảm biến thông báo cho điều hành viên Một NIDS truyền thống với hai cảm biến đoạn mạng khác giao tiếp với trạm kiểm sốt Ưu điểm • Chi phí thấp : Do cần cài đặt NIDS vị trí trọng yếu giám sát lưu lượng tồn mạng nên hệ thống khơng cần phải nạp phần mềm quản lý máy toàn mạng • Phát cơng mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra header tất gói tin khơng bỏ sót dấu hiệu xuất phát từ Ví dụ: nhiều công DoS, TearDrop (phân nhỏ) bị phát xem header gói tin lưu chuyển mạng • Khó xố bỏ dấu vết (evidence): Các thơng tin lưu log file bị kẻ đột nhập sửa đổi để che dấu hoạt động xâm nhập, tình HIDS khó có đủ thơng tin để hoạt động NIDS sử dụng lưu thông hành mạng để phát xâm nhập Vì thế, kẻ đột nhập khơng thể xố bỏ dấu vết công Các thông tin bắt không chứa cách thức công mà thông tin hỗ trợ cho việc xác minh buộc tội kẻ đột nhập • Phát đối phó kịp thời : NIDS phát công xảy ra, việc cảnh báo đối phó thực nhanh VD : Một hacker thực công DoS dựa TCP bị NIDS phát ngăn chặn việc gửi yêu cầu TCP reset nhằm chấm dứt cơng trước xâm nhập phá vỡ máy bị hại • Có tính độc lập cao: Lỗi hệ thống khơng có ảnh hưởng đáng kể công việc máy mạng Chúng chạy hệ thống chuyên dụng dễ dàng cài đặt; đơn mở thiết bị ra, thực vài thay đổi cấu hình cắm chúng vào mạng vị trí cho phép kiểm sốt lưu thơng nhạy cảm Nhược điểm • Bị hạn chế với Switch: Nhiều lợi điểm NIDS không phát huy mạng chuyển mạch đại Thiết bị switch chia mạng thành nhiều phần độc lập NIDS khó thu thập thơng tin tồn mạng Do kiểm tra mạng đoạn mà trực tiếp kết nối tới, phát công xảy đoạn mạng khác.Vấn đề dẫn tới yêu cầu tổ chức cần phải mua lượng lớn bộcảm biến để bao phủ hết tồn mạng gây tốn chi phí cài đặt • Hạn chế hiệu năng: NIDS gặp khó khăn phải xử lý tất gói tin mạng rộng có mật độ lưu thơng cao, dẫn đến phát công thực vào lúc "cao điểm" Một số nhà sản xuất khắc phục cách cứng hố hồn tồn IDS nhằm tăng cường tốc độ cho Tuy nhiên, phải đảm bảo mặt tốc độ nên số gói tin bỏ qua gây lỗ hổng cho cơng xâm nhập • Tăng thơng lượng mạng: Một hệ thống phát xâm nhập cần truyền dung lượng liệu lớn trở hệ thống phân tích trung tâm, cónghĩa gói tin kiểm soát sinh lượng lớn tải phân tích.Để khắc phục người ta thường sử dụng tiến trình giảm liệu linhhoạt để giảm bớt số lượng lưu thông truyền tải Họ thườngthêm chu trình tự định vào cảm biến sử dụngcác trạm trung tâm thiết bị hiển thị trạng thái trung tâmtruyền thông thực phân tích thực tế Điểm bất lợi cung cấp thơng tin liên quan cho cảm biến; cảm biến việc cảm biến khác dị cơng Một hệ thống khơng thể dị cơng hiệp đồng phức tạp • Một hệ thống NIDS thường gặp khó khăn việc xử lý công phiên mã hoá Lỗi trở nên trầm trọng nhiều công ty tổ chức áp dụng mạng riêng ảo VPN • Một số hệ thống NIDS gặp khó khăn phát cơng mạng từ gói tin phân mảnh Các gói tin định dạng sai làm cho NIDS hoạt động sai đổ vỡ 1.2.2 Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin logging Nó tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, bước leo thang đặc quyền không chấp nhận Kiến trúc IDS thường dựa luật (rule-based) để phân tích hoạt động Ví dụ đặc quyền người sử dụng cấp cao đạt thơng qua lệnh su-select user, cố gắng liên tục để login vào account root coi cơng Ưu điểm: • Xác định kết công: Do HIDS sử dụng liệu log lưu kiện xảy ra, biết cơng thành cơng hay thất bại với độ xác cao NIDS Vì thế, HIDS bổ sung thơng tin công sớm phát với NIDS • Giám sát hoạt động cụ thể hệ thống: HIDS giám sát hoạt động mà NIDS như: truy nhập file, thay đổi quyền, hành động thực thi, truy nhập dịch vụ phân quyền Đồng thời giám sát hoạt động thực người quản trị Vì thế, hệ thống host-based IDS cơng cụ cực mạnh để phân tích cơng xảy thường cung