1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đồ án triển khai hệ thống phát hiện xâm nhập trái phép bằng snort

53 574 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 53
Dung lượng 1,9 MB

Nội dung

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ Việt nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống càng trở nên cấp thiết hơn bao giờ. Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như sao chép dữ liệu, nghe trộm việc truyền nhằm lấy dữ liệu quan trọng. Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên thì:”Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort” là một giải pháp hữu ích cho hệ thống.

Trang 1

BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Đề tài: Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort

Giáo viên hướng dẫn: Th.s Trịnh Thị LýSinh viên thực hiện : Vũ Văn Quyền

Lớp : DH1C1

MSSV : DC00100541

Ngành/Chuyên ngành: Công nghệ Thông tin

Trang 2

LỜI CẢM ƠN

Được sự phân công của Khoa Công nghệ thông tin trường Đại học Tài nguyên

và Môi trường Hà Nội và sự đồng ý của Cô giáo hướng dẫn Ths Trịnh Thị Lý em

đã thực hiện đề tài “Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort”.

Để hoàn thành đồ án tốt nghiệp này, em xin chân thành cảm ơn các thầy côgiáo trong trường đã tận tình hướng dẫn, giảng dạy, chỉ bảo em trong suốt quá trìnhhọc tập, nghiên cứu và rèn luyện ở mái trường Đại học Tài nguyên và Môi trường

Hà Nội Đặc biệt em xin bày tỏ lòng kính trọng và biết ơn sâu sắc tới cô giáohướng dẫn Ths Trịnh Thị Lý đã tận tình chu đáo hướng dẫn, trực tiếp chỉ bảo để

em có thể hoàn thành đồ án tốt nghiệp này

Cuối cùng em xin gửi lời cảm ơn tới gia đình, bạn bè đã giúp đỡ, động viên

em trong suốt quá trình học tập vừa qua

Trang 3

MỤC LỤC

LỜI CẢM ƠN

DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC TỪ VIẾT TẮT

LỜI NÓI ĐẦ

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 2

1.1 Đặt vấn đề 2

1.2 Mục tiêu 2

1.3 Phạm vi đề tài 2

1.4 Phương pháp tiếp cận 2

1.5 Nội dung nghiên cứu 2

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 3

2.1 Hệ thống phát hiện xâm nhập IDS 3

2.1.1 Giới thiệu về IDS 3

2.1.2 Phân loại IDS và phân tích ưu nhược điểm 7

2.1.3 Cơ chế hoạt động của IDS 10

2.1.4 Cách phát hiện kiểu tấn công thông dụng của IDS 12

2.2 Giới thiệu về Snort 15

2.2.1 Giới thiệu về Snort 15

2.2.2 Kiến trúc của Snort 16

2.2.3 Thành phần và chức năng của Snort 16

2.2.4 Bộ luật của Snort 20

2.2.5 Cơ chế hoạt động của Snort 27

3.1 Mô hình triển khai 28

3.2 Mô tả yêu cầu 28

3.3 Cài đặt Snort 29

3.4 Cấu hình Iptables và chặn tấn công DoS 38

Trang 4

3.5 Demo kết quả 38

CHƯƠNG 4 KẾT LUẬN 44

4.1 Kết quả 44

4.1.1 Những phần nắm được 44

4.1.2 Những gì chưa đạt được 44

4.2 Hướng phát triển 45

TÀI LIỆU THAM KHẢO 46

Trang 5

DANH MỤC CÁC BẢNG

Bảng 2.1 So sánh hai mô hình phát hiện 20

DANH MỤC CÁC HÌNH VẼ Hình 2.1 Thành phần của IDS 11

Hình 2.2 Hoạt động của IDS 12

Hình 2.3 Sơ đồ hệ thống NIDS 15

Hình 2.4 Sơ đồ hệ thống HIDS 17

Hình 2.5 Kiến trúc hệ thống Snort 25

Hình 2.6 Bộ tiền xử lý 26

Hình 2.7 Bộ phát hiện 27

Hình 2.8 Bộ kết xuất thông tin 29

Hình 2.9 Cấu trúc luật của Snort 30

Hình 2.10 Header của luật Snort 31

Hình 3.1 Mô hình triển khai hệ thống IDS-IPS với Snort và Iptables 39

Hình 3.2 Hiển thị trang base 48

Hình 3.3 Tạo base 49

Hình 3.4 Thông báo tạo thành công 49

Hình 3.5 Hệ thống yêu cầu password khi vào trang base 50

Hình 3.6 Chú thích các phần trong rules Snort 51

Hình 3.7 Địa chỉ IP máy Client 53

Hình 3.8 Máy client ping đến địa chỉ IP của Server Snort 54

Hình 3.9 Kết quả của hệ thống báo có máy đang ping 54

Hình 3.10 Giao diện REMOTE DESKTOP 55

Hình 3.11 Kết quả của hệ thống báo có máy đang REMOTE DESKTOP 56

Hình 3.12 Giao diện của phần mềm tấn công DoS 56

Hình 3.13 Giao diện trước khi tấn công vẫn truy cập tới server bình thường 57

Hình 3.14 Giao diện tấn công khi tắt iptables 57

Hình 3.15 Giao diện tấn công khi bật firewall iptables 58

Trang 6

DANH MỤC CÁC TỪ VIẾT TẮT

Trang 7

LỜI MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và

sự phát triển của mạng Internet ngày càng phát triển đa dạng và phong phú Cácdịch vụ mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội hiện nay.Các thông tin trên Internet cũng rất đa dạng về nội dung và hình thức, trong đó córất nhiều thông tin cần được bảo mật chặt chẽ

Sự ra đời của công nghệ An ninh mạng giúp cho việc bảo vệ các thông tinđược đưa lên mạng Internet trước việc đánh cắp và dùng sai mục đích gây nhiều hậuquả nghiêm trọng Đi cùng với sự phát triển của Internet thì các thủ đoạn tấn côngmạng cũng ngày một đa dạng và nguy hiểm Do đó đối với mỗi hệ thống mạng cầnđược thiết lập để luôn hoạt động một cách trơn tru, hiệu quả, đảm bảo tính tin cậy,chính xác cũng như tính sẵn dùng là hết sức quan trọng và cần thiết Dựa trên những

thực tế đó, em đã tìm hiểu về đề tài “Triển khai hệ thống phát hiện xâm nhập trái

phép bằng snort”

Qua đây em cũng xin gửi lời cảm ơn chân thành nhất tới các thầy cô giáotrong khoa Công nghệ thông tin, trường Đại học Tài nguyên và Môi trường Hà nội

đã tận tình dạy bảo, giúp đỡ em trong thời gian qua Đặc biệt em xin gửi lời cảm

ơn sâu sắc nhất tới côThs Trịnh Thị Lý đã chỉ bảo và giúp đỡ em để có thể hoànthành đồ án này

Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng do kiến thức chuyên môncũng như thời gian nghiên cứu còn hạn chế nên không thể tránh khỏi những sai sót.Rất mong nhận được sự góp ý của thầy cô cũng như các bạn

Em xin chân thành cảm ơn!

Trang 8

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Đặt vấn đề

An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề đượcquan tâm không chỉ Việt nam mà trên toàn thế giới Cùng với sự phát triển nhanhchóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống càng trở nên cấpthiết hơn bao giờ

Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhậpcho các mạng máy tính là một vấn đề cần thiết Ngoài việc tăng cường chính sáchbảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kếtcũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như sao chép dữ liệu, nghetrộm việc truyền nhằm lấy dữ liệu quan trọng

Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trênthì:”Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort” là một giải pháphữu ích cho hệ thống

1.2 Mục tiêu

- Tìm hiểu thông tin về bảo mật

- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS

- Tìm hiểu và nghiên cứu các vấn đề lien quan đến snort

- Tìm hiểu phương pháp và triển khai cài đặt snort trên linux

- Đưa ra một số nhận định và phát triển đề tài

1.5 Nội dung nghiên cứu

- Nghiên cứu về lý thuyết phát hiện xâm nhập thông qua các tài liệu các bàibáo cáo

- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS

- Nghiên cứu về lý thuyết Snort thông qua các tài liệu từ trang chủ của Snort

- Xây dựng hệ thống IDS- Snort trên linux

Trang 9

- Thu thập tài liệu liên quan đén các vấn đề về đề tài

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT2.1 Hệ thống phát hiện xâm nhập IDS

2.1.1 Giới thiệu về IDS

a) Định nghĩa IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là một thiết

bị phần cứng hoặc ứng dụng phần mềm theo dõi, giám sát và thu thập thông tin từcác hoạt động ra vào của mạng Sau đó hệ thống sẽ phân tích để tìm dấu hiệu của sựxâm nhập hoặc tấn công hệ thống trái phép và cảnh báo đến người quản trị hệthống

Nói cách khác, IDS là hệ thống phát hiện các dấu hiệu có nguy cơ làm tổn hạiđến tính sẵn dung, tính toàn vẹn, tính bảo mật của một hệ thống mạng hoặc máytính, làm cơ sở để đảm bảo cho an ninh hệ thống Chúng có thể xác định những hoạtđộng xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, system call,

và những khu vực khác khi phát hiện ra những dấu hiệu xâm nhập

IDS có thể phân biệt giữa những tấn công từ bên trong (những người dùngtrong mạng LAN) hay tấn công từ bên ngoài (từ các Hacker) IDS phát hiện dựatrên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như các phân mềm diệt virus)hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đặc chuẩn của

hệ thống) để tìm ra các dấu hiệu khác thường

Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:

- Tính chính xác(Accuracy): IDS không được coi những hành động thôngthường trong hệ thống là những hành động bất thường hay lạm dụng (hành độngthông thường bị coi là bất thường được gọi là false positive)

- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâmnhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập tráiphép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống)

- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập tráiphép (xâm nhập không bị phát hiện gọi là false negative) Đây là một điều kiện khó

có thể thỏa mãn được vì gần như không thẻ có tất cả thông tin về các cuộc tấn công

từ quá khứ, hiện tại và tương lai

- Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại cáccuộc tấn công

Trang 10

- Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trọng tháixấu nhất là không bỏ xót thông tin Yêu cầu này có liên quan đến hệ thống mà các

sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ Với sựphát triển mạnh mẽ và nhanh chóng của mạng máy tính, hệ thống có thể bị quá tảibởi sự tăng trưởng số lượng sự kiện

b) Lợi ích của IDS

Lợi thế của hệ thống này là có thể phát hiện được những cuộc tấn công chưabiết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quáchung về cuộc tấn công Thống kê cho thấy trong hệ thống này hầu hết các cảnh báo

là cảnh báo sai, trong đó có rất nhiều cảnh báo từ những hành động bình thường, chỉ

có vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khảnăng giới hạn các cảnh báo nhầm

c) Phân biệt những hệ thống không phải là IDS

Các thiết bị bảo mật dưới đây không được coi là hệ thống IDS:

- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đềtấn công từ chối dịch vụ (DoS) trên một mạng nào đó Ở đó sẽ có hệ thống kiểm tralưu lượng mạng

- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,dịch vụ mạng (các bộ quét bảo mật)

- Các sản phẩm chống virus, Trojan hose, worm,… Mặc dù những tính năngmặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảomật hiệu quả

- Tường lửa – Firewall

- Các hệ thống bảo mật, mật mã như: SSI, Kerberos, VPN,…

d) Kiến trúc và nguyên lý hoạt động của IDS

- Thành phần của IDS

Trang 11

Hình 2.1 Thành phần của IDS

Trang 12

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

- Thành phần thu gói tin ( Information collection)

- Thành phần phân tích gói tin (Dectection)

- Thành phần phản hổi (Respontion)

Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và

ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phântích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là nhưthế nào

Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sựkiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện Bộ tạo sự kiện ( hệđiều hành, mạng ứng dụng ) cung cấp một số chính sách thích hợp cho các sự kiện,

có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng

Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện quan trọng với hệ thống bảo vệ, vì vậy có thểphát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chínhsách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công,profile hành vi thông thường, các tham số cấu hình, gồm các chệ độ truyền thôngvới module đáp trả Bộ cảm biến cũng có cơ sở dữ liệu riêng của nó, gồm dữ kiệulưu về các xâm phạm phức tạp tiềm ẩn(tạo ra từ nhiều hành động khác nhau)

- Nguyên lý hoạt động của IDS

Hình 2.2 Hoạt động của IDS

Trang 13

Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau :

- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên mạng (Intrustion Montorring)

- Sự phân tích (Anaylysis): Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công (Intruction detection )

- Xuất thông tin cảnh báo (Respone): Hành động cảnh báo cho sự tấn công được phân tích ở trên nhờ bộ phận thông báo (Notification)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến các quản trị viên hệ thống về sự việc này Bước tiếp theo thực hiện bởi các quản trị viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các chức năng khóa để giới hạn session, backup hệ thống, định tuyến các kết nối đến bẫy hệ thống, cơ sở hạ tầng hợp lệ, …) - theo các chính sách bảo mật của các tổ chức Một IDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nhiên cứu mang tính pháp lýcác tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ những vấn đềxảy ra do trục trặc hệ thống hoặc gửi nhầm các mô tả tấn công hoặc các chữ ký thông qua mail

- Chức năng của IDS

Những đe dọa đối với an ninh mạng ngày càng trở lên cần thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập hữu ích cho họ,

bổ sung những điểm yếu của hệ thống khác… IDS có được chấp nhận là một thành phần thêm vào cho hệ thống an toàn không vẫn là câu hỏi của nhiều nhà quản trị hệ thống Có nhiều tài liệu về những chức năng mà IDS đã làm được và đây là vài lý

do đưa ra tại sao chọn IDS:

- Bảo vệ tính toàn vẹn của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hơp pháp hoặc phá hoại dữ liệu

- Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài

- Bảo vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp

Trang 14

- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp.

- Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục , sửa chữa…

Chức năng quan trọng nhất của IDS là : giám sát - cảnh báo - bảo vệ

- Giám sát: lưu lượng mạng và các hành động khả nghi

- Cảnh báo: báo cáo về tình trạng mang cho hệ thống và nhà quản trị

- Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có những hành động thiết thực để chống lại các cuộc xâm nhập, phá hoại trái phép.Chức năng mở rộng:

- Phân biệt: tấn công bên trong và bên ngoài

- Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào

sự so sánh thông lượng mạng hiện tại với baseline

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là hiển nhiên Việc đưa ra những điển yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng

2.1.2 Phân loại IDS và phân tích ưu nhược điểm

IDS được chia thành hai loại đó là:

- Network-based Intrusion Detection System (NIDS): Hệ thống phát hiện xâm nhập hướng mạng

- Host-based Intrusion Detection System (HIDS): Hệ thống phát hiện xâm nhập máy chủ

a) Hệ thống phát hiện xâm nhập hướng mạng (NIDS)

NIDS (Network-based Intrusion Detection System) sử dụng dữ liệu kiểm tra

từ một máy trạm đơn để phát hiện xâm nhập, NIDS phát hiện xâm nhập khi thu thập

dữ liệu của các gói tin lưu thông trên các phương tiện truyền dẫn như cables,

wireless bằng cách sử dụng các card giao tiếp Khi một gói dữ liệu phù hợp với qui tắc của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các filelog được lưu vào cơ sở dữ liệu

NIDS thường có hai thành phần logic:

- Bộ cảm biến – Sensor: được đặt tại một đoạn mạng, nó sẽ kiểm soát các cuộclưu thông đáng nghi ngờ trên đoạn mạng đó

- Trạm quản lý: sau khi nhận được các tín hiệu cảnh báo từ bộ cảm biến nó sẽ thông báo cho nhà quản trị

Trang 15

Hình 2.3 Sơ đồ hệ thống NIDS

Ưu điểm của NIDS

- Chi phí thấp: NIDS có thể được triển khai cho mỗi phân đoạn mạng Một hệthống IDS theo dõi lưu lượng mạng trên tất cả các hệ thống trong một phân đoạnmạng, giúp chúng ta không cần phải nạp các phần mềm tại các host trong toànmạng Điều này làm giảm chi phí quản lý

- Dễ dàng triển khai: NIDS không ảnh hưởng đến hệ thống cơ sở hạ tầng hiệntại Các hệ thống NIDS hoạt động độc lập, bộ cảm biến của NIDS sẽ lắng nghe tất

cả các cuộc tấn công vào một phân đoạn mạng không phụ thuộc vào kiểu của hệđiều hành máy chủ đang chạy

- Phát hiện được các tấn công mà HIDS bỏ qua: NIDS kiểm tra tất cả cácheader của gói tin cho nên nó không bỏ qua các nguy cơ từ đây

- Khó xóa bỏ dấu vết: Các thông tin trong file log có thể bị hacker thay đổihoặc loại bỏ để che giấu dấu vết sau khi chúng xâm nhập trái phép NIDS sử dụnglưu thông hiện hành trên mạng để phát hiện xâm nhập nên hacker không thể sửa đổiđược file log

- Phát hiện và đối phó kịp thời: NIDS có khả năng phát hiện và xử lý rất nhanhchóng nên có thể phát hiện các dấu hiệu xâm nhập trái phép khi xảy ra Dựa trên cáccảm biến được cấu hình sẵn, các cuộc tấn công sẽ bị ngừng lại trước khi có thể truycập được đến máy chủ

- Phát hiện các cuộc tấn công thất bại: Các bộ cảm biến sẽ không thấy đượcnhững tấn công thất bại bên ngoài tường lửa, tuy nhiên NIDS được triển khai bên

Trang 16

ngoài các bức tường lửa có thể phát hiện thấy chúng, điều này rất hữu ích để phântích những cuộc tấn công đó mặc dù chúng thất bại.

Nhược điểm của NIDS

- Gặp khó khăn khi phân tích các lưu lượng đã được mã hóa như SSH, IPSec,SSL,…

- NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất đểhoạt động thực sự hiệu quả

- Hạn chế về hiệu năng: NIDS gặp khó khăn khi phải xử lý tất cả các gói tintrên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện đượccác cuộc tấn công thực hiện vào lúc “cao điểm”

- Găp khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phânmảnh Các gói tin định dạng này có thể làm cho NIDS hoạt động sai

b) Hệ thống phát hiện xâm nhập máy chủ (HIDS)

HIDS (Host-based Intrusion Detection System) là hệ thống phát hiện xâmnhập được cài đặt trên các máy tính (host) HIDS tìm kiếm dấu hiệu xâm nhập vàohost cục bộ, chúng tìm kiếm các hoạt động bất thường, lưu lượng đã gửi đến hostđược kiểm tra và phân tích trong file log lưu lại rồi chuyển qua host nếu cảm thấykhông có dấu hiệu đáng nghi ngờ

