Giới thiệu tổng quan về phần mềm phát hiện xâm nhập snort. Đây là tài liệu cần thiết cho các bạn sinh viên, mới bước chân vào lĩnh vực an toàn an ninh mạng, một lĩnh vực không mới nhưng không hề đơn giản với người bắt đầu
1 Snort - Detecting Intrusions Snort - A Sniffer Snort - A Preprocessor Phát xâm nhập - Detecting Intrusions Phát xâm nhập đơn giản phát tín hiệu , biểu người xâm nhập trước thiệt hại xảy services bị denied hay liệu ngăn chặn thông qua kĩ thuật khác Config log hệ thống mà lưu giữ thông tin services, user hay data Người quản trị phát thơng tin lý thú log này, thực quan trọng coi log bước để phát xâm nhập system log cho thấy giá trị thực Kế tiếp phát xâm nhập dùng tools tự động thường xem HIDS ( host-based intrusion detection).HIDS tools bao gồm software antivirus, persional firewall, NIDS đựơc cài đặt host nhiều software bảo vệ chống tràn đệm cố gắng bẻ gãy policy attacker Và cuối NIDS Ví dụ HIDS NIDS - Network Instrusion Detection System ? Trên cấp độ bản, phát xâm nhập xem tiến trình định người không xác chứng thực cố gắng để bẻ gãy hệ thống bạn Phát kết nối không hợp lệ bước khởi đầu tốt tẩt câu chuyện Những hệ thống Snort phát cố gắng login vào hệ thống, truy cập vào vùng share không bảo vệ nhiều điều khác nữa, nhiều loại xâm nhập không rõ ràng để phát dễ dàng các công dùng phương pháp DoS khơng thiệt hại nhiều chiếm bandwidth Cpu, dung lượng ổ cứng IDS tín hiệu để có biện pháp phịng chống hữu hiệu NIDS Snort scan network traffic để phát tín hiệu nghi ngờ gói liệu xấu, bạn dùng tools khác Tcpdump hay ethereal để để xem luồng thông tin subnet khác nhau, từ tools sniff packet để phân tích debug hệ thống Một IDS kiểm tra tất packet qua hệ thống định packet có vấn đề khả nghi Bằng cách biết packet khả nghi ? Snort có danh sách loại packet mô tả tỷ mỉ giúp hệ thống dựa vào mà phán packet khả nghi ví dụ bạn nhận gói ICMP có kích thước lớn bình thường bạn đốn người cố gắng ping of death vào mạng bạn bạn nhận đuợc packet đựơc phân mảnh ngắn bạn suy dùng kĩ thuật công phản hồi làm đảo lộn gói để lừa firewall thường đuợc gọi fragmentation attack Snort IDS khác đuợc trang bị hàng ngàn tình để nhận dạng cơng đuợc cập nhật thường xuyên Snort website Snort IDS khác thực quan trọng lựa chọn hàng đầu để phòng thủ, attacker xâm nhập Server bạn, bạn phát system log, nhiều attacker tinh ranh xóa log bạn Ví dụ mơ hình NIDS Trong đó: - IDS sensor: Giám sát traffic segment / zone, gửi liệu centralize database server - Centralize database server: nơi tập trung liệu lấy từ sensor vào database (mysql chẳng hạn) - User interface: admin dùng giao diện web UI để giám sát Và module mức luận lý Giải thích cụ thể chút: Gói tin bị capture từ sensor - host system or network sniffer (có thể cấp độ host cấp độ mạng) chuyển qua pre-processing Pre-processing: gồm phận decoder preprocess: - Decoder: đọc packet, nhận biết trường packet - Preprocess: xếp modify lại packet trước vào detection engine Một số module có khả phát packet dị thường header sinh alert Ngồi ra, tái định dạng gói tin (defragment), xếp lại chuỗi Detection engine: xảy trình phân tích packet: so sánh mẫu (signature matching) phân tích dị thường packet (statictical analysis) để đưa output (alert manager) định Knowledge base: database signature Long-term storage: nơi chứa phát dị thường packet (không định nghĩa trước) Response manager: thực thi đáp ứng alert manager như: ghi log, popup GUI: giao diện đồ họa tương tác Nhìn vào sơ đồ ta hình dung phần hệ thống IDS, IDS can thiệp vào phần payload