cấp nhiều thơng tin chi tiết xác hệ network-based IDS • Phát xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào server khơng bị NIDS phát • Thích nghi tốt với mơi trường chuyển mạch, mã hoá: Việc chuyển mạch mã hoá thực mạng HIDS cài đặt máy nên khơng bị ảnh hưởng hai kỹ thuật • Khơng u cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn (FTP Server, WebServer) nên HIDS không yêu cầu phải cài đặt thêm phần cứng khác Nhược điểm • Khó quản trị : hệ thống host-based yêu cầu phải cài đặt tất thiết bị đặc biệt mà bạn muốn bảo vệ Đây khối lượng cơng việc lớn để cấu hình, quản lí, cập nhật • Thơng tin nguồn khơng an tồn: vấn đề khác kết hợp với hệ thống host-based hướng đến việc tin vào nhật ký mặc định lực kiểm sốt server Các thơng tin bị cơng đột nhập dẫn đến hệ thống hoạt đông sai, không phát xâm nhập • Hệ thống host-based tương đối đắt : nhiều tổ chức khơng có đủ nguồn tài để bảo vệ tồn đoạn mạng sử dụng hệ thống host-based Những tổ chức phải thận trọng việc chọn hệ thống để bảo vệ Nó để lại lỗ hổng lớn mức độ bao phủ phát xâm nhập Ví dụ kẻ cơng hệ thống láng giềng khơng bảo vệ đánh thấy thông tin xác thực tài liệu dễ bị xâm phạm khác mạng • Chiếm tài nguyên hệ thống : Do cài đặt máy cần bảo vệ nên HIDS phải sử dụng tài nguyên hệ thống để hoạt động như: vi xử lí, RAM, nhớ ngồi 1.3 Cơ chế hoạt động hệ thống IDS/IPS Có hai cách tiếp cận việc phát phòng chống xâm nhập : phát lạm dụng (Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kĩ thuật xâm nhập biết đến (dựa dấu hiệu - signatures) điểm dễ bị công hệ thống Phát bất thường (Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống • 1.3.1 Phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mơ tả đặc điểm cách thức xâm nhập vào hệ thống biết đến, cách thức mô tả mẫu Hệ thống phát lạm dụng thực kiểm soát mẫu rõ ràng Mẫu xâu bit cố định (ví dụ virus đặc tả việc chèn xâu),…dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Ở đây, ta sử dụng thuật ngữ kịch xâm nhập (intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống bảo vệ thời gian thực ghi kiểm tra ghi lại hệ điều hành Các kỹ thuật để phát lạm dụng khác cách thức mà chúng mơ hình hố hành vi định xâm nhập Các hệ thống phát lạm dụng hệ sử dụng luật (rules) để mơ tả mà nhà quản trị an ninh tìm kiếm hệ thống Một lượng lớn tập luật tích luỹ dẫn đến khó hiểu sửa đổi chúng khơng tạo thành nhóm cách hợp lý kịch xâm nhập Để giải khó khăn này, hệ thống hệ thứ hai đưa biểu diễn kịch xen kẽ, bao gồm tổ chức luật dựa mơ hình biểu diễn phép biến đổi trạng thái Điều mang tính hiệu người dùng hệ thống cần đến biểu diễn hiểu rõ ràng kịch Hệ thống phải thường xuyên trì cập nhật để đương đầu với kịch xâm nhập phát Do kịch xâm nhập đặc tả cách xác, hệ thống phát lạm dụng dựa theo để theo vết hành động xâm nhập Trong chuỗi hành động, hệ thống phát đốn trước bước hành động xâm nhập Bộ dị tìm phân tích thơng tin hệ thống để kiểm tra bước tiếp theo, cần can thiệp để làm giảm tác hại • 1.3.2 phát bất thường Dựa việc định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi không mong muốn rh_status_q() { rh_status > /dev/null 2>&1 } case "$1" in start) rh_status_q && exit start ;; stop) if ! rh_status_q; then rm -f $lockfile exit fi stop ;; restart) restart ;; status) rh_status RETVAL=$? if [ $RETVAL -eq -a -f $lockfile ] ; then RETVAL=2 fi ;; *) echo $"Usage: $0 {start|stop|restart|status}" RETVAL=2 esac exit $RETVAL Bước 11: Start Snort khởi động # chmod +x /etc/init.d/snortd # chkconfig snortd on Bước 12: khởi động snort # /etc/init.d/snortd start 2) Cài đặt BASE & barnyard2 Bước 1: Cài đặt gói phụ thuộc # pear channel-update pear.php.net # pear install Numbers_Roman # pear install channel://pear.php.net/Image_Canvas-0.3.5 # pear install channel://pear.php.net/Image_Graph-0.8.0 Bước 2: Cấu hình MySQL # mysql -u root -p mysql> create database snort; Query OK, row affected (0.00 sec) mysql> grant select,insert,update,delete,create on snort.