HIDS thường dựa trên các tập luật (rule-based) để phân tích các hoạt động.Nhiệm vụ chính của HIDS là giám sát sự thay đổi trên hệ thống

Hình 2.4Sơ đồ hệ thống HIDS

Trang 17

Ưu điểm

- Xác định được kết quả của cuộc tấn công: HIDS sử dụng hệ thống ghi lại filelog chứa các sự kiện đã xảy ra, nó có thể xác định được một cuộc tấn công đã xảy rahay không với độ chính xác cao và ít sai hơn đối với NIDS NIDS dựa trên bộ cảmbiến, mặc dù chúng xử lý nhanh hơn HIDS nhưng có rất nhiều những cảnh báo giảđược tạo ra

- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát cáchoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền truy cập file, cáchành động thực thi,… HIDS cũng có thể giám sát được các hành động chỉ đượcthực hiện bởi người quản trị Vì vậy HIDS rất thuận lợi để phân tích các cuộc tấncông có thể xảy ra do nó thường cung cấp rất nhiều thông tin chi tiết và chính xáchơn NIDS

- Phát hiện các cuộc tấn công mà NIDS bỏ qua: HIDS có thể phát hiện cáccuộc tấn công mà NIDS bỏ qua Ví dụ, nếu một người truy cập trái phép điều khiểntrực tiếp làm thay đổi file hệ thống, loại tấn công này không bị NIDS phát hiện

- Không yêu cầu thêm phần cứng: HIDS được cài đặt trực tiếp lên hạ tầngmạng có sẵn nên sẽ không yêu cầu phải cài đặt thêm các phần cứng khác

- Chi phí thấp: HIDS thường có chi phí rẻ hơn so với NIDS

Nhược điểm

- Khó quản trị: Các hệ thống HIDS yêu cầu phải được cài đặt lên trên tất cảcác thiết bị muốn bảo vệ Đây là một khối lượng công việc lớn để cấu hình, quản lý,cập nhật

- Thông tin từ HIDS sẽ không còn đáng tin cậy sau khi cuộc tấn công thànhcông

- Chiếm tài nguyên hệ thống: Do cài đặt trên các máy cần bảo vệ nên HIDSphải sử dụng các tài nguyên của hệ thống để hoạt động

2.1.3 Cơ chế hoạt động của IDS

Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhậplà:

- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện cácxâm nhập băng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập

đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn côngcùa hệ thống

Trang 18

- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện

các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thườngcủa người dùng hay hệ thống

a) Mô hình phát hiện sự lạm dụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhậpvào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặcđiểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức nàyđược mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soátđối với các mẫu đã rõ ràng Mầu có thể là một xâu bít cố định (ví dụ như một virusđặc tà việc chèn xâu,…) dung để mô tả tập hay một chuỗi các hành động đáng nghingờ

Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục sosánh hành độngcủa hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bảnđang được tiến hành Hệ thống này có thê xem xét hành động hiện tại của hệ thốngđược bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lạibởi hệ điều hành

Các hệ thống phát hiện sự lạm dụng thể hệ đầu tiên sử dụng các luật (rules) đế

mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớntập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đồi bởi vì chúng không đượctạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập

Để giải quyết khó khăn này, các hệ thống thể hệ thứ hai đưa ra các biểu diễnkịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biếu diễn vềphép biển đồ trạng thái Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệthống cần đển sự biểu diễn và hiểu rõ ràng về các kịch bản Hệ thống phải thườngxuyên duy trì và cập nhật để đương đầuvới những kịch bản xâm nhập mới đượcphát hiện

b) Mô hình phát hiện sự bất thường

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhậncủa hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bấtthường, tìm ra các thay đối, các hành vi bất hợp pháp

Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữanhững hiện tượng thông thường và hiện tượng bất thường.Ranh giới giữa dạng thứcchấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được địnhnghĩa rõ ràng (chỉ cần một bú khác nhau), còn ranh giới giữa hành vihợp lệ và hành

vi bất thường thì khó xác định hơn

Trang 19

So sánh giữa hai mô hình

Phát hiện sự lạm dụng

(Misuse Detection Model)

Phát hiện sự bất thường(Anomaly Detection Model)

Cơ sờ dữ liệu các dấu hiệu tấn công

Tìm kiểm các hành động tương ứng với

các kĩ thuật xâm nhập biết đến (dựa trên

dấu hiệu - signatures)

Cơ sở dữ liệu các hành động thông thường.Tìm kiếm độ lệch của hành động thực tế sovới hành động thông thường

Hiệu quả trong việc phát hiện các dạng

tấn công hay các biển thể cùa các dạng

tấn công đã biết Không phát hiện được

các dạng tấn công mới

Hiệu quả trong việc phát hiện các dạng tấncông mới mà một hệ thống phát hiện sự lạm dụng bỏ qua

Dễ cẩu hình hơn do đòi hỏi ít hơn về thu

Đưa ra kết luận dựa vào phép so khớp

mẫu (pattern matchìng).

