BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - TRIỆU XUÂN NGHIÊM PHÂN TÍCH VÀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN Hà Nội – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - TRIỆU XUÂN NGHIÊM PHÂN TÍCH VÀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS TRẦN QUANG ĐỨC Hà Nội – 2018 MỤC LỤC Trang MỞ ĐẦU .8 Lý chọn đề tài Mục đích, phương pháp, đối tượng, dự kiến kết nghiên cứu luận văn Chương TỔNG QUAN VỀ TẤN CÔNG VÀ MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG .11 1.1 Tổng quan công mạng 11 1.2 Một số kỹ thuật công hệ thống mạng máy tính 11 1.2.1 Tấn công bị động (Passive attack) 11 1.2.2 Tấn công rải rác (Distributed attack) 12 1.2.3 Tấn công nội (Insider attack) 12 1.2.4 Tấn công Phising 12 1.2.5 Tấn công mật (Password attack) 12 1.2.6 Khai thác lỗ hổng công (Exploit attack) .13 1.2.7 Buffer overflow (lỗi tràn đệm) 13 1.2.8 Tấn công phần mềm độc hại 13 1.3 Tấn công từ chối dịch vụ (Denial of service attack) .13 1.3.1 Phân loại dạng công DoS/DDoS 14 1.3.2 Một số kiểu công công cụ công DoS/DDoS .24 Chương GIẢI PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG DOS/DDOS .30 2.1 Mơ hình phát cơng DoS/DDoS 30 2.1.1 Mơ hình đặt gần nạn nhân 30 2.1.2 Mơ hình đặt gần đích cơng 31 2.1.3 Mơ hình đặt phần lõi Internet .31 2.2 Một số hướng tiếp cận phát phòng chống DoS/DDoS .31 2.2.1 Giải pháp dành cho doanh nghiệp cung cấp Hosting .31 2.2.2 Giải pháp sử dụng IPS để lọc gói tin 32 2.2.3 Giải pháp sử dụng GeoIP DNS 32 2.2.4 Giải pháp sử dụng HAProxy 33 2.2.5 Giải pháp sử dụng hệ thống phát xâm nhập mạng (IDS) 33 2.3 Phần mềm phát ngăn chặn xâm nhập Snort-Inline 37 2.3.1 Các chế hoạt động Snort -Inline 38 2.3.2 Kiến trúc Snort 39 2.3.3 Cấu trúc luật (Rule) Snort 40 Chương TRIỂN KHAI THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN SNORT 46 3.1 Mô phỏng, thử nghiệm hệ thống phát xâm nhập dựa Snort .46 3.1.1 Kịch sơ đồ mô thử nghiệm 46 3.1.2 Thử nghiệm hệ thống phát xâm nhập .47 3.2 Nhận xét, đánh giá hệ thống phát xâm nhập, sử dụng Snort IDS 60 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 62 TÀI LIỆU THAM KHẢO 64 LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn thạc sĩ Công nghệ thông tin với đề tài “Phân tích đánh giá hệ thống phát xâm nhập IDS” cơng trình nghiên cứu thật cá nhân hướng dẫn TS.Trần Quang Đức Các kết nêu luận văn trung thực chưa công bố cơng trình khác Tơi xin chịu trách nhiệm lời cam đoan này./ Hà Nội, ngày tháng năm 2018 Tác giả Triệu Xuân Nghiêm LỜI CẢM ƠN Sau nhiều tháng tìm hiểu, nghiên cứu, với dạy nhiệt tình thầy giáo hướng dẫn tơi hồn thành luận văn tốt nghiệp Trước hết em xin chân thành cảm ơn thầy giáo TS Trần Quang Đức - Viện Công nghệ thông tin Truyền thông – Đại học Bách khoa Hà Nội, người trực tiếp hướng dẫn, nhận xét, nhắc nhở, giúp đỡ em suốt trình thực luận văn Em xin chân thành cảm ơn thầy, cô Viện Công nghệ thông tin Truyền thông, Viện đào tạo sau đại học thầy cô trường Đại học Bách khoa Hà Nội, người dạy dỗ, bảo em năm học tập nghiên cứu trường Cuối tơi xin bày tỏ lịng biết ơn đến gia đình người bạn thân, đồng nghiệp giúp đỡ, động viên tơi nhiều q trình học tập làm luận văn Do lực kiến thức chun mơn cịn có phần hạn chế nên luận văn em thực chắn không tránh khỏi thiếu sót định, mong nhận thơng cảm ý kiến đóng góp thầy, giáo Em xin chân thành cảm ơn! DANH MỤC CÁC CHỮ VIẾT TẮT VÀ KÝ HIỆU Chữ viết tắt Giải thích TCP Transfer Control Protocol UDP User Datagram Protocol IP Internet Protocol DDoS Distributed Denial Of Service DoS Denial Of Service IDS Intrusion Detection System IPS Intrusion Prevention Systems ICMP Internet Control Message Protocol CNTT Công nghệ thông tin DANH MỤC CÁC HÌNH Hình 1: Phân loại kiểu cơng DoS/DDoS 15 Hình 2: Mơ hình mạng Botnet 20 Hình 3: Mơ hình mạng cơng thơng qua Data Center 20 Hình 4: Mơ hình cơng khuếch đại 21 Hình 5: Quá trình bắt tay ba bước 23 Hình 6: Mơ hình cơng X-Flash 29 Hình 7: Mơ hình sử dụng IPS để lọc gói tin 32 Hình 8: Mơ hình sử dụng GeoIP DNS 32 Hình 9: Minh họa hệ thống phát ngăn chặn xâm nhập 38 sử dụng Snort-Inline (Snort IPS/IDS) Hình 10: Sơ đồ luồng liệu qua Snort 39 Hình 11: Mơ hệ thống thử nghiệm 46 Hình 12: Kết ping máy Attacker 47 Hình 13: Cảnh báo phát Ping Scan Port từ Snort IDS 47 Hình 14: Quét cổng FIN Scan 48 Hình 15: Wireshark bắt gói tin FIN Scan 49 Hình 16: Snort phát quét cổng FIN Scan 49 Hình 17: Quét cổng NULL Scan 50 Hình 18: Wireshark bắt gói tin NULL Scan 50 Hình 19: Snort IDS phát quét cổng NULL Scan 51 Hình 20: Quét cổng XMAS Scan 51 Hình 21: Wireshark bắt gói tin XMAS Scan 51 Hình 22: Snort IDS phát quét cổng XMAS Scan 52 Hình 23: Mơ hình bắt tay ba bước 53 Hình 24: Tấn cơng DoS TCP SYN Flood 54 Hình 25: Wireshark bắt gói tin cơng DoS TCP SYN Flood 54 Hình 26: Snort phát cơng TCP SYN Flood 56 Hình 27: Tấn cơng DoS UDP Flood 57 Hình 28: Wireshark bắt gói tin cơng DoS UDP Flood 57 Hình 29: Snort phát cơng DoS UDP Flood 58 Hình 30: Tấn cơng DoS ICMP Flood 58 Hình 31: Wireshark bắt gói tin cơng DoS ICMP Flood 59 Hình 32: Snort phát công DoS ICMP Flood 59 DANH MỤC CÁC BẢNG Bảng Bảng Cấu trúc Rule Snort Cấu trúc Rule Header 40 40 MỞ ĐẦU Lý chọn đề tài Ngày nay, với phát triển khoa học kỹ thuật nói chung tốc độ phát triển nhanh CNTT, Internet trở thành hệ thống không gian mạng xã hội mới, nơi mà tất người thực hoạt động ý thức xã hội như: giao tiếp, lao động, sáng tạo, học tập, sản xuất, kinh doanh, vui chơi giải trí,… xây dựng thơng qua hệ thống máy tính, hệ thống thơng tin trở nên phổ biến hầu hết hoạt động kinh tế - xã hội Cùng với phát triển đó, ngày xuất nhiều cá nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính hệ thống thơng tin, gây tác hại vơ to lớn đến tính an tồn bảo mật thông tin hệ thống An tồn bảo mật thơng tin vấn đề quan trọng hàng đầu thực kết nối Internet Tuy nhiên, thường xuy n có mạng bị công, số tổ chức bị đánh cắp thông tin, gián đoạn hoạt động tổ chức, doanh nghiệp ngày tăng Đặc biệt năm gần có nhiều vụ cơng DoS/DDoS lớn, nhằm vào hệ thống tổ chức phủ, sân bay, tịa soạn báo online, qn đội, cơng ty thương mại điện tử toàn giới,… gây n n hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu cơng khơng báo trước, số lượng vụ công tăng l n nhanh chóng phương pháp cơng li n tục hoàn thiện Từ vấn đề n u tr n, với mong muốn tìm hiểu, phân tích, nghi n cứu, thử nghiệm, so sánh công, xâm nhập mạng đưa phương án phòng chống phát xâm nhập nhằm giảm tác hại gây hệ thống mạng hồn tồn cấp thiết tơi chọn đề tài luận văn “Phân tích đánh giá hệ thống phát xâm nhập IDS” Hình 17: Quét cổng NULL Scan Tại máy ảo nạn nhân localhost sử dụng Wireshark bắt gói tin phân tích dấu hiệu cơng Hình 18: Wireshark bắt gói tin NULL Scan Phân tích gói tin bắt được, ta phát dấu hiệu công NULL Scan thay gán cờ FIN trường flags IP Header NULL Scan khơng gán cờ cho trường Từ dấu hiệu ta xây dựng luật: alert tcp any any -> 192.168.241.0/24 any (flags: 0; msg:”Phát công NULL Scan –sN”; sid: 2000653;) Chạy lại hệ thống với luật xây dựng tr n, Snort phát có cơng qt cổng NULL Scan đến máy nạn nhân localhost 50 Hình 19: Snort IDS phát quét cổng NULL Scan - XMAS Scan: Thử nghiệm công quét cổng từ máy Attacker sử dụng Nmap lệnh: nmap –sX 192.168.241.130 Hình 20: Quét cổng XMAS Scan Tại máy ảo nạn nhân localhost bắt gói tin phân tích dấu hiệu cơng Hình 21: Wireshark bắt gói tin XMAS Scan Phân tích gói tin bắt được, ta phát dấu hiệu công XMAS Scan XMAS Scan gửi gói tin với cờ thiết lập FIN, URG PSH Nếu cổng dịch vụ mở khơng có phản hồi nào, cổng dịch vụ đóng gói tin với cờ RST/ACK gửi phản hồi Bƣớc 3: Xây dựng luật phát công qua dấu hiệu tìm bước Từ dấu hiệu ta xây dựng luật: 51 alert tcp any any -> 192.168.241.0/24 any (flags: FPU; msg: ”Phát công XMAS Scan –sX”; sid: 2000753;) Bƣớc 4:Thử nghiệm hệ thống với luật bước Chạy lại hệ thống với luật tr n, Snort phát có cơng qt cổng XMAS Scan đến máy hostlocal Hình 22: Snort IDS phát quét cổng XMAS Scan Đánh giá: Qua thử nghiệm mô trên, Snort đạt yêu cầu phát thành công dấu hiệu công sử dụng kỹ thuật Port Scan, FIN Scan, NULL Scan, XMAS Scan dựa công cụ công Nmap máy chủ Kalilinux c) Phát công DoS * Tấn công TCP SYN Flood: Trước hết, ta xem lại tiến trình bắt tay ba bước kết nối TCP/IP client muốn kết nối đến host khác mạng Bƣớc 1: Client (máy khách) gửi gói tin (packet chứa SYN =1) đến máy chủ để yêu cầu kết nối Bƣớc 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Sever giành cho phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngồi ra, thơng tin khác client địa IP cổng (port) ghi nhận Bƣớc 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối Khi host nhận ACK packet kết nối thiết lập, client vào host trao đổi liệu cho 52 Hình 23: Mơ hình bắt tay ba bƣớc Mơ hình cơng gói SYN Kiểu công TCP SYN Flood kiểu công trực tiếp vào máy chủ cách tạo số lượng lớn kết nối TCP khơng hồn thành kết nối Kẻ cơng khởi tạo nhiều TCP, kết nối để cờ TCP SYN Máy chủ gửi lại trả lời với TCP SYN ACK Nhưng sau máy công không trả lời thông điệp thứ ba mong đợi server theo tiến trình bắt tay ba bước Server lúc tốn nhớ tài nguyên chờ phiên TCP timeouts tước kết nối thiết lập dang dở dọn dẹp Máy server lúc từ chối kết nối TCP khác Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại – kết nối không thực SYN Flood loại công website Dos/DDoS Ở đây, kẻ công gửi yêu cầu SYN vĩnh viễn để ăn tài nguy n máy chủ nhiều Hacker khơng trả lời SYN-ACK chí trả lời sử dụng địa IP giả Vì vậy, máy chủ khơng nhận gói tin trả lời chí chờ đợi hết thời gian chờ Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên 53 chuẩn bị kết nối lặp lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client Nếu q trình kéo dài, dài server nhanh chóng trở nên tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối khơng thể đáp ứng được, giống máy tính cá nhân (PC) hay bị “treo” mở lúc nhiều chương trình thời điểm Các bƣớc mô thực công Bƣớc 1: Thử nghiệm công DoS SYN Flood từ máy Attacker Kali sử dụng hping3 lệnh: sudo hping3 –i u1 –S –p 80 192.168.241.130 + Hping3: Công cụ công + -i u1:1 micro giây gửi gói tin SYN + -p 80: Cổng 80 + -S: Cờ SYN + 192.168.241.130: Địa nạn nhân bị cơng Hình 24: Tấn công DoS TCP SYN Flood Bƣớc 2: Máy ảo nạn nhân localhost bắt gói tin phân tích dấu hiệu kết nối Hình 25: Wireshark phân tích gói tin cơng DoS TCP SYN Flood 54 Ta thấy lượng lớn TCP Segments với cờ SYN kích hoạt từ máy cơng có địa IP 192.168.241.131 đến máy nạn nhân localhost có địa 192.168.241.130, công DoS với quy mô thực với header kích thước 60 bytes Máy Attacker khơng trả lời gói tin SYN-ACK gói tin ACK để hồn thành q trình bắt tay ba bước mà thay vào tiếp tục gửi gói tin với cờ SYN Máy nạn nhân localhost lúc trạng thái “chờ” số lượng gói tin gửi tới lớn dẫn đến hao tốn tài nguyên nhớ cho kết nối sau dẫn tới máy nạn nhân bị lỗi tràn đệm bị treo, khởi động lại cung cấp dịch vụ cho người dùng thông thường Từ việc phân tích gói tin bắt ta có dấu hiệu cơng SYN Flood sau: - Loại gói tin TCP SYN với số lượng lớn tới mục tiêu (khoảng packet/s) - Khơng nhận gói tin ACK-SYN phản hồi từ máy chủ bị công Bƣớc 3: Xây dựng luật phát công qua dấu hiệu tìm bước Từ dấu hiệu ta xây dựng luật: alert tcp any any -> 192.168.241.0/24 any (msg:”Phát công TCP SYN Flood Cần xử lý.”; flags: S; sid: 0002; classtype: unusual-client-portconnection; threshold: type threshold, track by_dst, count 1000, seconds 180;) + alert tcp any any -> 192.168.241.0/24 any: Một cảnh báo tạo kết nối từ mạng phía bên ngồi port tới mạng nội giao thức TCP + msg: ”Phát công TCP SYN Flood Cần xử lý.”;: Xuất thông báo loại công TCP SYN Flood + flags: S;: Chỉ áp dụng với gói tin thiết lập cờ SYN + threshold: type threshold, track by_dst, count 1000, seconds 180;: Thiết lập ngưỡng cảnh báo, theo dõi phía đích Các tùy chọn có nghĩa khoảng thời gian 180s có 1000 gói tin thiết lập cờ SYN gửi tới luật ứng động Bƣớc 4: Thử nghiệm hệ thống với luật bước 55 Chạy lại hệ thống với luật xây dựng tr n, Snort phát có công TCP SYN Flood đến máy máy nạn nhân localhost Hình 26: Phát cơng DoS TCP SYN Flood Nhận xét: Qua hình ta thấy cảnh báo Snort với tập luật thiết lập, biết công SYN Flood vào cổng 80 từ địa máy cơng có IP 192.168.241.131 đến địa máy nạn nhân có địa IP 192.168.241.130, giao thức công TCP * Tấn công UDP Flood: Tấn công UDP Flood công từ chối dịch vụ (DoS) công cách sử dụng UDP (User Datagram Protocol), sessionless/ giao thức phi kết nối mạng máy tính Dùng UDP để công từ chối dịch vụ công không đơn giản với TCP (Transmission Control Protocol) Tuy nhiên, công UDP Flood bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ từ xa Kết là, máy chủ xa sẽ: - Kiểm tra ứng dụng với cổng; - Thấy khơng có ứng dụng nghe cổng; - Trả lời với ICMP Destination Unreachable gói Kẻ cơng gửi số lượng lớn gói tin UDP đến mục ti u, làm tràn băng thơng mục tiêu khiến khơng nhận kết nối người dùng bình thường Các bƣớc mô thực công Bƣớc 1: Thử nghiệm công DoS UDP Flood từ máy Kali sử dụng hping3 lệnh: Sudo hping3 192.168.241.130 –flood –udp + hping3: Tên tool + udp: Bật cờ UDP + 192.168.241.130: Target (địa IP nạn nhân) 56 Hình 27: Tấn công DoS UDP Flood Bƣớc 2: Máy ảo nạn nhân localhost bắt gói tin phân tích dấu hiệu cơng Hình 28: Wireshark phân tích gói tin cơng DoS UDP Flood Đây công UDP từ địa 192.168.241.131 đến địa 192.168.241.130 với port 22 Ta thấy có nhiều gói tin UDP gửi từ địa 192.168.241.131 với tần suất lớn (packet/s) kích thước 60 bytes Từ ta nhận biết dấu hiệu công UDP là: - Xuất gói tin UDP gửi tới mục tiêu với tần suất lớn - Kích thước gói tin UDP giống Bƣớc 3: Xây dựng luật phát cơng qua dấu hiệu tìm bước Từ dấu hiệu ta xây dựng luật: alert udp any any -> any any (msg:”Phát công UDP Flood Cần xử lý.”; threshold: classtype: unusual-client-port-connection; type threshold, track by_dst, count 1000; seconds 180; sid: 500003;) Bƣớc 4: Thử nghiệm hệ thống với luật bước Chạy hệ thống với luật tr n, snort phát có cơng UDP Flood đến máy nạn nhân localhost 57 Hình 29: Snort Phát cơng UDP Flood Nhận xét: Qua hình ta thấy cảnh báo Snort với tập luật thiết lập, biết công UDP Flood vào cổng 22 từ địa máy cơng có IP 192.168.241.131 đến địa máy nạn nhân có địa IP 192.168.241.130, giao thức công UDP * Tấn công ICMP Flood: Đây kiểu công DoS/DDoS cách kẻ cơng gửi số lượng lớn gói tin yêu cầu phản hồi ICMP (ping) đến mục tiêu, làm tràn băng thơng mục tiêu khiến khơng nhận kết nối người dùng bình thường Các bƣớc mô thực công Bƣớc 1: Thử nghiệm công DoS ICMP Flood từ máy Kali sử dụng hping3 lệnh: hping3 192.168.241.130 -1 –d 65000 –i u1 –n –V + hping3: Tên tool + 192.168.241.130: Target (địa IP nạn nhân) + -1: Chọn ICMP model + -d: Chọn kích thức tập tin (65000) + -i: Tốc độ (u1 = nhanh) + -V, -n: Output Hình 30: Tấn cơng DoS ICMP Flood Bƣớc 2: Máy ảo nạn nhân localhost sử dụng Wireshark bắt gói tin phân tích tín hiệu kết nối 58 Hình 31: Wireshark bắt gói tin cơng DoS ICMP Flood Đây công ICMP từ địa 192.168.241.131 đến địa 192.167.241.130 với kích thước 1514 bytes, flag 0x01 (More Fragments) Wireshark Từ ta nhận biết dấu hiệu cơng ICMP là: - Xuất gói tin ICMP gửi tới mục tiêu với tần suất lớn - Kích thước gói tin lớn giống ICMP giống - Trong Info Time–to –live: 64 - Flag: 0x01 (More Fragments) Bƣớc 3: Xây dựng luật phát cơng qua dấu hiệu tìm thấy bước Từ dấu hiệu ta xây dựng luật: alert icmp any any -> any any (msg:”Phát công ICMP Flood Cần xử lý.” Threshod: type threshold, track by_dst, count 1000, seconds 180; sid: 54000004;) Bƣớc 4: Thử nghiệm hệ thống với luật bước Chạy lại hệ thống với luật tr n, Snort phát có cơng ICMP Flood đến máy nạn nhân localhost Hình 32: Snort phát công DoS ICMP Flood 59 3.2 Nhận xét, đánh giá hệ thống phát xâm nhập, sử dụng Snort IDS Trong chương trình bày mơ phát công phát công DoS với công cụ Nmap, Hping3 Snort IDS Luận văn thực thiết lập hệ thống phần mềm mô phỏng; xây dựng kịch công Scan tool công cụ Nmap máy chủ Kali - linux triển khai ba mô công DoS điển hình hệ thống mạng; hiển thị kết mô đánh giá kết Qua thử nghiệm, hệ thống thực chức phát bất thường hay hành vi không phép mà nhà quản trị đặt hệ thống mạng So sánh với số hệ thống cảnh báo tương tự ta có nhận xét sau hệ thống phát xâm nhập IDS Ƣu điểm: - Là hệ thống phát xâm nhập cách thu thập liệu gói tin tr n đường truyền nên Snort suốt với người sử dụng kẻ công, việc cài đặt cập nhật không ảnh hưởng đến việc sử dụng mạng, độc lập với hệ điều hành - Đưa số biện pháp để phát công DoS/DDoS Giới thiệu số tập lệnh Snort-Inline để phát DoS/DDoS sử dụng phổ biến.sưe - Có khả hoạt động phát hiện, ngăn chặn công DoS/DDoS tương đối ổn định tối ưu so với hệ thống Nếu người quản trị có kiến thức tốt, kết hợp xây dựng hệ thống phát xâm nhập IDS với số giải pháp firewall hệ thống mạng trở nên tối ưu trước công xâm nhập mạng Nhƣợc điểm: Hệ thống IDS dựa dấu hiệu xâm nhập phân tích trạng thái giao thức để phát mối đe dọa nên cần phải quan tâm cách thường xuy n, đặc biệt vấn đề cập nhật, định nghĩa luật phân tích cảnh báo IDS, địi hỏi người quản trị phải có đủ kiến thức kỹ lĩnh vực Và khơng có luật thực tốt, hệ thống không 60 thể cho biết mạng bị cơng có hay khơng, có thành cơng khơng để bảo trì, sửa chữa; hay đơi xảy trường hợp báo động giả, hành động truy cập bình thường cảnh báo Nó khơng thể phân tích liệu mã hóa hay lưu lượng bị mã hóa IPSec, SSL… Khi lưu lượng liệu lớn, việc phân