* to snort@localhost; Query OK, rows affected (0.06 sec) mysql> set password for snort@localhost=PASSWORD('snortpassword'); Query OK, rows affected (0.00 sec) mysql>exit Bước 3: Cấu hình file snort #vi /etc/snort/snort.conf (dịng 520) output unified2: filename snort.u2, limit 128 Bước 4: Cài đặt barnyard2 #cd /tmp ; wget http://ftp.psu.ac.th/pub/snort/barnyard2-1.9.tar.gz # tar -xzvf barnyard2-1.9.tar.gz # cd barnyard2-1.9 # /configure with-mysql # make&& make install # cp etc/barnyard2.conf /etc/snort/ # mysql -u snort -psnortpassword snort < schemas/create_mysql # touch /etc/snort/barnyard2.waldo # chmod 777 /etc/snort/barnyard2.waldo # chown snort:snort /etc/snort/barnyard2.waldo Bước 5: Chỉnh sửa file cấu hình barnyard2 # vi /etc/snort/barnyard2.conf config reference_file: /etc/snort/reference.config config classification_file: /etc/snort/classification.config config gen_file: /etc/snort/etc/gen-msg.map config sid_file: /etc/snort/etc/sid-msg.map config logdir: /var/log/barnyard2 input unified2 config hostname: localhost config interface: eth0 config alert_with_interface_name output database: alert, mysql, user=snort password=snortpassword dbname=snort host=localhost Bước 6:Chỉnh sửa file init script cho barnyard2 # vi /etc/init.d/snortd (Thêm vào cuối file nội dung sau) BARNYARD2=/usr/local/bin/barnyard2 start() { [ -x $SNORTD ] || exit echo -n $"Starting $prog: " daemon pidfile=$PID_FILE $SNORTD $LINK_LAYER $NO_PACKET_LOG $DUMP_APP -D $PRINT_INTERFACE $INTERFACE -u $USER -g $GROUP $CONF -l $LOGDIR $PASS_FIRST $BPFFILE $BPF && success || failure RETVAL=$? $BARNYARD2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /etc/snort/barnyard2.waldo -u snort -g snort -D [ $RETVAL -eq ] && touch $lockfile echo return $RETVAL } stop() { echo -n $"Stopping $prog: " killproc $SNORTD killproc $BARNYARD2 if [ -e $PID_FILE ]; then chown -R $USER:$GROUP /var/run/snort_eth0.* /var/run/snort_eth0.pi* fi RETVAL=$? if [ "x$runlevel" = x0 -o "x$runlevel" = x6 ] ; then trap TERM killall $prog 2>/dev/null trap TERM fi [ $RETVAL -eq ] && rm -f $lockfile echo return $RETVAL } Bước 7: Restart snort && rm -f # /etc/init.d/snortd restart Bước 8: Install Base # cd /tmp ; wget http://sourceforge.net/projects/secureideas/files/latest/download # tar -xzvf base-1.4.5.tar.gz # cp -r base-1.4.5/ /var/www/base # cd /var/www/base/ # cp base_conf.php.dist base_conf.php Bước 9: Chỉnh sửa file cấu hình base_conf # vi base_conf.php $BASE_urlpath = '/base'; $DBlib_path = '/usr/share/php/adodb'; $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = '3306'; $alert_user = 'snort'; $alert_password = 'snortpassword'; Bước 10: Cấu hình Apache # vi /etc/httpd/conf.d/base.conf Alias /base /var/www/base/ AllowOverride None Order allow,deny Allow from all AuthName "Snort IDS" AuthType Basic AuthUserFile /etc/snort/base.passwd Require valid-user Bước 11: Tạo password truy cập vào web Base #htpasswd -c /etc/snort/base.passwd snortadmin Bước 12: Tạo file log barnyard2 #mkdir /var/log/barnyard2/ #chown -R snort:snort /var/log/barnyard2/ Bước 13: Downloadadodb519.tar.gz thực gán quyền truy cập #tar -zxvf adodb519.tar.gz #mv adodb5 /usr/share/php/adodb #chown -R snort:snort /usr/share/php/adodb #chmod -R 775 /usr/share/php/adodb Bước 14: Restart apache, mysql #service httpd restart #service mysqld restart #cp /tmp/snort-2.9.3.1/etc/gen-msg.map /etc/snort/etc/ #chown -R