packet sâu firewall, hình minh hoạ sau giúp ta phần biệt firewall IDS dễ dàng hơn, dễ hiểu phần đầu việc firewall phần sau IDS làm tiếp việc kiểm tra Tại Snort NIDS ? Snort coi NIDS mang lại nhiều lợi ích NIDS mạnh mẽ phù hợp cho nhiều cơng ty nhiều lý Giá Là software mã nguồn mở tất nhiên free dễ dùng đựơc đóng gói thành nhiều sản phẩm phù hợp cho doanh nghiệp Snort đuợc phát triển công ty Soucefire điều hành Martin Roesch Hiện công ty Check point mua lại Soucefire với giá 225 triệu USD Ổn định, Nhanh, Mạnh mẽ Ngay từ đầu mục đích để nhà phát triển Snort ln ln giữ nhỏ gọn, nhanh, sáng dễ dùng, không chiếm dụng nhiều đường truyền Tính tiền xử lý Dùng để xử lý trước message network thời gian thực tăng khả nhận dạng packet nghi ngờ, tăng khả nhận diện attacker dùng kĩ thuật cơng nhằm đánh lạc hướng IDS Tính Uyển Chuyển Có thể dễ dàng thiết lập rules mode khác phù hợp với thực trạng công ty Có thể dùng tools để quản lý tập trung ACID hay SnortCenter Nhiều Scripts plug-ins để mở rộng chức Snort tạo Access Control List tự động thiết bị Cisco routers ví dụ điển hình Được Support mạnh mẽ Nhiều công ty thường xuyên test kiểm tra lỗ hổng Snort đưa nhiều biện pháp khắc phục CERT SANS Là sản phẩm nguồn mở nên support nhiều cộng đồng người sử dụng internet thông báo gửi đến người sử dụng qua mail đăng kí quan tâm đến Snort TÀI LIỆU THAM KHẢO: SNORT COOKBOOK -OREILLY, SNORT INSTRUSION DETECTION 2.0 - SYNGRESS Bài viết sử dụng số hình ảnh omicron IDS/IDP vs firewall ::: Phần Cài Đặt Và Cấu Hình Snort::: Trong phần em trình bày kĩ thuật thường dùng để bắt packet phân tích nội dung chúng, kinh nghiệm cài đặt sử dụng Em bắt đầu với cách sử dụng Snort Sniffer, Packet logger cuối sử dụng Snort thực NIDS 2.1.Vài dòng Snort Ngày Snort có lẽ sản phẩn IDS mã nguồn mở tiếng Snort đuợc thiết kế dùng command line tích hợp chung với sản phẩm khác dùng nhiều platforms khác Snort lần phát triển năm 1998 lúc chức sniff packet đến phát triển vượt bậc với nhiều tính mạnh biết Hàng tuần Snort download hàng ngàn người nhà phát triển.Hiện sử dụng IDS từ người dùng nhỏ đến công ty lớn toàn giới nhiều platform khác Windows,FreeBSD,Linux,Solaris 2.2.Cài Đặt Snort Chúng ta cài đặt Snort từ Souce code gói RPM Theo kinh nghiệm nên download source code sau biên dịch để cài đặt dùng gói binary có sẵn Ta config Snort kết hợp với MySQL Hiện phiên Snort 2.4.3 ngày 18/10/05 khuyên nên dùng trước ngày 6/10/05 CERT SANS phát lỗ hổng Snort phần tiền xử lý Back Orifice 2.2.1Cài đặt từ Source code Cài Snort dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan trọng Snort kết hợp với nhiều database để lưu trữ Download giải nén Snort từ địa http://www.Snort.org thường cài đặt vào thư mục /usr/local/src bạn sử dụng lệnh sau để cài đặt $ tar -xvft Snort-2.4.3.tar.gz $ cd Snort-2.4.3 $ / configure $ make $ make install Nó cài vào thư mục /usr/local/bin, user chạy Nếu khơng chạy lệnh configure thông báo cho bạn biết Hầu hết trường hợp thư viện libpcap PCRE ( pert-compatible regular Expression ) download libpcap http://www.tcpdump.org PCRE http://www.pcre.org 2.2.2 Cài đặt windows Nếu muốn sử dụng Snort Windows bạn phải download thư viện winpcap từ địa http://winpcap.polito.it Sau cài đặt winpcap ta download cho windows ỏ http://www.Snort.org/dl/binaries/win32 Snort chạy với dòng lệnh windows Một phiên khác download từ địa http://winSnort.com quản lý Michael E.Steele tất nhiên free Bản dùng cho windows làm việc tốt với sở liệu Microsoft SQL server có nhiều tài liệu Snort website bổ ích Nhiều thảo luận dài diễn bàn luận hệ điều hành dùng Snort nhanh Tổng hợp từ nhiều nguồn tin từ người dùng cách đo điểm benchmarks dùng cho windows nhanh Linux BSD Các option câu lệnh Snort Các option mô tả kĩ file config Snort ,nếu muốn thử tìm hiểu ta nên dùng command line muốn lưu giữ file lúc setting nên vào config file -A altert-mode Nhiều mode hỗ trợ : fast , full, none, unsock -b Log packet dạng tcpdump file với format dạng tcmdump nhỏ phương pháp tốt cần lưu trữ với số luợng lớn log data packet dĩ nhiên nhỏ nhanh lựa chọn mạng tốc độ cao -B address-conversion-mask Giúp ẩn địa thực internal network binary logs -c config-file Chỉ định conifg file muốn sử dụng, cần thiết Snort chạy mode NIDS -C In kí tự tìm thấy packet payload, hiển thị dạng hex -d Hiển thị liệu tầng application dùng chế độ hiển thị đầy đủ packet logging mode -D Chạy Snort mode daemon Daemon mode cần thiết ta cần chạy Snort tự động startup hiển thị event ta khởi động, khơng có message hiển thị console chạy mode -e Hiển thị log lớp liên kết paket headers thường dùng capture packet chạy Snort chế độ Sniffing -F bpf-file Đọc Berkeley Packet Filters (BPF) từ bpf file -g group Thay đổi group ID GID mặc định Thường dùng ta muốn Snort cho dùng group đặc biệt mục đích để security -h home-net Thiết lập "home network" định địa định dạng CIDR Thường sử dụng để tạo biến HOME_NET file config -i interface Chỉ định interface Snort lắng nghe -I Trong thông báo, hiển thị interface packet packet đến ta có nhiều interface lúc sử dụng nhìêu sensor sensor gửi packet đến database quản lý lúc -k checksum-mode Điều khiển packet checksums Snort Nhiều giá trị checksum mode bao gồm all,noip,notcp,noudp,noicmp,none -l logging-directory Chỉ định thư mục để log alter Mặc định thư mục log /var/log/Snort, mặc định sử dụng Snort chạy -A mode -L binary-log-file Thiết lập filename file binary, mặc định thời gian thêm vào trước chữ Snort.log lưu log -m umask Thiết lập chế độ tạo mặt nạ file, đơn giản ngăn chặn xem log file capture packet, tránh hacker xoá log -n packet-count Đếm số luợng packet tồn thường dùng muốn capture traffic mạng nhỏ thời gian ngắn -N Tắt packet logging chế độ alert hoạt động hiển thị hình console thường dùng để test file cấu hình -o Thay đổi thứ tự rules đựoc áp đặt đến packet Thay rules áp đặt theo dạng chuẩn alert ◊ pass ◊ Log, ta áp đặt lại Pass ◊ Alert ◊ Log Khuyên dùng người dùng chạy SnortCenter web interfaces khác Option thường sử dụng chắn nhựng pass rules applied trước detection rules -O Khi mode ASCII, thay địa ip hiển thị hình logfile với dạng”xxx.xxx.xxx.xxx” home-net đựoc set -h , có ip homenet hiển thị lại thay Sử dụng capture packet dùng để làm mẫu share với người thảo luận ỏ group qua mailing list -p Tắt chế độ sniff hỗn tạp, dùng để bảo vệ host -P snap-length Thiết lập chiều dài tối đa cho packet capture.Thiết lập để bắt hết packet, thiết lập chiều dài ngắn không coi hết nội dung packet cần thiết -q Không hiển thi banner hay thông tin khởi động -r tcpdump-file Sử dụng option dùng với file định dạng tcpdump -s Gửi alert message đến syslog server Có thể gửi local hay remote server -S variable=value Gán giá trị cho biết ví dụ home-net, dn-server… preprocessor stream4: detect scans, disable_evasion_alerts, timeout 60, ttl_limit 10 2.4.3.4 stream4_reassemble Snort phản hồi chuỗi kí tự đọc đuợc gói tin qua trùng với kí tự nhận dạng signatures Nếu attacker phân chia kí tự thành nhiều gói tin để tránh báo động Snort, stream4_reassemble đóng vài trị xếp lại traffic hệ thống đàm thoại ( conversation ) network, gia tăng khả match signatures Các conversation network thường chương trình dùng command line Telnet, Ftp, Smtp nguyên nhân nội dung packet lọt qua hệ thống Reassemble traffic services cần thiết để ngăn chặn báo động lầm bỏ sót Một kĩ thuật khác attacker nhúng gói tin với kí tự gây lỗi, reassemble phát Các option reassemble Clientonly Chỉ bật chức client Serveronly Chỉ bật chức server Both Bật server client Noalerts Chế độ báo động hoạt động tắt chức reassembly Ports [list] Chỉ định ports cụ thể để reassembly Câu lệnh khuyên dùng: Preprocessor stream4_reassemble: both 2.4.3.5 Tiền xử lý http inspect Có nhiều cách thơng tin định dạng sang http session có nhiều loại khác biểu diễn thông tin http session multimedia, xml, HTML, asp, php, java,….và kết Snort phải “massage” nội dung HTTP conversation để định dạng lại data phục vụ cho q trình phát tốt Có kiểu cấu hình http_inspect global server Global ảnh huởng trực tiếp tới http traffic ,cấu hình Server chứa phần setting cho máy server group servers vậy, thường dùng để cấu hình cho web server dùng apache IIS http_inspect ( global ) Có option phần dùng để config http traffic: iis_unicode_map [codemap Như trình bày Profile Có thể dùng apache dùng cho iis ta dùng all cho Các bảng sau trình bày cụ thể profile dùng loại Bảng setting cho profile "all" Option Setting flow_depth 300 chunk_encoding Báo động chunks lớn 500,000 bytes lis_unicode_map Map sử dụng cho mode globle ascii No non_refc_char On multi_slash No directory No apache_whitespace Yes double_decode Yes j_encode Yes bare_byte Yes lis_unicode Yes lis_backslash No lis_delimiter Yes Bảng setting cho profile "apache" Option Setting flow_depth 300 chunk_encoding Báo động chunks lớn 500,000 bytes ascii No non_rfc_char On multi_slash No directory No apache_whitespace Yes Bảng setting cho profile "iis" Option Setting flow_depth 300 lis_unicode_map Map sử dụng cho mode globle ascii No multi_slash No directory No double-decode Yes u_encode Yes bare_byte Yes lis_unicode Yes lis_backslash No lis_delimiter Yes apache_whitespace Yes utf_8 No non_strict On Đây phần cấu hình mặc định cho http_inspect_server: Preprocessor http_inspect_server: server default profile all ports {80 8080 } Đây phần cấu hình cho IIS server http_inspect_server : Preprocessor http_inspect_server: server 10.10.10.33 profile iis ports { 80 8080 } Cịn cấu hình điển hình cho Apache server: Preprocessor http_inspect_server 10.1.1.125 profile apache ports { 80 8080 } 2.4.3.6 rpc_decode RPC’s traffic phân chia nhiều packet mã hoá theo nhiều kiểu khác Rpc_decode preprocessor bình thường hố traffic mục đích giúp nhận diện tốt singnatures list List ports mà RPC services chạy đuợc cung cấp dịng cấu hình Ở có options cho rpc_decode Alert_fragments Báo động có fragmented RPC traffic No_alert_multiple_requests Không báo động nhiều RPC request đuợc chứa packet No_alert_large_fragments RPC fragments lớn size fragment hành Nếu bạn tìm lỗi xác thực, ta phải dùng chức để disable No_alert_incomplete RPC messages lớn, có lớn có MTU mạng qua, gây nhiều lỗi cho RPC network services Có thể tắt chức để phát lỗi Đây đề nghị config rpc_decode Preprocessor rpc_decode: 111 32771 1024 2.4.3.7 bo Bo- Back orifice virust tiếng hacker năm qua, dùng để điều khiển từ xa client bị nhiễm nó, Snort có option để ngăn chặn điều phát dễ dàng dòng lệnh ngắn gọn Preprocessor bo 2.4.3.8 telnet_decode Dùng chức để bình thuờng hố kí tự ,chuổi không tiêu chuẩn , lạ traffic FTP telnet đơn giản dùng câu lệnh đơn giản Preprocessor telnet_decode 2.4.3.9 flow-portscan Flow-portscan thay portscan2 nhiều chức mạnh Có components cho flow-portscan Scoreboards Nó phát đuợc loại khác host , talker scanner Talker tất host active mạng scanner host connection tới port server mạng Uniqueness tracker Theo dõi có kết nối Server statistics tracker Sử dụng để theo dõi thời gian service server nhằm theo dõi kết nối Để phát attacker scan port khó hacker dùng nhiều cách khác nhau: Sau option ta dùng để nâng cao hiệu flow-portscan scoreboard-memcap-talker < bytes> scoreboard-rows-talker < count> scoreboard-rows-scanner < count> scoreboard-memcap-scanner < bytes> scanner-fixed-threshold < integer> scanner-sliding-threshold < integer> scanner-fixed-window < integer> scanner-sliding-window < integer> scanner-sliding-scale-factor < float> talker-fixed-threshold < integer> talker-sliding-threshold < integer> talker-fixed-window < integer> talker-sliding-window < integer> talker-sliding-scale-factor < float> unique-memcap < bytes> unique-rows < integer> server-memcap < bytes> server-rows < integer> server-watchnet < ip list in Snort notation> src-ignore-net < ip list in Snort notation> dst-ignore-net < ip list in Snort notation> tcp-penalties server-learning-time < seconds> server-ignore-limit < hit count> server-scanner-limit < hit count> alert-mode output-mode base-score < integer> dumpall Đây dịng cấu hình mẫu cho flow-portscan preprocessor flow-portscan: server-watchnet [10.10.10.0/24,10.10.20.0/24] 2.4.3.10 arpspoof Arpspoof thiết kế cho preprocessor dể detech hoạt động spoof arp bất hợp pháp local nétwork Các hacker dùng tools man-in-the-middle attacks ettercap arpspoof để nghe trộm máy mạng nội để cấu hình administrator phải biết địa MAC card mạng, điều dễ dàng: Sau cấu hình đề nghị: # preprocessor arpspoof # preprocessor arpspoof_detect_host: 192.168.1.1 F0:AB:GH:10:12:53 2.4.3.11 perfmonitor Một khả hay Snort monitor tình trạng hể điều hành thơng số thể nêu lên nhiều ý nghĩa mà dựa vào ta đốn nhiều đìều đưa nhiều biện pháp điều chỉnh theo ý muốn, thông số Snort monitor Packets received Packets dropped Percentage of packets dropped Packets Received Kpackets per second Average bytes per packets Mbits per second (wire) Mbits per second (rebuilt) (Mbits trung bình Snort nhúng vào sau rebuil packet) Mbits per second (total) Pattern-matching percent (Phần trăm liệu average percent of data received that Snort processes in pattern matching) CPU usage (user time, system time, idle time) Alerts per second SYN packets per second SYN/ACK packet per second New sessions per second Deleted sessions per second Total sessions Max sessions during time interval Stream flushes per second Stream faults per second Stream timeouts Frag completes per second Frag inserts per second Frag deletes per second Frag flushes per second Frag timeouts Frag faults Khi dùng thêm từ “flow” , hiển thị tình trạng traffic protocal mà Snort dang soi, dùng “event” Snort mở chức reporting hiển thị trạng thái số lượng signatures match, dùng từ “max” kích hoạt Snort hoạt động để nâng cao hiệu quả, dùng tư “pktcnt” điều chỉnh số lượng packets thực thi trước check thời gian sample mặc định set 10,000 Ví dụ config bật chức perfmonitor preprocessor: Preprocessor perfmonitor : time 30 events flow file stats.profile max console pktcnt 10000 Preprocessor perfmonitor: time 30 file /var/tmp/Snortstat pktcnt 10000 2.4.4 Cấu hình OUTPUT Snort có thể output vào file log output console, nhiều administrator thích dùng phần mềm hãng thứ (third party ) để tăng thêm chức giám sát Snort, phần mềm data database dùng được, lưu ý trước cài đặt Snort muốn dùng database cần rõ cài đặt ví dùng dùng MySQL , biên dịch source thêm vào - -mysql ví dụ: /configure - - mysql 2.4.4.1 alert_syslog Output cấu hình theo kiểu Output alert_syslog : Các option sau syslog chuẩn syslog mặc định LOG_AUTH LOG_AUTH LOG_AUTHPRIV LOG_DAEMON LOG_LOCAL0 LOG_LOCAL1 LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG_LOCAL7 LOG_USER Các option ưu tiên sau syslog ưu tiên chuẩn, mặc định LOG_ALERT LOG_EMERG LOG_ALERT LOG_CRIT LOG_ERR LOG_WARNING LOG_NOTICE LOG_INFO LOG_DEBUG Đây câu cấu hình mẫu cho alert_syslog output alert_syslog: LOG_AUTH LOG_ALERT câu lệnh dành cho windows Snort nhìn vào dễ hiểu output alert_syslog: host=192.168.1.100:80 LOG_AUTH LOG_ALERT 2.4.4.2 log_tcpdump Log định dạng sang dạng log_tcpdump, có nhiều phần mềm đọc dạng log này, log có timestamp đính vào file name ví dụ: câu lệnh cấu hình output log_tcpdump /var/log/Snort/tcpdump.out 2.4.4.3 database Khi log vào database , khối luơng lớn thông tin Snort lưu trữ báo động (alert) , host liên quan, packet gây báo động, ta dễ dàng log báo động thật báo động lỗi, sai nhanh nhiều Đôi log vào database tải gây tượng thắt cổ chai dẫn đến alert log thời gian Và phương pháp cấu hình Snort hợp lý kinh nghiệm admin sau ví dụ dùng tuning thresholding để tạo hiệu Cấu trúc câu lệnh output database output database: ,, Câu lệnh nhìn vào ta hiểu ý nghĩa nó, cịn bao gồm phần sau : host Địa IP database server port Port database lắng nghe dbname= Loại database ta logging user username Snort sử dụng để log database password Tất nhiên có user phải có pass để vào sensor_name Tên sensor cấu hình, thểm -I command line sử dụng IP address thay cho tên encoding Sử dụng mã hố để log vào database, ví dụ kiểu hex,base64,ascii khuyên dùng ascii detail Có thể định details level log vào database, ví dụ dùng full,fast full khuyên dùng Với loại database cụ thể ta phải biên dịch cho cài đặt nói phần trước CODEMySQL /configure - -with-mysql POSTGRESQL /configure - -with-postresql ODBC /configure - -with-odbc MSSQL Chỉ dùng cho windown, dùng odbc để log vào MSMSQL server ORACLE /configure - -with-oracle log khác ta coi phần khuyến cáo database kèm theo 2.4.5 File Inclusion Trong file Snort.conf, câu lệnh include cho Snort đọc file sau từ include lưu filesystem Snort sensor, giống lập trình ví dụ : $ include $RULE_PATH/bad-traffic.rules $ include $RULE_PATH/exploit.rules $ include $RULE_PATH/scan.rules Các rules ta download internet, down ta muốn phân nhóm chỉnh sửa,độ ưu tiên rules ta cấu hình file classification.config, file reference.config gồm links tới web site với thông tin cho tất alerts, include hữu tích , nhanh gọn ví dụ: # include classification & priority settings include classification.config # include reference systems include reference.config HVA http://thuvienso24h.blogspot.com/ ... Viết rules liên quan dễ dàng dễ hiểu dễ chỉnh sửa • Có thể report mạng wireless riêng biệt cách sử dụng patches đặc biệt Nhìn tổng quan chế hoạt động snort 2.3.1 Snort Sniffer Snort dễ dàng sử... dụng Em bắt đầu với cách sử dụng Snort Sniffer, Packet logger cuối sử dụng Snort thực NIDS 2.1.Vài dòng Snort Ngày Snort có lẽ sản phẩn IDS mã nguồn mở tiếng Snort đuợc thiết kế dùng command... #Snort -r /usr/local/log /Snort/ temp.log Trong phần Snort không giới hạn để dọc file binary chế độ sniffer Ta chạy Snort chế độ NIDS với việc set rules filters để tìm traffic nghi ngờ 2.3.3 Snort