tích trở nên chậm yêu cầu xử lý với Snort cao hơn, ta cần luật thực tốt hệ thống mạng phải thiết kế xác tránh luồng liệu qua hệ thống không cần thiết Hệ thống cảnh báo lưu lại thông tin đáng ngờ vào sở liệu thông báo cho quản trị viên chưa ngăn chặn gói tin độc hại, cơng vào hệ thống Để hồn thiện người quản trị cần cấu hình thêm tường lửa hệ thống để ngăn chặn Yêu cầu: Lọc gói tin dựa theo địa IP, theo sách thiết lập sẵn Tăng Backlogs size để tăng khả chấp nhận kết nối hệ thống máy đích Giảm thời gian chờ nhận gói tin xác thực kết nối TCP-ACK, giúp máy chủ hủy bỏ kết nối không xác thực khoảng thời gian ngắn, điều giúp giải phóng lượng tài nguy n bị chiếm kết nối ko tin cậy SYN Flood dạng công từ chối dịch vụ dựa theo giao thức TCP thường gặp, để chặn hiệu dùng cách sử dụng SYN Cookies với mục đích cấp tài nguy n cho y u cầu hợp lệ Giới hạn tối thiểu hành vi truy cập, ví dụ giới hạn kết nối đồng thời truy cập từ IP hay giới hạn tỷ lệ kết nối không 100 request phút Nếu ngưỡng truy cập bị block Coi log Log ứng dụng cơng cụ để rà sốt bất thường, hành vi rà quét 61 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Trong luận văn em trình bày tổng quan công mạng, số kỹ thuật cơng hệ thống mạng máy tính, đồng thời sâu vào dạng công từ chối dịch vụ Luận văn mức độ nguy hiểm kiểu cơng DoS/DDoS Tập trung tìm hiểu chất, cách thức hoạt động, cách thức công, kỹ thuật công tại, công cụ công DoS/DDoS, từ đề xuất số biện pháp để phát kiểu cơng Qua luận văn sâu vào cách thức hoạt động mô tả hệ thống phát xâm nhập IDS Dựa hệ thống giới thiệu qua tập lệnh Snort để phát công sử dụng phổ biến, tập lệnh giúp phát triển hệ thống dựa tảng có Với cơng cụ cơng Nmap, Hping3 tảng có sẵn hệ điều hành Kali-linux luận văn mơ hình thức cơng DoS dựa mơ hình mạng ảo Vmware Việc đặt hệ thống IDS gần máy nạn nhân bị công phương pháp tối ưu phương pháp phát DoS/DDoS Hệ thống phát xâm nhập Snort IDS thụ động, theo dõi liệu packet qua mạng từ port giám sát, so sánh traffic đến rules thiết lập đưa cảnh báo phát dấu hiệu bất thường Một hệ thống IDS phát hầu hết loại traffic độc hại bao gồm công từ chối dịch vụ, công liệu ứng dụng, đăng nhập trái phép máy chủ, phần mềm độc hại virus, Trojan, worms Hệ thống Snort IDS sử dụng số phương pháp để phát mối đe dọa, dựa dấu hiệu xâm nhập phân tích trạng thái giao thức Snort IDS lưu log vào CSDL tạo cảnh bảo đến người quản trị Snort IDS cho tầm nhìn sâu với hoạt động mạng, nên giúp xác định vấn đề với sách an ninh tổ chức Vấn đề Snort IDS thường đưa báo động giả Cần phải đa hóa tính xác việc phát dấu hiệu bất thường 62 Hƣớng phát triển Đây đề tài mang tính thực tế cao, với nhiệm vụ xây dựng thử nghiệm số mơ hình cơng, nghiên cứu tìm hiểu phân tích, đánh giá hệ thống phát xâm nhập đề tài đáp ứng số yêu cầu đề Tuy nhi n để áp dụng vào thực tế cần địi hỏi thêm thời gian, kiến thức khơng cơng nghệ mà cịn thực