Network Intrusion Detection System mode: Phát hiện các bất thường trong gói tin và luồng dữ liệu Inline mode: ngoài việc phát hiện con ngăn chặn các gói tin và các luồng dữ liệu bất th
Trang 1ĐẠI HỌC QUỐC GIA TP HCM
TRƯỜNG ĐH CÔNG NGHỆ THÔNG TIN
BÁO CÁO LAB 3
SNORT
Lớp NT302.F21 GVHD: Ths Nguyễn Duy
Trang 2- Cơ sở dữ liệu lớn và cập nhật thường xuyên bởi cộng đồng người sữ dụng.
- Snort có thể chạy trên nhiều hệ điều hành
khác nhau : Windows , Linux, MacOS….
Trang 3Sniffer mode: snort bắt lấy các gói tin và
hiển thị nội dung của chúng
Network Intrusion Detection System mode: Phát hiện các bất thường trong gói
tin và luồng dữ liệu
Inline mode: ngoài việc phát hiện con
ngăn chặn các gói tin và các luồng dữ liệu bất thường
Các cơ chế hoạt động của Snort
Trang 4Network Intrusion Detection System mode:
Ở chế độ IDS, snort không ghi lại từng gói tin bắt được như trong chế độ sniffer mode Thay vào đó, nó so sánh các rules vào tất cả các gói tin bắt được Nếu 1 gói tin phù hợp với rules, thì nó sẽ được ghi lại và một cảnh báo sẽ được phát ra
Trang 5Thành phần của SNORT
Trang 7- Phân tích hiệu suất mạng.
- Lắng nghe dữ liệu trên mạng (password, các dữ liệu nhạy cảm )
Trang 8Packet Sniffer
Trang 9Bộ tiền xử lý (Preprocessor)
Preprocessor là những thành phần
hay những plug-in được sử dụng cùng với Snort để xem xét, sắp xếp và thay đổi những gói dữ liệu trước khi giao
các gói này cho detection engine Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường
trong tiêu đề gói và sinh ra cảnh báo
Trang 10Bộ tiền xử lý (Preprocessor)
2 chức năng chính của Bộ tiền xử lý:
- Xem xét (kiểm tra) các gói tin đáng ngờ
- Chuẩn bị các gói tin để giao cho Detection
engine: các gói tin cụ thể và các thành phần của gói tin được chuẩn hóa (nomalized) để cho Detection engine có thể so sánh các dấu hiệu tấn công một cách chính xác.
Trang 12Bộ tiền xử lý (Preprocessor)
Trang 13Bộ máy phát hiện (Detection Engines)
Detection engine là thành phần
quan trọng nhất trong snort Nó chịu trách nhiệm phát hiện các hành vi bất thường trong các gói tin dựa trên các rule của snort.
Nếu gói tin nào khớp với rule, thì hành động thích hợp sẽ được thực hiện.
Trang 14IDS/IPS có thể xem xét các gói tin và áp
dụng các rules vào các phần khác nhau của gói tin Các phần của gói tin:
- IP header
- Header của lớp transport (TCP, UDP)
- Header của lớp application (DNS header, FTP header, SNMP header )
- Phần tải của gói tin (packet payload)
Bộ máy phát hiện (Detection Engines)
Trang 15Bộ máy phát hiện (Detection Engines)
Trang 16Các thành phần Alerting/Logging
Nếu dữ liệu phù hợp với 1 rule trong detection engine, thì 1 cảnh báo sẽ được phát sinh Cảnh báo sẽ được gửi tới 1 tập tin log thông qua kết nối mạng, UNIX socket hay Window Popup hay SNMP traps
Các cảnh báo có thể được lưu trong CSDL SQL như là MySQL và Postgres
Trang 17Các thành phần Alerting/Logging
Trang 18Snort Rules
Snort rules hoạt động trên lớp
mang (network (IP)) và vận chuyển (transport (TCP/UPD)) Tuy nhiên
có các phương pháp để phát hiện
sự bất thường ở lớp liên kết (data link) và các giao thức lớp ứng dụng (application).
Trang 19Snort Rules
Rule được chia làm 2 phần:
Rule Header Rule Option
Trang 20Snort Rules
Rule Header: chứa thông tin về
hành động được thực hiện (log hay alert), loại gói tin (TCP, UDP, ICMP ), địa chỉ nguồn và đích và cổng.
Trang 21Rule Option: hành động trong rule
header chỉ được thực hiện khi tất cả
các tiêu chí trong rule option là
đúng
Snort Rules
Trang 22Cấu trúc Rule Option:
- Theo sau rule header.
- Nằm trong cặp dấu ().
- Nếu có nhiều option, thì các option
sẽ kết hợp với nhau theo thuật toán
Trang 23Ví dụ 1: tất cả gói IP bị phát hiện và
phát cảnh báo:
alert icmp any any -> any any (msg:
"ICMP Packet found";)
Ví dụ 2: phát cảnh báo khi gặp gói
Trang 24DEMO
Trang 25Mô Hình Triển Khai - IDS
Trang 26Test - IDS
Trang 27Mô Hình Tri n Khai - IPS ể
Trang 28Test – PING
Tạo rule test ping giữa hai máy trong file local.rules:
Drop icmp 192.168.10.108 any <>
192.168.10.111 any (msg:”Chan Ping
giua cac may tinh”; sid:10000001; rev:1;)
Trang 29Test – PING
Chưa chạy snort:
Trang 30Test – PING
Tiến hành chạy snort:
Trang 31Test – PING
Cảnh báo từ phía snort:
Trang 32Test – Remote Desktop
Tạo rule test remote desktop giữa hai máy trong file local.rules:
Drop tcp 192.168.10.108 any ->
192.168.10.111 3389 (msg:”Chan
Remote Desktop”; sid:10000001; rev:1;)
Trang 33Test – Remote Desktop
Trước khi chạy snort:
Trang 34Test – Remote Desktop
Trang 35Sau khi chạy snort:
Trang 36Test – Remote Desktop
Cảnh báo từ phía snort:
Trang 38Test – Telnet
Trước khi chạy snort:
Trang 39Test – Telnet
Sau khi chạy snort:
Trang 40Test – Telnet
Cảnh báo từ phía snort: