ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐH CÔNG NGHỆ THÔNG TIN BÁO CÁO LAB 3 SNORT Lớp NT302.F21 GVHD: Ths Nguyễn Duy Snort - Snort là NIDS. - Phát triển bởi Martin Roesh. - Mã nguồn mở. - Được phát triển theo dạng Module. Người dùng có thể tự tăng cường tính năng cho hệ thống Snort bằng cách cài đặt hay viết thêm mới các module. - Cơ sở dữ liệu lớn và cập nhật thường xuyên bởi cộng đồng người sữ dụng. - Snort có thể chạy trên nhiều hệ điều hành khác nhau : Windows , Linux, MacOS…. Sniffer mode: snort bắt lấy các gói tin và hiển thị nội dung của chúng. Network Intrusion Detection System mode: Phát hiện các bất thường trong gói tin và luồng dữ liệu Inline mode: ngoài việc phát hiện con ngăn chặn các gói tin và các luồng dữ liệu bất thường. Các cơ chế hoạt động của Snort Các cơ chế hoạt động của Snort Network Intrusion Detection System mode: Ở chế độ IDS, snort không ghi lại từng gói tin bắt được như trong chế độ sniffer mode. Thay vào đó, nó so sánh các rules vào tất cả các gói tin bắt được. Nếu 1 gói tin phù hợp với rules, thì nó sẽ được ghi lại và một cảnh báo sẽ được phát ra. Thành phần của SNORT Gồm 4 thành phần chính:  Packet sniffer  Preprocessor  Detection engine  Thành phần Alerting/logging Thành phần của SNORT Packet Sniffer Packet sniffer: thành phần dùng để lắng nghe các gói tin trên mạng Có thể sử dụng Packet sniffer để: - Phân tích và sử lý sự cố mạng. - Phân tích hiệu suất mạng. - Lắng nghe dữ liệu trên mạng (password, các dữ liệu nhạy cảm ) Packet Sniffer Bộ tiền xử lý (Preprocessor) Preprocessor là những thành phần hay những plug-in được sử dụng cùng với Snort để xem xét, sắp xếp và thay đổi những gói dữ liệu trước khi giao các gói này cho detection engine. Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo. Bộ tiền xử lý (Preprocessor) 2 chức năng chính của Bộ tiền xử lý: - Xem xét (kiểm tra) các gói tin đáng ngờ - Chuẩn bị các gói tin để giao cho Detection engine: các gói tin cụ thể và các thành phần của gói tin được chuẩn hóa (nomalized) để cho Detection engine có thể so sánh các dấu hiệu tấn công một cách chính xác. [...]... – PING Chưa chạy snort: Test – PING Tiến hành chạy snort: Test – PING Cảnh báo từ phía snort: Test – Remote Desktop Tạo rule test remote desktop giữa hai máy trong file local.rules: Drop tcp 192.168.10.108 any -> 192.168.10.111 3389 (msg:”Chan Remote Desktop”; sid:10000001; rev:1;) Test – Remote Desktop Trước khi chạy snort: Test – Remote Desktop Test – Remote Desktop Sau khi chạy snort: Test – Remote... Alerting/Logging Nếu dữ liệu phù hợp với 1 rule trong detection engine, thì 1 cảnh báo sẽ được phát sinh Cảnh báo sẽ được gửi tới 1 tập tin log thông qua kết nối mạng, UNIX socket hay Window Popup hay SNMP traps Các cảnh báo có thể được lưu trong CSDL SQL như là MySQL và Postgres Các thành phần Alerting/Logging Snort Rules Snort rules hoạt động trên lớp mang (network (IP)) và vận chuyển (transport (TCP/UPD))... Nằm trong cặp dấu () - Nếu có nhiều option, thì các option sẽ kết hợp với nhau theo thuật toán AND - Rule Option bao gồm 2 phần: từ khóa (keyword) và tham số (argument) Snor t Rules Ví dụ 1: tất cả gói IP bị phát hiện và phát cảnh báo: alert icmp any any -> any any (msg: "ICMP Packet found";) Ví dụ 2: phát cảnh báo khi gặp gói ICMP: Alert icmp any any -> 192.168.1.113/32 any \ (msg: "Ping with TTL=100";... thức lớp ứng dụng (application) Snort Rules Rule được chia làm 2 phần: Rule Header Rule Option Snort Rules Rule Header: chứa thông tin về hành động được thực hiện (log hay alert), loại gói tin (TCP, UDP, ICMP ), địa chỉ nguồn và đích và cổng Snor t Rules Rule Option: hành động trong rule header chỉ được thực hiện khi tất cả các tiêu chí trong rule option là đúng Snort Rules Cấu trúc Rule Option:... Flow, SfPortscan Performance Monitor Bộ tiền xử lý (Preprocessor) Bộ máy phát hiện (Detection Engines) Detection engine là thành phần quan trọng nhất trong snort Nó chịu trách nhiệm phát hiện các hành vi bất thường trong các gói tin dựa trên các rule của snort Nếu gói tin nào khớp với rule, thì hành động thích hợp sẽ được thực hiện Bộ máy phát hiện (Detection Engines) IDS/IPS có thể xem xét các gói tin... 192.168.10.111 3389 (msg:”Chan Remote Desktop”; sid:10000001; rev:1;) Test – Remote Desktop Trước khi chạy snort: Test – Remote Desktop Test – Remote Desktop Sau khi chạy snort: Test – Remote Desktop Cảnh báo từ phía snort: