TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG-HCM KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort Môn học: Hệ thống tìm kiếm, phát ngăn ngừa xâm nhập Lớp: NT204.N11.ATTT.2 THÀNH VIÊN THỰC HIỆN (Nhóm 5): Điểm tự đánh giá STT ĐÁNH GIÁ KHÁC: Tổng thời gian thực Phân chia công việc Ý kiến (nếu có) + Khó khăn + Đề xuất, kiến nghị Phần bên báo cáo báo cáo chi tiết nhóm thực Bài thực hành số 3: Viết Rule cho Snort MỤC LỤC A BÁO CÁO CHI TIẾT Ngăn công SYN Flood a Trước áp dụng rule b Sau áp dụng rule Chỉ cho phép truy cập đến port từ 20-1000 a Trước áp dụng rule b Sau áp dụng rule Ngăn chặn cơng dị mật dịch vụ Telnet a Trước áp dụng rule b Sau áp dụng rule Ngăn chặn công Command Injection a Trước áp dụng rule b Sau áp dụng rule 10 10 11 14 Bài thực hành số 3: Viết Rule cho Snort 14 A BÁO CÁO CHI TIẾT Ngăn công SYN Flood a Trước áp dụng rule hping3 -S 192.168.5.200 -a 10.81.5.100 -p 80 –flood Ta thực thi câu lệnh hping3 bên máy Attacker đến máy Victim để tiến hành công Tấn công flood với cờ SYN đến port 80 máy victim Dùng tcpdump máy Victim lắng nghe cổng eth0 thu kết trên, ta thấy số lượng gói tin nhận khoảng thời gian ngắn lớn đa phần bị dropped kernel b Sau áp dụng rule Bài thực hành số 3: Viết Rule cho Snort drop tcp 10.81.5.100 any -> 192.168.5.200 80 (flags: S; msg:”Posible DoS Attack”; flow:stateless; threshold: type threshold, track by_dst, count 60, seconds 5: sid:10002;rev:1;) Phân tích rule sau: flags S tcp sử dụng để chặn gói tin loại SYN tcp, mục tiêu bị hại IP máy victim với port 80 cho cổng tcp, type threshold “drop” với kiện vi phạm điều khoản “count 60, second ” tức vịng giây có 60 gói tin nhận drop gói tin từ thứ 61 sau giây đếm lại từ đầu Tcpdump máy Victim nhận thấy số lượng gói tin nhận giảm đáng kể 14 Ta sử dụng rule để ngăn chặn SYN Flood tới máy Victim Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy thông báo công Chỉ cho phép truy cập đến port từ 201000 a Trước áp dụng rule nmap -p 1-2000 192.168.5.200 Sử dụng lệnh trên máy Attacker để scan port hoạt động máy Victim Bài thực hành số 3: Viết Rule cho Snort b Sau áp dụng rule drop tcp any any -> 192.168.5.200 !20:1000 (msg:”Access port from 20 to 1000”; GID=1; sid=10000003; rev=001;) Ta sử dụng rule để ngăn truy cập đến port khác 20-1000 cách dùng lệnh !20:1000, tất truy cập khác vùng port đến máy Victim bị drop Bởi nmap sử dụng giao thức tcp để scan nên ta chặn giao thức tcp Sử dụng nmap Attacker sau áp dụng rule phát khơng cịn scan thấy port 1099 1524 14 Kết nhận gồm port > 1000 1099 1524 Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy cảnh báo trên, port cảnh báo 1103, 1232,… Ngăn chặn cơng dị mật dịch vụ Telnet a Trước áp dụng rule Sử dụng file username.txt pass.txt mang thông tin dự đoán username password máy victim Vấn đề file phải có thơng tin đủ lớn để brute-force Bài thực hành số 3: Viết Rule cho Snort thành cơng, có khoảng 200 dự đốn username password có username password xác “msfadmin” Vấn đề với cách công liệu không đủ lớn khơng có thơng tin máy Victim khơng thể brute-force mật thành cơng 14 Tiến hành brute-force đến máy Victim với giao thức ssh tìm thấy username password xác “msfadmin” b Sau áp dụng rule drop tcp 10.81.5.100 any -> 192.168.5.200 21 (msg:”Hydra password”;content:”SSH” flow: established,to_server; detection_filter:track by_src, count 30, seconds 60: sid:10000004;rev:1;) Sử dụng detection_filter để xác định rate “by_src” tức máy nguồn, rule grop gói tin thứ 31 đăng nhập vào máy Victim không thành công 60s Bài thực hành số 3: Viết Rule cho Snort Máy attacker không detech thành công password 14 Log snort phát công Ngăn chặn công Command Injection a Trước áp dụng rule Bài thực hành số 3: Viết Rule cho Snort Thực công RCE máy attacker đến máy nạn nhân 14 Lệnh ;cat /etc/passwd xuất user b Sau áp dụng rule Sử dụng rule sau để ngăn chặn công RCE: Bài thực hành số 3: Viết Rule cho Snort drop tcp any any -> 192.168.5.200 any (msg:”RCE detected”; content:”whoami”;nocase;sid:10000001;rev:001;) drop tcp any any -> 192.168.5.200 any (msg:”RCE detected”; content:”cat /etc/passwd”;nocase;sid:10000002;rev:001;) 14 Không thực thi câu lệnh File log snort ... số 3: Viết Rule cho Snort Máy attacker không detech thành công password 14 Log snort phát công Ngăn chặn công Command Injection a Trước áp dụng rule Bài thực hành số 3: Viết Rule cho Snort Thực. . .Bài thực hành số 3: Viết Rule cho Snort MỤC LỤC A BÁO CÁO CHI TIẾT Ngăn công SYN Flood a Trước áp dụng rule b Sau áp dụng rule Chỉ cho phép truy cập đến port từ 20-1000 a Trước áp dụng rule. .. dụng rule phát khơng cịn scan thấy port 1099 1524 14 Kết nhận gồm port > 1000 1099 1524 Bài thực hành số 3: Viết Rule cho Snort 14 Kiểm tra file log thấy cảnh báo trên, port cảnh báo 11 03, 1 232 ,…