 ườ  ạ  ệ  Nhóm 15: Nguyễn Cao Tiến 08520601 Vương Trường Vũ 08520622 Buôn Krông Hồng Thanh 09520738 Lê Xuân Hùng 08520648  Ứ ụ   ụ ụ   !" "" #ớ ệ  $!"% & # '"&"% ặ ỉ ử ặ #  (!)&& #ủ  *!+&,-#& #ủ   ớ ệ • Hệ thống tiêu biểu cho phát hiện xâm nhập   ớ ệ  ủ      ướ ẫ ặ ỉ ử ! ặ      ướ ẫ ặ ỉ ử ! ặ Chỉnh sửa cần thiết sau khi cài đặt snort  ."/,-0121!& % & 3 ọ ỉ ỉ ạ 4$5 675$75 $48$*  "&,9-&,##":"&"5&:" ⇒ "&,9-&!;#;-&;&,##":"&"5&:"  "&,9--:--&-5&: <="&,9-&!;#-&;-:--&-5&:" 5 :",-#5&:"& # ở ỉ ử 2.  #  #% 9 ỉ ử ườ ẫ [...]... log tcp any any -> 10.0.10.0/2 23 log icmp any any -> 10.0.10.0/24 any pass tcp any 80 -> any 80 alert tcp any any -> any 23 (msg: “Telnet Connection Attemp”;) … Snort rule ID  =1,000,001: dùng cho các rule nội bộ Tạo một ruleset đơn giản  B1: mở notepad và gõ vào: Log tcp any any -> any any (msg:... n Rule Header Rule Options alert tcp any any -> any any (content: “bom”; msg: “nguy hiem”) Header của rule: Rule Action Protocol Source IP Source Port Direction Destination IP Destination Port alert tcp any any -> any any : Bảng các rule action Rule Action alert log pass activate dynamic 2 Xác định giao thức Snort hỗ trợ các giao thức: TCP, UDP, ICMP, và IP 3 Cấấ hình địa chỉ IP u Ta có thể định nghĩa... Tạo một IP list alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any (content: “Password”; msg: “Password Tranfer Possible!”;) 4 Xác định port cho snort kiểm tra  Các port như 80, 23…  nềấ để “any”  snort sẽ kiểm tra trền tấấ cả u t các port đôấ với địa chỉ IP i  Vd các kiểu định nghĩa port Log tcp any any -> 10.0.10.0/24: 23 Log tcp any any -> 10.0.10.0/24 1:1024 Log tcp any :1024 -> 10.0.10.0/24... một ruleset đơn giản  B1: mở notepad và gõ vào: Log tcp any any -> any any (msg: “TCP Traffic Logged”; sid: 10000001;) Alert icmp any any -> any any (msg: “ICMP Traffic Alerted”; sid: 10000002) Alert tcp any any -> any any (content: “password”; msg: “Possible Password Transmitted”; sid: 10000003;)  B2: Lưu file với đường dẫn: C:\snort\rules\”myrule.rules” Các tùy chọn Meta Data Chứa các tính nắng... :1024 -> 10.0.10.0/24 1024: Log tcp ! 172.16.40.50/32 any -> 10.0.10.0/24 any Log tcp any any -> 10.0.10.0/24 ! 23 Log tcp 10.0.10.0/2 any 172.16.30.0/24 23 Rule Option  Thể hiện tính linh động và các chức nắng của Snort  Các rule option phấn cách nhau bắề g n dấấ “,” u  Một rule option bao gôề : keyword: m “value” VD: msg: “text” Một số keyword thông dụng: Keyword msg ttl id flags ack content Sử... access"; flow:to_server,established; uricontent:".ida"; nocase; reference:arachnids,552; reference:bugtraq,1065; reference:cve,2000-0071; classtype:web-application-activity; sid:1242; rev:10;)  Đấy là rule dùng để phát hiện worm Code Red trong hệ thôấ g WebServer IIS n Tham khảo  Advanced IDS techniques  Qua internet Thank ...3 Chạy thử snort Từ C:\Snort\bin gõ lệnh snort –W Thử bắấ gói tin: snort –v –iX t C:\Snort\bin\snort –v –i1 Gõ lệnh ping 192.168.2.1  Ngoài việc xem các gói tin trền mạng chúng ta còn có thể lưu trữ chúng trong thư mục C:\Snort\log với tùy chọn –l, ví dụ dòng lệnh sau sẽ ghi log các thông tin dữ liệu tại tấề g data link n và TCP/IP header của lớp mạng nội bộ  C:\Snort\bin\snort... Red exploit ida? trong nội dung của rule: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS ISAPI ida attempt"; flow:to_server,established; uricontent:".ida?"; nocase; reference:arachnids,552; reference:bugtraq,1065; reference:cve,2000-0071; classtype:web-application-attack; sid:1243; rev:11;)alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS ISAPI ida access";... $EXTERNAL_NET any (msg: “DDOS Trin00 Attacker to Master default startup password”);flow: established,to_server; content:“Betaalmostdone”;reference:arachnids ,197; classtype:attempted-dos;sid: 109, rev: 5;) Để kiểm tra DDoS rule, ta chỉnh sửa trong file ddos.rules nắề trong thư mục C:\Snort\rules m Kiểm tra rule Backdoor:  Dưới đấy là ví dụ mẫu: alert tcp $HOME_NET 12345:123456 -> $EXTERNAL_NET any (msg:... content “NetBus”; reference:arachnids,401; classtype:misc-activity; sid: 109, rev: 5;) Để kiểm tra DDoS rule, ta chỉnh sửa trong file backdoor.rules nắề trong thư mục m C:\Snort\rules Kiểm tra rule Web Attack:  Snort cũng có nhiềề rule được thiềấ kềấ ể kiểm u t đ tra các cuộc tấấ công web n  Dưới đấy là ví dụ mẫu: alert tcp $EXTERNAL_NET 12345:123456 -> $EXTERNAL_NET any (msg: “WEB-attack etc/shadow . ị ỉ 3 ,-5ộ   3 ,"#ạ ộ alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any (content: “Password”; msg: “Password Tranfer Possible!”;) -+, ! 'ị. & ớ ị ỉ  .9&+&'" % KDể ị Log tcp any any -> 10.0.10.0/24: 23 Log tcp any any -> 10.0.10.0/24 1:1024 . ặ #  (!)&& #ủ  *!+&,-#& #ủ   ớ ệ • Hệ thống tiêu biểu cho phát hiện xâm nhập   ớ ệ  ủ 