HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Khoa: Cơng nghệ thơng tin BÀI TẬP LỚN MƠN HỌC: KỸ THUẬT THEO DÕI & GIÁM SÁT MẠNG CHỦ ĐỀ: “SNORT – PHÁT HIỆN XÂM NHẬP” Giảng Viên: ThS.Hoàng Mạnh Thắng Danh Sách Thành Viên: STT Họ tên Đỗ Hoàng Hiệp Bùi Ngọc Bảo Lê Huy Hoàng An Quang Ngọc Mã SV B17DCAT068 B17DCAT020 B17DCAT080 B17DCAT135 Hà Nội tháng năm 2021 Contents Báo Cáo Thuyết Trình nhóm .3 Snort .3 Cài đặt yêu cầu Cài đặt: .4 Kali or Ubuntu Kiến trúc, khối chức mối quan hệ khối chức Các tập luật 10 Tổng quan Rule 10 Rule Header 11 Rule Option 12 Công cụ sử dung để phục vụ công demo 12 SlowHTTPTest .13 Thực hành công DOS 13 Rule Header 15 Rule Options 15 Tấn công SYN FLOOD .19 Báo Cáo Thuyết Trình nhóm Snort Snort một hệ thống phát xâm nhập mạng mã nguồn mở miễn phí (IDS) hệ thống Ngăn chặn Xâm nhập Nguồn Mở (IPS) hàng đầu giới Snort IPS sử dụng loạt quy tắc giúp xác định hoạt động mạng độc hại sử dụng quy tắc để tìm gói phù hợp với chúng tạo cảnh báo cho người dùng a) IPS:  Hệ thống phòng chống xâm nhập (IPS) dạng an ninh mạng hoạt động để phát ngăn chặn mối đe dọa xác định. Hệ thống ngăn chặn xâm nhập liên tục giám sát mạng bạn, tìm kiếm cố nguy hiểm xảy nắm bắt thông tin chúng. IPS báo cáo kiện cho quản trị viên hệ thống thực hành động ngăn chặn, chẳng hạn đóng điểm truy cập cấu hình tường lửa để ngăn chặn công tương lai. Các giải pháp IPS sử dụng để xác định vấn đề với sách bảo mật cơng ty, ngăn chặn nhân viên khách hàng mạng vi phạm quy tắc mà sách có  Với nhiều điểm truy cập diện mạng doanh nghiệp điển hình, điều cần thiết bạn phải có cách để theo dõi dấu hiệu vi phạm tiềm ẩn, cố mối đe dọa xảy ra. Các mối đe dọa mạng trở nên tinh vi xâm nhập vào giải pháp bảo mật mạnh mẽ b) IDS:  IDS viết tắt Intrusion Detection System - Hệ thống Phát Xâm nhập  IDS hệ thống giám sát lưu lượng mạng nhằm phát thông báo tượng bất thường, hoạt động xâm nhập trái phép vào hệ thống  IDS phân biệt công từ bên (nội bộ) hay công từ bên (từ tin tặc)  IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạt chuẩn hệ thống chấp nhận thời điểm tại) để tìm dấu hiệu khác thường Snort triển khai nội tuyến để dừng gói Snort có ba mục đích sử dụng chính: Như trình dị tìm gói tin tcpdump, trình ghi gói tin - điều hữu ích cho việc gỡ lỗi lưu lượng mạng sử dụng hệ thống ngăn chặn xâm nhập mạng tồn diện Snort tải xuống định cấu hình để sử dụng cho cá nhân doanh nghiệp Cài đặt yêu cầu Cài đặt: Bước 1: Chúng ta truy cập snort.org tìm gói thích hợp cho hệ điều hành bạn  Đối với windows cần tải thêm số ứng dụng tương thích Winpcap Npcap  Đối với Kali hay Ubuntu ta cài theo package Bước 2: Đăng ký nhận mã Oinkcode Trang web khuyên nên đăng ký để nhận phát Đối với người đăng ký, việc tạo tài khoản Snort.org cung cấp cho bạn quyền truy cập vào gói quy tắc người dùng đăng ký Nhưng nên đăng ký để nhận Rules chuẩn từ nhà phát hành Bước 3: Đối với Windows tải máy Rules Bước 4: Chúng ta cần cấu hình Snort Windows Mở snort.conf Ta thay đổi đường dẫn đến rules Khi tệp snort.conf mở ra, thay đổi địa IP thành mạng lớp C thực tế bạn “192.168.132.0/24 Kali or Ubuntu Đầu tiên tải xuống Snort cài đặt Sau đó, Để xác minh phiên Snort, mở terminal nhập snort -V nhấn Enter Tiếp theo, cần định cấu hình giá trị HOME_NET: mạng mà bảo vệ Chúng nhập ifconfig vào vỏ thiết bị đầu cuối để xem cấu hình mạng Chúng tơi lưu ý địa IP giá trị giao diện mạng Tiếp theo, gõ lệnh sau để mở tệp cấu hình snort trình soạn thảo văn gedit: sudo nano /etc/snort/snort.conf Chúng nhập mật cho Máy chủ Khi tệp snort.conf mở ra, thay đổi địa IP thành mạng lớp C thực tế bạn “192.168.132.0/24 Tại thời điểm này, Snort sẵn sàng để chạy Kiến trúc, khối chức mối quan hệ khối chức Snort mở nguồn mạng lưới xâm nhập Phịng ngừa hệ thống, có khả biểu diễn thực tế-thời gian giao thông phân tích gói tin khai thác IP mạng lưới Nó biểu diễn giao thức phân tích, tìm