snort:snort /etc/snort/ Bước 13: Chạy snort barnyard #snort -u snort -g snort -c /etc/snort/snort.conf -i eth0 # barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.u2 Bước 15: Đăng nhập vào webhttp://IP-WEB-SERVER/base/base_db_setup.php Và Click create BASE GV 3) Cài đặt SnortSam Bước 1: Download SnortSam #cd /tmp ;wget http://www.snortsam.net/files/snortsam/snortsam-src-2.70.tar.gz #tar -zxvf snortsam-src-2.70.tar.gz # cd snortsam #chmod +x makesnortsam.sh # sh /makesnortsam.sh # cp snortsam /usr/bin #yum install libtool #cd /tmp/snort-2.9.3.1 #patch -p1 $HOME_NET any (msg:” Phat hien tan cong Ping of Death”; dsize: >200;sid: 1000004;fwsam:src, 30 minutes;) - Rule phát chống SCAN nmap #vi /etc/snort/rules/scan.rules alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN FIN"; flow:stateless; flags:F,12; reference:arachnids,27; classtype:attempted-recon; sid:621; rev:7;fwsam:src, 1months;) alert tcp any any -> $HOME_NET any (msg:"SCAN nmap XMAS"; flow:stateless; flags:FPU,12; reference:arachnids,30; classtype:attempted-recon; rev:7; fwsam:src, months;) … Bước 7:Start dịch vụ snortsam #snortsam /etc/snortsam 4) Chỉnh thông số máy firewall Bước 1: Bật tính ip_forward #echo “1” >/proc/sys/net/ipv4/ip_forward ( GHO~ TAY) #vi /etc/sysctl.conf net.ipv4.ip_forward = Bước 2: Tắt SELINUX #vi /etc/selinux/config SELINUX=disabled Bước 3: Restart Server #init Kịch test chương trình II - Khởi động barnyard2 #barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.u2 sid:1228; - Khởi động Snort #snort -u snort -g snort -c /etc/snort/snort.conf -i eth0 - Khởi động Snortsam #snortsam /etc/snortsam Attaker thực scan network công cụ nmap Dowload công cụ namp từ http://nmap.org/dist/nmap-5.21-setup.exe Bước 1: Thực scan mạng Sử dụng nmap scan web Server 192.168.2.5 nmap -sV script=banner Bước 2:Xem log Snortsam #tail -f /var/log/snortsam Ta thấy snortsam kết nối với firewall iptables để khóa ip attacker 10.10.10.2 Bước 3: Xem giao diện web: http://192.168.2.254/base/ Ta thấy giao diện lên cảnh báo SCAN nmap XMAS Rule sử dụng để phát hiện: alert tcp any any -> $HOME_NET any (msg:"SCAN nmap XMAS"; flow:stateless; flags:FPU,12; reference:arachnids,30; classtype:attempted-recon; sid:1228; rev:7; fwsam:src, months;) Với rule ip attacker bị khóa thời gian tháng Attaker thực công DOS Ping of death Ở kịch thứ ip 10.10.10.2 attcker bị khóa bị rule cùa snort phát Do kịch địa ip máy attacker phải thay đổi để tiếp tục công Ip attacker theo lab đổi thành 10.10.10.10 Dùng lệnh ifconfig Backtrack để xem ip: Bước 1:Attacker sử dụng công cụ hping3 để gửi nhiều gói tin với kích thước lớn đến Web Server Bước 2: Kiểm tra iptables Ta thấy iptables khóa (DROP) ip 10.10.10.10 Attacker Bước 4: Xem giao diện web: http://192.168.2.254/base/ Ta thấy có cảnh báo Ping of Death Detectedtrên web Rule dùng để phát hiện: alert icmp any any -> any any (msg:"Ping of Death Detected"; dsize:>1000; itype:8; icode:0; detection_filter:track by_src, count 30, seconds 1; sid:31047; classtype:denial-of-service; rev:3;fwsam:src, 30 minutes) Ghi chú: Snort có nhiều rule để phát xâm nhập việc test rule khác tương tự bước ... TỔNG QUAN VỀ IDS/ IPS 1.1 Giới thiệu IDS/ IPS 1.1.1 Định nghĩa 1.1.2 Sự khác IDS IPS 1.2 Phân loại IDS/ IPS & phân tích ưu nhược điểm 1.2.1 Network based IDS – NIDS 1.2.2 Host based IDS – HIDS 1.3... phẩm IDS/ IPS Phần giới thiệu số sản phẩm IDS, IPS thương mại miễn phí phổ biến, sản phẩm điển hình lĩnh vực phát phịng chống xâm nhập Cisco IDS- 4235 Cisco IDS (cịn có tên NetRanger) hệ thống NIDS,... sai làm cho NIDS hoạt động sai đổ vỡ 1.2.2 Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin logging Nó tìm kiếm hoạt