tế, cho đáp ứng đòi hỏi, nhu cầu người sử dụng Chúng ta muốn hạn chế hậu DoS/DDoS gây cần phải ln cập nhập công nghệ, nâng cao kiến thức, am hiểu dạng công cụ công để từ đưa biện pháp phịng chống hiệu Hệ thống phát xâm nhập cơng DoS/DDoS cần nhanh chóng phân tích để tìm nguồn cơng, dựa vào kết phân tích sử dụng biện pháp để ngăn chặn Đồng thời nghiên cứu đưa luật tốt nhằm xây dựng hệ thống có độ bảo mật tối ưu Việc phát ngăn chặn cơng từ chối dịch vụ phân tán hồn tồn điều khó khăn Muốn hạn chế đến mức thấp hậu công cá nhân, tổ chức cần phải ln ln cảnh giác Một cách hữu hiệu kiểm tra tính bảo mật thơng qua phần mềm mơ để đánh giá mức độ bảo mật hệ thống, khả bị cơng, từ đưa biện pháp cải thiện, nâng cấp hệ thống cho hệ thống mạng Kết luận văn sử dụng làm sở tham khảo việc xây dựng hệ thống có khả phát phịng chống lại công từ chối dịch vụ, áp dụng vào thực tiễn phục vụ cho việc kiểm tra khả phát phòng chống DoS/DDoS hệ thống mạng Luận văn hoàn thành nội dung yêu cầu mục ti u đề Do thời gian có hạn nên luận văn tránh thiếu sót mặt cịn hạn chế biện pháp ngăn chặn, phòng chống DoS/DDoS Trong tương lai, điều kiện cho phép em tiếp tục nghiên cứu, phát triển hồn thiện tốn này, củng cố th m sở để xây dựng hệ thống phát ngăn chặn giảm mức tối đa nguy hiểm công DoS/DDoS 63 TÀI LIỆU THAM KHẢO [1] Andrew T.Baker, Brian Caswell & Mike Poor – Snort Intrusion Detection Second Edition, Syngress Publishing, Inc, 2004 [2] Phạm Đức Thọ, “Xây dựng hệ thống phát xâm nhập phần mềm Snort”, Đại học Công nghệ thông tin truyền thông, 2013 [3] Nguyễn Văn Quang “Tìm hiểu xây dựng hệ thống phòng chống phát xâm nhập sử dụng Snort/SnortSam”, Đại học sư phạm kỹ thuật Hồ Chí Minh, 2013 [4] Rafeeq Ur Rehmen – Intrusion Detection System With Snort Prentice Hall PTR,2003 [5] Rebecca Bace and Peter Mell, NIST Special Publication Intrusion Detection Systems, National Institute of Standards and Technology, 2011 [6] https://www.kali.org/ Truy cập lần cuối ngày 28/8/2018 [7] https://resources.infosecinstitute.com/snort-rules-workshop-part-one/ Truy cập lần cuối ngày 28/7/2018 [8] http://snort.org/ Truy cập lần cuối ngày 28/7/2018 [9] http://sublimerobots.com Truy cập lần cuối ngày 28/7/2018 Cập lần cuối ngày 28/8/2018 [10] http://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ Truy cập lần cuối ngày 28/8/2018 64 ... dụng hệ thống phát xâm nhập mạng (IDS) Hệ thống phát xâm nhập IDS (Intrusion Detection Systems) hệ thống có nhiệm vụ giám sát luồng liệu traffic lưu thông tr n mạng, nhằm phát hành động công vào... công hệ thống mạng - Xây dựng hệ thống IDS, sử dụng mã nguồn mở Snort để phát ngăn chặn xâm nhập trái phép hệ thống mạng - Xây dựng số tập luật cho hệ thống Snort, nhằm phát kiểu công xâm nhập hệ. ..BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - TRIỆU XUÂN NGHIÊM PHÂN TÍCH VÀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