kiếm / đối sánh nội dung sử dụng để phát nhiều loại công thăm dò, như tràn đệm, kỹ thuật qt tàng hình, CGI cơng, SMB thăm dò, Hệ điều hành dấu vân tay nỗ lực, nhiều - Snort bao gồm nhiều thành phần, phần có chức riêng biệt + Module giải mã gói tin (Packet Decoder) + Module tiền xử lý (Preprocessors) + Module phát (Detection Engine) + Module log cảnh báo (Logging and Alerting System) + Module kết xuất thông tin (Output Modules)  Module giải mã gói tin (Packet Decoder) - Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thông qua hệ thống qua cổng giao tiếp mạng, cổng là: Ethernet, Slip, …và giải mã Packet Decoder - Packet Decoder tạo cảnh báo riêng dựa vào phần header giao thức (các gói tin q dài, bất thường, khơng xác tùy chọn TCP) - Sau liệu giải mã đúng, chúng gửi đến Preprocessors  Module tiền xử lý (Preprocessors) - Preprocessors thực nhiệm vụ chính: + Kết hợp lại gói tin: Khi liệu lớn gửi đi, thông tin không đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Preprocessors giúp Snort hiểu phiên làm việc khác + Giải mã chuẩn hóa giao thức (decode/normalize): số Preprocessors Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thơng tin đầu vào [Ví dụ]: Web server nhận nhiều dạng URL: URL viết dạng hexa/unicode hay URL chấp nhận dấu / hay \ Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập + Phát xâm nhập bất thường (nonrule/anormal): plugin dạng thường để xử lý với xâm nhập khơng thể khó phát luật thơng thường Có plugin giúp phát xâm nhập bất thường:  Portscan: Portscan dùng để đưa cảnh báo kẻ công thực quét cổng để tìm lỗ hổng  Backoffice: dùng để đưa cảnh báo hệ thống nhiễm trojan backoffice  Module phát (Detection Engine) - Là phận quan trọng Snort chịu trách nhiệm phát dấu hiệu xâm nhập - Nó xác định có xâm nhập xảy hay không cách sử dụng luật định nghĩa trước(rule) để so sánh với dũ liệu thu thập - Vì Snort thường nhật nhiều gói tin thân Snort có nhiều rule nên hiệu suất hoạt động phận phụ thuộc yếu tố như: số lượng rule, cấu hình máy chạy Snort, tốc độ bus máy chạy Snort lưu lượng mạng - Detection Engine có khả tách phần gói tin áp dụng luật lên phần gói tin + IP header + Header tầng Transport: TCP, UDP + Header tầng Application: DNS, HTTP, FTP, … + Packet payload: tạo rule sử dụng Detection Engine để tìm kiếm chuỗi bên liệu gói tin - Nếu gói tin bị phát nhiều rule khác nhau, cảnh báo đưa theo luật có mức ưu tiên cao  Module log cảnh báo (Logging and Alerting System) - Tùy thuộc vào Detection Engine có phát xâm nhập hay không mà Logging and Alerting System lưu lại ghi nhận, thông báo dạng văn định dạng khác  Module kết xuất thông tin (Output Modules) - Output Module phụ thuộc vào việc ghi nhận, thông báo theo cách thức để xuất kết quả: + Ghi log file + Ghi syslog + Ghi cảnh báo vào CSDL + Tạo file log XML + Cấu hình lại Router, filewall + Gửi thơng tin SNMP Các tập luật Tổng quan Rule - Rule Header: chứa thông tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiểu chuẩn để áp dụng luật với gói tin - Rule Option: chứa thơng điệp cảnh báo thơng tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu huẩn phụ thêm để đối sánh với gói tin Tập rule Snort đơn giản để viết, đọc hiểu hay áp dụng Tuy 10 nhiên rule lại tương đối mạnh mẽ, phát hầu hết tất xâm nhập vào mạng hệ thống Sau so sáng gói tin vào với quy tắc hay với rule tập rule, Snort thực số hành động sau đây:  Log: Tuỳ theo dạng ghi log mà ta chọn gói tin ghi log theo dạng  Alert: Sinh cảnh báo tùy theo thông điệp (msg) mà ta muốn hiển thị cảnh báo  Pass: Snort cho phép gói tin qua vào mạng hệ thống Rule Header - Action: cho biết phải làm thấy gói tin phù hợp với rule Có hành động mặc định sau: + Pass: cho phép Snort bỏ qua gói tin + Log: dùng để log gói tin Có thể log vào file hay vào CSDL + Alert: gửi thông điệp cảnh báo dấu hiệu xâm nhập phát + Activate: tạo cảnh báo kích hoạt thêm luật khác để