Đưa ra kết quả dựa vào độ lệch giữa thông túi thực tế và ngưỡng cho phép)

Có thể kích hoạt một thông điệp cành báo

nhờ một dấu hiệu chắc chắn, hoặc cung

cấp dữ liệu hỗ trợ cho các dấu hiệu khác

Có thê hỗ trợ việc tự sinh thông tin hệ thống một cách tự động nhưng cần có thời gian và dữ liệu thu thập được phải rõ ràng.Bảng 2.1 So sánh hai mô hình phát hiện

2.1.4 Cách phát hiện kiểu tấn công thông dụng của IDS

a) Tấn công từ chối dịch vụ (Denial of Service attack - DoS)

Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặnđứng tài nguyên cùa hệ thống đích Cuối cùng, mục tiêu trở nên không thể truy cập

và không thể trả lời DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệthống và ứng dụng

- Phá hoại Network: kiểu tẩn công SYN flood là một dạng tấn công từ chối

dịch vụ, kẻ tấn công sẽ gửi các gói tin kết nối SYN đến hệ thống

- Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop các kiểu

tấn công nhằm lợi dụng lỗ hống trên hệ điều hành nhằm phá hoại, gây quá tải hệthống Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới

hệ thống và thiết bị, chúng có thểđược tạo ra bằng các công cụ tấn công được lậptrình trước

Trang 20

- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sỡ dữ

liệu, email, trang web, Ví dụ như một email rất dài hay một số lượng email lớn cóthế gây quá tải cho server cùa các ứng dụng đó

Giải pháp của IDS:Một firewall dạng proxy rất hiệu quả để ngăn chặn các góitin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện đượccác tấn công dạng gói tin

b) Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng đê xác định điểmyếu Tuy các công cụ này được thiết kế cho mục đích phân tích đề phòng ngừa,nhưng hacker có thể được sử dụng để gây hại cho hệ thống Các công cụ quét vàthăm dò như: SATAN, ISS Internet Scanner Việc thăm dò có thể được thực hiệnbằngcách ping đến hệ thống cũng như kiềm tra các cổng TCP và UDP để phát hiện

ra ứng dụng có những lỗi đã được biết đến Vỉ vậy các công cụ này có thể là công

cụ đắc lực cho mục đích xâm nhập

Giải pháp của ỊDS: Network-based IDS cỏ thể phát hiện các hành động nguy

hiểm trước khi chúng xảy ra Host-based TDS cũng có thể có tác dụng đối với kiểutấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng

c) Tấn công vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack:

- Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấncông có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng

Ví dụ: như nghe trộm mật mã gửi trên mạng, gửi thư, chương trình có kèmkeỵlogger, trojan cho người quản trị

- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute forcebằng cách thử nhiều mật mã để mong tìm được mật mã đúng Với bẽ khóa, kè tấncông cẩn truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻtấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử đụngđược để xác định mã đúng Với tốc độ máy tính hiện nay, việc bẽ khóa là rất hiệuquả trong trường hợp mật mã là từ có nghĩa (trong từ điền), bất cứ mã nào nhò hơn

6 ký tự, tên thông dụng và các phép hoán vị

Ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể

dùng khi biết usemame mà không biết mật mã), sử dụng tài khoản khách rồi chiếmquyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa

từ các từ trong từ điển…

Trang 21

Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn

cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công),nhưng nókhông có hiệu quả trong việc phát hiện truy nhập trái phép tới file đã bị mã hóa.Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật

mã cũng như phát hiện truy nhập trái phép tới fĩle chứa mật mã

d) Chiếm đặc quyền (Prỉvilege-grabbing)

Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyềntruy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ điều hànhUNIX, điều này nghĩa là trở thành “root”, ỡ Windows NT là “Ađministrator”, trênNetWare là “Supervisor” Dưới đây là một số kỹ thuật thường dùng cho việc chiếmđặc quyền

- Đoán hay bè khóa của root hay administrator " Gâytràn bộ đệm

- Khai thác Windows NT registry

- Truy nhập và khai thác console đặc quyền

- Thăm dò fíle, scrip hay các lỗi của hệ điều hành và ứng dựng

Giải pháp của ỊDS: Cả Network và Host-based IDS đều có thể xác định việc

thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trênthiết bị chủ

e) Cài đặt mã nguy hiểm (Hostile code insertion)

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thểlấy trộm dữ liệu, gây từ chối dịch vụ, xóa fiie, hay tạo backdoor cho lần truy nhậptrái phép tiếp theo Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:

- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành

động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file

hệ thống, file của ứng dụng hay dữ liệu

- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một

số hành động tự động, thường có hại, nhưng không có mục đích nhân bản Thườngthì Trojan Horseđược đặt tên hay mô tả như một chương trình mà người ta muốn sửdụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệthống

Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus vàcác đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệuquả nhất để giám mức độ nguy hiểm

f) Hành động phá hoại trên máy móc (Cyber vandalism)

Trang 22

Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, pháblock khởi động và chương trình hệ điều hành, format ổ đĩa…

Giải pháp củaIDS Đối với giải pháp của Host-based IDS, cài đặt và cấu hình

cẩn thận có thể xác định được tât cả các vấn đề liên quan, Network-based IDS thì cóthể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việctruy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trangweb

g) Tấn công hạ tầng bảo mật

Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầngbảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản cùa người dùng hayrouter, hay thay đối quyền cùa file Tấn công vào cơ sở hạ tầng cho phép kẻ xâmnhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thốnghay mạng

Giải pháp của IDS: Host-based IDS có thể bắt giữ các cuộc đăng nhập mà thựchiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và fĩrewall

bị thay đổi một cách đáng nghi

2.2 Giới thiệu về Snort

2.2.1 Giới thiệu về Snort

Snort là một hệ thống phát hiện và phòng chống xâm nhập mã nguồn mở đượcđóng gói thành nhiều sản phẩm phù hợp cho từng doanh nghiệp được phát triển docông ty Sourcefire điều hành bởi Martin Roesch Snort hiện nay đang là công nghệIDS/IPS được triển khai rộng rãi trên toàn thế giới

Snort là một ứng dụng bảo mật hiện đại với ba chức năng chính: nó có thểphục vụ như là một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hay là một hệthống phát hiện xâm nhập mạng (NIDS) Ngoài ra còn có rất nhiều chương trìnhadd-on cho Snort để có thể quản lý các file log, các tập luật và cảnh báo cho quản trịviên khi phát hiện sự xâm nhập hệ thống Tuy không phải là phần lõi của Snortnhưng những thành phần này cung cấp rất nhiều tính năng phong phú để có một hệthống phát hiện và phòng chống xâm nhập tốt

Có rất nhiều cách để triển khai hệ thống Snort, thông thường Snort chỉ kết hợpvới TCP/IP do giao thức này là một giao thức phổ biến của Internet, mặc dù với cácphần tùy chỉnh mở rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác,chẳng hạn như Novell’s IPX Vì vậy, Snort chủ yếu phân tích và cảnh báo trên giaothức TCP/IP

Trang 23

2.2.2 Kiến trúc của Snort

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Cácphần chính đó là:

- Module giải mã gói tin (Packet Decoder)

- Module tiền xử lý (Preprocessors)

- Module phát hiện (Detection Engine)

- Module log và cảnh báo (Logging and Alerting System)

- Module kểt xuất thông tin (Output Module)

Kiến trúc của Snort được mô tả trong hình sau:

Hình 2.5 Kiến trúc hệ thống Snort

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tinnào di chuyên qua nó Các gói tin sau khi bị bắt được đưa vào Môđun “Giải mã góitin ” Tiếp theo gói tin sẽ được đưa vào môđun “ Tiền xử lý ”, rồi môđun “Phát hiện

” Tại đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thểđược bỏ qua để lưu thông tiếp hoặc được đưa vào module “Log và cảnh báo để xửlý” Khi các cảnh báo được xác định thì module “ Kết xuất thông tin” sẽ thực hiệnviệc đưa cảnh báo ra theo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vào chitiết hơn về cơ chế hoạt động và chức năng của từng thành phần

2.2.3 Thành phần và chức năng của Snort

a) Module giải mã gói tin (Packet Decoder)

Chuyển những gói tin bắt được thành những cấu trúc và những định danh liênkết những tầng giao thức Sau đó, nó làm ở tầng tiếp theo, mã hóa IP TCP hayUDP hay loại giao thức khác lấy những thông tin hứu ích như những cồng vànhững địa chỉ Snort sẽ cánh báo nếu nó tìm thẩy những header không đúng cấutrúc, chiều dài TCP bất thường

Trang 24

b) Module tiền xử lý (Preprocessor)

Hình 2.6 Bộ tiền xử lýModule tiên xử lý là một module rất quan trọng đối với bất kỳ một hệ thốngIDS nào để có thể chuẩn bị gói dữ liệu đưa và cho module “Phát hiện phân tích” Banhiệm vụ chính của các môđun loại này là:

- Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽkhông đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia góitin ban đầu thành nhiều gói tin rồi mới gửi đi Khi Snort nhận được các gói tin này

nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu, từ đómới thực hiện được các công việc xử lý tiếp Như ta đã biết khi một phiên làm việccủa hệ thống diễn ra, sẽ có rất nhiều gói tin đuợc trao đổi trong phiên đó Một góitin riêng lẻ sẽ không có trạng thái và nếu công việc phát hiện xâm nhập chỉ dựahoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao

- Giải mã và chuẩn hóa giao thức: công việc phát hiện xâm nhập dựa trên dấuhiệu nhận dạng nhiều khi bị thất bại vì khi kiểm tra các giao thức thì dữ liệu có thếđược thể hiện dưới nhiều dạng khác nhau Ví dụ: một web server có thể chấp nhậnnhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URL chấp nhận

cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc Chẳng hạn ta có dấu hiệunhận dạng scripts/iisadmin, kẽ tấn công có thể vượt qua được bằng cách tùy biếncác yêu cấu gửi đến web server như sau:

Trang 25

khi đưa đến module phát hiện có thể phát hiện được mà không bỏ sót Hiện naySnort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức: telnet, http, rpc, arp.

- Phát hiện các xâm nhập bất thường: Các module tiền xử lý dạng này có thểthực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra bằng cáchtăng cường thêm tính năng cho Snort Ví dụ, một plugin tiền xử lý có nhiệm vụthống kê thông lượng mạng tại thời điểm bình thường để rồi khi có thông lượngmạng bât thường xảy ra nó có thế tính toán, phát hiện vả đưa ra cảnh báo (phát hiệnxâm nhập theomô hình thống kê) Phiên bản hiện tại cửa Snort có đi kèm hai plugingiúp phát hiện các xâm nhập bất thường đó là portscan và bo (backoffce) Portcandùng để đưa ra cảnh báo khi kẻ tân công thực hiện việc quét các cổng của hệ thống

để tìm lỗ hổng Bo (backoffce) dùng để đưa ra cảnh báo khi hệ thống đã bị nhiễmtrojan backoffice và kẻ tấn công từ xa kết nối tới backoffice thực hiện các lệnh từxa

c) Module phát hiện (Detection Engine)

Hình 2.7 Bộ phát hiệnĐây là module quan trọng nhất cùa Snort Nó chịu trách nhiệm phát hiện cácdấu hiệu xâm nhập Module phát hiện sử dụng các luật được định nghĩa trước để sosánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không.Rồi tiếp theo mới có thể thực hiện một sổ công việc như ghi log, tạo thông báo vàkết xuất thông tin

Một vấn đề rất quan trọng trong module phát hiện là vấn đề thời gian xử lý cácgói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rấtnhiều các luật xử lý Có thể mất những khoảng thời gian khác nhau cho việc xử lýcác gói tin khác nhau Và khi thông lượng mạng quá lớn có thê xảy ra việc bỏ sóthoặc không phàn hồi được đúng lúc Khả năng xừ lý của mođule phát hiện dựa trênmột số yếu tố như: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải trênmạng Một số thử nghiệm cho biết, phiên bàn hiện tại của Snort khi được tối ưu hóa

Trang 26

chạy trên hệ thống có nhiều bộ vi xử lý và cấu hình máy tính tương đối mạnh thì cóthể hoạt động tốt trên cả các mạng cỡ Giga.

Một module phát hiện cũng có khả năng tách các phàn của gói tin ra và ápdụng các luật lên từng phần nào của gói tin đó Các phần đó có thể là:

- IP header

- Header ở tầng giao vận: TCP, UDP

- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header, …

- Phân tải của gói tin (bạn cũng có thế áp dụng các luật lên các phần dữ liệuđược truyền đi của gói tin)

Một vấn đề nữa trong module phát hiện đó là việc xử lý thế nào khi một góitin bị phát hiện bởi nhiều luật Do các luật trong Snort cũng được đánh thứ tự ưutiên, nên một gói tin khi bị phát hiện bời nhiều luật khác nhau, cảnh báo được đưa ra

sẽ là cảnh báo ứng với luật có mức ưu tiên lớn nhất

d) Module log và cảnh báo (Logging and Alerting System)

Tùy thuộc vào việc module phát hiện có nhận dạng đuợc xâm nhập hay không

mà gói tin sẽ bị ghi log hoặc đưa ra cảnh báo Các file log là các fíle text dữ liệutrong đó có thể được ghi dưới nhiều định dạng khác nhau chẳng hạn như tcpdum

e) Module kết xuất thông tin (Output module)

Hình 2.8 Bộ kết xuất thông tin

Module này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốnlưu kết quả xuất ra như thế nào Tùy theo việc cấu hình hệ thống mà nó có thể thựchiện các công việc như là :

- Ghi log file

Ngày đăng: 12/09/2019, 23:02

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w