1. Trang chủ
  2. » Tất cả

Bài thực hành số 3: viết rule cho snort

11 85 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 11
Dung lượng 0,95 MB

Nội dung

Bài thực hành số 3 Viết Rule cho Snort TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG HCM KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG BÁO CÁO THỰC HÀNH Bài thực hành số 3 Viết Rule cho Snort Môn học Hệ thống tìm ki[.]

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG-HCM KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Môn học: Hệ thống tìm kiếm, phát ngăn ngừa xâm nhập Lớp: NT204.N11.ATTT.2 THÀNH VIÊN THỰC HIỆN (Nhóm 5): STT Họ tên MSSV Phạm Đình Cơng 20521144 Nguyễn Minh Sơn 20521844 Điểm tự đánh giá ĐÁNH GIÁ KHÁC: Tổng thời gian thực Phân chia công việc Ý kiến (nếu có) + Khó khăn + Đề xuất, kiến nghị Phần bên báo cáo báo cáo chi tiết nhóm thực Bài thực hành số 3: Viết Rule cho Snort MỤC LỤC A BÁO CÁO CHI TIẾT .3 Ngăn công SYN Flood a Trước áp dụng rule b Sau áp dụng rule .3 Chỉ cho phép truy cập đến port từ 20-1000 a Trước áp dụng rule b Sau áp dụng rule .6 Ngăn chặn cơng dị mật dịch vụ Telnet a Trước áp dụng rule b Sau áp dụng rule .9 a b 14 Ngăn chặn công Command Injection 10 Trước áp dụng rule .10 Sau áp dụng rule 11 Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort 14 A BÁO CÁO CHI TIẾT Ngăn công SYN Flood a Trước áp dụng rule hping3 -S 192.168.5.200 -a 10.81.5.100 -p 80 –flood Ta thực thi câu lệnh hping3 bên máy Attacker đến máy Victim để tiến hành công Tấn công flood với cờ SYN đến port 80 máy victim Dùng tcpdump máy Victim lắng nghe cổng eth0 thu kết trên, ta thấy số lượng gói tin nhận khoảng thời gian ngắn lớn đa phần bị dropped kernel b Sau áp dụng rule Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort drop tcp 10.81.5.100 any -> 192.168.5.200 80 (flags: S; msg:”Posible DoS Attack”; flow:stateless; threshold: type threshold, track by_dst, count 60, seconds 5: sid:10002;rev:1;) Ta sử dụng rule để ngăn chặn SYN Flood tới máy Victim 14 Phân tích rule sau: flags S tcp sử dụng để chặn gói tin loại SYN tcp, mục tiêu bị hại IP máy victim với port 80 cho cổng tcp, type threshold “drop” với kiện vi phạm điều khoản “count 60, second ” tức vịng giây có 60 gói tin nhận drop gói tin từ thứ 61 sau giây đếm lại từ đầu Tcpdump máy Victim nhận thấy số lượng gói tin nhận giảm đáng kể Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy thông báo công Chỉ cho phép truy cập đến port từ 20-1000 a Trước áp dụng rule nmap -p 1-2000 192.168.5.200 Sử dụng lệnh trên máy Attacker để scan port hoạt động máy Victim Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort 14 Kết nhận gồm port > 1000 1099 1524 b Sau áp dụng rule drop tcp any any -> 192.168.5.200 !20:1000 (msg:”Access port from 20 to 1000”; GID=1; sid=10000003; rev=001;) Ta sử dụng rule để ngăn truy cập đến port khác 20-1000 cách dùng lệnh !20:1000, tất truy cập khác vùng port đến máy Victim bị drop Bởi nmap sử dụng giao thức tcp để scan nên ta chặn giao thức tcp Sử dụng nmap Attacker sau áp dụng rule phát khơng cịn scan thấy port 1099 1524 Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy cảnh báo trên, port cảnh báo 1103, 1232,… Ngăn chặn cơng dị mật dịch vụ Telnet a Trước áp dụng rule Sử dụng file username.txt pass.txt mang thơng tin dự đốn username password máy victim Vấn đề file phải có thơng tin đủ lớn để brute-force Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort thành cơng, có khoảng 200 dự đốn username password có username password xác “msfadmin” Vấn đề với cách công liệu khơng đủ lớn khơng có thơng tin máy Victim khơng thể brute-force mật thành công 14 Tiến hành brute-force đến máy Victim với giao thức ssh tìm thấy username password xác “msfadmin” b Sau áp dụng rule drop tcp 10.81.5.100 any -> 192.168.5.200 21 (msg:”Hydra password”;content:”SSH” flow: established,to_server; detection_filter:track by_src, count 30, seconds 60: sid:10000004;rev:1;) Sử dụng detection_filter để xác định rate “by_src” tức máy nguồn, rule grop gói tin thứ 31 đăng nhập vào máy Victim không thành công 60s Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Máy attacker không detech thành công password 14 Log snort phát công Ngăn chặn công Command Injection a Trước áp dụng rule Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Thực công RCE máy attacker đến máy nạn nhân 14 Lệnh ;cat /etc/passwd xuất user b Sau áp dụng rule Sử dụng rule sau để ngăn chặn cơng RCE: Khoa Mạng máy tính Truyền thông BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort drop tcp any any -> 192.168.5.200 content:”whoami”;nocase;sid:10000001;rev:001;) any (msg:”RCE detected”; drop tcp any any -> 192.168.5.200 any (msg:”RCE detected”; content:”cat /etc/passwd”;nocase;sid:10000002;rev:001;) 14 Không thực thi câu lệnh File log snort Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH ... nguồn, rule grop gói tin thứ 31 đăng nhập vào máy Victim không thành công 60s Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Máy attacker không detech thành... password 14 Log snort phát công Ngăn chặn công Command Injection a Trước áp dụng rule Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Thực công RCE máy... nhận thấy số lượng gói tin nhận giảm đáng kể Khoa Mạng máy tính Truyền thông BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy thông báo công Chỉ cho phép truy

Ngày đăng: 14/11/2022, 04:11

TỪ KHÓA LIÊN QUAN

w