kiểm tra thêm điều kiện gói tin + Dynamic: luật gọi luật khác có hành động Activate - Protocol: Chỉ loại gói tin mà luật áp dụng + IP + ICMP + TCP + UDP - Source Address Destination Address: IP đơn dải mạng + any: áp dụng cho tất địa mạng 11 + address/32: áp dụng host + ![address]: loại trừ địa IP - Source Port Destination Port: áp dụng cho giao thức TCP UDP + Any ports: port + Static port: định port - Direction: đâu nguồn đâu đích + “” : hướng rule nguồn bên trái đến đích bên phải + “ $HOME_NET any (msg:"ICMP flood"; sid:1000001; rev:1; classtype:icmp-event; detection_filter:track by_dst, count 500, seconds 3;) 14 Đây quy tắc câu lệnh Rule Header  alert: Hành động quy tắc Snort tạo cảnh báo điều kiện đặt đáp ứng  any: IP nguồn Snort xem xét tất nguồn  any: Cổng nguồn Snort xem xét tất cổng  - >: Phương hướng Từ nguồn đến đích  $HOME_NET: IP đích Chúng tơi sử dụng giá trị HOME_NET từ tệp snort.conf  any: Cảng đích Snort xem xét tất cổng mạng bảo vệ Rule Options  msg:” ICMP flood”: Snort bao gồm thông báo với cảnh báo  sid:1000001: ID quy tắc ngắn Hãy nhớ tất số $HOME_NET 80 (flags: S; msg:"Possible DoS Attack Type : SYN flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 20, seconds 10;) Trong quy tắc này, thay đổi giao thức thành TCP đặt số cổng đích 80 Cờ từ khóa kiểm tra xem có bit cờ TCP cụ thể (trong trường hợp cờ SYN) hay không Khoảng thời gian lấy mẫu đặt thành 10 giây Nếu khoảng thời gian có 20 u cầu phát chúng tơi nhận cảnh báo Sau đó, chạy lại snort theo cách tương tự Một lần nữa, ta không thấy đầu nhập lệnh Snort khơng phát hoạt động định quy tắc viết Vì vậy, tạo số hoạt động xem liệu quy tắc chúng tơi có hoạt động hay khơng 17 Bắt đầu khởi chạy máy ảo Sau đó, ta chạy công cụ hping3 để khởi chạy công tràn vào máy chủ cục lần sử dụng gói SYN Ở thấy cảnh báo tạo cho gói TCP có yêu cầu SYN vượt giá trị đếm định khoảng thời gian lấy mẫu với văn thông báo mà ta định tùy chọn tin nhắn Tại đây, thấy địa IP nguồn máy chủ chịu trách nhiệm hoạt động tạo cảnh báo 18 Sau đó, dừng Snort quay lại lời nhắc cách nhấn Ctrl + C Tấn công SYN FLOOD Ta sửa rule file local.rules với luật mới: alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Possible DoS Attack Type : SYN flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 20, seconds 10;) 19 Trong quy tắc này, thay đổi giao thức thành TCP đặt số cổng đích 80 Cờ từ khóa kiểm tra xem có bit cờ TCP cụ thể (trong trường hợp cờ SYN) hay không Khoảng thời gian lấy mẫu đặt thành 10 giây Nếu khoảng thời gian có 20 u cầu phát nhận cảnh báo Chạy snort bước Ở ta sử dụng công cụ slowhttptest thực công lệnh: - c số lượng kết nối - i khoảng thời gian truyền liệu - r kết nối giây - x độ dài ngân nhiên gửi header body request - p thời gian chờ phản hồi HTTP kết nối thăm dò, sau máy chủ coi khơng thể truy cập được: sudo slowhttptest -c 140 -H -g -o /output_file -i 10 -r 200 -t GET -u http://192.168.0.104/ -x 24 -p 20 Ở kết qua slowhttptest cho thấy serivce server nạn nhận hoạt động truy cập vào trang server ta tăng số lượng kết nối c lên 500 người dùng truy cập lệnh: sudo slowhttptest -c 500 -H -g -o /output_file -i 10 -r 200 -t GET -u http://192.168.0.104/ -x 24 -p 21 Ta thu kết bên console snort thông báo công SYN Flood 22 Kết thu snort phát SYN Flood 23 ... giá trị giao diện mạng Tiếp theo, gõ lệnh sau để mở tệp cấu hình snort trình soạn thảo văn gedit: sudo nano /etc /snort/ snort.conf Chúng nhập mật cho Máy chủ Khi tệp snort. conf mở ra, thay đổi... mẫu đặt thành giây Bây giờ, bắt đầu Snort chế độ IDS yêu cầu hiển thị cảnh báo cho bảng điều khiển: sudo snort -A console -c /etc /snort/ snort.conf -i eth0 Ở trỏ Snort đến tệp cấu hình mà sử dụng... động sau đây:  Log: Tuỳ theo dạng ghi log mà ta chọn gói tin ghi log theo dạng  Alert: Sinh cảnh báo tùy theo thông điệp (msg) mà ta muốn hiển thị cảnh báo  Pass: Snort cho phép gói tin qua