HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I BÀI TẬP LỚN MÔN HỌC: KỸ THUẬT THEO DÕI & GIÁM SÁT MẠNG CHỦ ĐỀ: “SNORT – PHÁT HIỆN XÂM NHẬP” Giảng viên : ThS.HOÀNG MẠNH THẮNG Nhóm : 12 Thành viên nhóm : NGUYỄN MẠNH TÂM – B17DCAT159 TRẦN ĐỨC NHÂN – B17DCAT136 NGUYỄN VĂN KỲ – B17DCAT108 NGUYỄN VĂN QUANG – B17DCAT148 HOÀNG ĐĂNG KHÔI – B17DCAT107 Hà Nội, năm 2021 MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC HÌNH ẢNH CHƯƠNG I: TÌM HIỂU VỀ IDS 1.1 Hệ thống IDS 1.2 Chức IDS 1.2.1 Giám sát 1.2.2 Phân Tích 1.2.3 Bảo vệ cảnh báo 1.3 Quy trình hoạt động IDS 1.3.1 Quy trình 1.3.2 Phân loại IDS 1.4 Mơ hình chung 12 1.4.1 Mơ hình 12 1.4.2 Cơ chế hoạt động 13 1.4.3 Phát bất thường 13 1.4.4 Phát xâm nhập lạm dụng 14 CHƯƠNG II: GIỚI THIỆU SNORT 16 2.1 Tổng quan Snort 16 2.2 Các chế độ hoạt động Snort 17 2.2.1 Sniffer mode (chế độ đánh hơi) 17 2.2.2 Packet logger mode (chế độ ghi log gói tin) 17 2.2.3 NIDS mode (Network Intrusion Detection System Mode) 18 2.3 Các thành phần Snort 19 2.3.1 Packet Decoder 20 2.3.2 Preprocessor 20 2.3.3 Detection Engine 21 2.3.4 Logging and Alert System 22 2.3.5 2.4 Ouput 22 Rule 22 2.4.1 Tổng quan Rule 22 2.4.2 Cấu trúc Rule 23 CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM 28 3.1 Cài đặt cấu hình 28 3.2 Demo thử nghiệm 31 3.2.1 Chuẩn bị 31 3.2.2 Tấn công ICMP FLOOD 33 3.2.3 Tấn công SYN FLOOD 37 3.2.4 Tấn công XSS 41 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt CSDL DOS HIDS HTTP IDP IP IPS NIDS OS XSS Từ viết đầy đủ Cơ sở liệu Disk Operating System Host-Based Intrusion Detection System Hypertext Transfer Protocol Intrusion Detection Systems Internet Protocol Intrusion Prevention System Network intrusion detection system Operating System Cross Site Scripting DANH MỤC HÌNH ẢNH Hình 1: Các hệ thống phát công xâm nhập Hình 2: Ví trí NIDS hệ thống 10 Hình 3: Ví trí HIDS hệ thống 11 Hình 4: Mơ hình hệ thống IDS 12 Hình 5: Các vị trí điển hình để cài đặt Snort 17 Hình 6: file snort.conf 18 Hình 7: Thành phần Snort 19 Hình 8: Thành phần Snort 20 Hình 9: Thành phần Snort 23 Hình 10: Thành phần rule 23 Hình 11: Thành phần rule 24 Hình 12: Thành phần rule 25 Hình 13: Thành phần rule 26 Hình 14: Thành phần rule 27 Hình 15: Đổi địa IP 28 Hình 16: Thiết lập đường dẫn đến thư mục chứa tập rule 28 Hình 17: Thiết lập đường dẫn đến thư mục chứa tập rule 29 Hình 18: Thiết lập đường dẫn đến thư mục dynamicpreprocessor với dynamicengine 29 Hình 19: Thiết lập đường dẫn đến thư mục dynamicpreprocessor với dynamicengine 29 Hình 20: Thiết lập đường dẫn đến thư mục dynamicpreprocessor với dynamicengine 30 Hình 21: Xác định interface number máy chạy Snort 30 Hình 22: Chạy Snort chế độ IDS thành công 31 Hình 23: Config Snort 32 Hình 24: Máy chủ Apache nạn nhân 32 Hình 25: Cài rule cho IDS IMCP Flood 33 Hình 26: Chạy snort với rule cho ICMP 35 Hình 27: Thực công máy nạn nhân 35 Hình 28: Snort xuất cảnh báo ICMP Flood 36 Hình 29: Thông số Snort 37 Hình 30: Rule cho cảnh báo SYN Flood 38 Hình 31: Tấn công mức service nạn nhân hoạt động 39 Hình 32: Tấn công làm ngừng service nạn nhân 40 Hình 33: Kết thu snort phát SYN Flood 40 Hình 34 Luật rules XSS-injection 41 Hình 35 Snort khởi chạy với rules 41 Hình 36 IP máy cài snort 42 Hình 37 Khởi chạy DVWA máy ubuntu 43 Hình 38 Kết sau công XSS máy Ubuntu 44 Hình 39 Thơng báo máy snort 45 CHƯƠNG I: TÌM HIỂU VỀ IDS 1.1 Hệ thống IDS IDS (Intrucsion Deletion System) hệ thống giám sát lưu lượng mạng (có thể phần cứng phần mềm), có khả nhận biết hoạt động khả nghi hay hành động xâm nhập trái phép hệ thống mạng tiến trình cơng (FootPrinting, Scanning, Sniffer, …), cung cấp thông tin đưa cảnh báo cho hệ thống nhà quản trị Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép đưa cảnh báo phù hợp Các hệ thống IDS đặt trước sau tường lửa, tùy theo mục đích sử dụng Hình 1: Các hệ thống phát công xâm nhập 1.2 Chức IDS 1.2.1 Giám sát Giám sát liệu mạng ác hoạt động khả nghi mạng, giám sát thiết bị dịch vụ mạng, giám sát tài nguyên hệ thống Hệ thống giám sát lưu lượng hỗ trợ cho người quản trị mạng giám sát lưu lượng trao đổi thiết bị mạng Nó hoạt động thời gian thực thể lưu lượng giao tiếp mạng (các giao tiếp Router, Switch, Server, …), hoạt động CPU, RAM cách trực quan thông qua đồ thị, … Ðiều giúp người quản trị mạng có phân tích tình trạng hoạt động thiết bị mạng hệ thống cách trực quan 1.2.2 Phân Tích Phân tích gói tin mà firewall cho phép qua, tìm kiếm dấu hiệu công từ dấu hiệu biết thơng qua phân tích kiện bất thường, từ ngăn chặn cơng trước gây hậu xấu với hệ thống mạng 1.2.3 Bảo vệ cảnh báo Báo cáo tình trạng mạng cho nhà quản trị Hệ thống báo động thành phần quan trọng hệ thống giám sát mạng Hệ thống báo động giúp người quản trị mạng nắm bắt trạng thái hoạt động hệ thống mạng Cảnh báo lưu vào file (log file) vào sở liệu để nhà quản trị mạng xem lại Cảnh báo có thể, hình, đăng nhập email, tin nhắn điện thoại nhiều cách khác 1.3 Quy trình hoạt động IDS 1.3.1 Quy trình Bước 1: host tạo gói tin mạng Bước 2: cảm biến mạng đọc gói tin khoảng thời gian trước gửi khỏi mạng cục Bước 3: chương trình phát nằm cảm biến kiểm tra xem gói tin có dấu hiệu vi phạm hay không Bước 4: giao diện lệnh điều khiển nhận cảnh báo gửi thơng báo cho người nhóm định từ trước Bước 5: phản hồi khởi tạo theo quy định ứng với xâm nhập Bước 6: cảnh báo lưu lại để tham khảo tương lai Bước 7: báo cáo chi tiết cố tạo Bước 8: cánh báo so sánh với liệu khác để xác định xem có phải hay khơng 1.3.2 Phân loại IDS Network-based IDS (NIDS): NIDS kiểm tra luồng liệu mạng giám sát nhiều máy trạm, NIDS truy nhập vào luồng thông tin mạng cách kết nối vào Hub, Switch để bắt gói tin, phân tích nội dung gói tin từ đưa cảnh báo Hình 2: Ví trí NIDS hệ thống 1.3.3 Ưu điểm, Nhược Điểm NIDS  Ưu điểm  Quản lý network segment (gồm nhiều host)  Cài đặt bảo trì đơn giản, khơng ảnh hưởng đến mạng  Tránh DOS ảnh hưởng tới host  Có khả xác định lỗi tang Network  Nhược điểm  Có thể sảy trường hợp báo động giả  khơng thể phân tích liệu mã hóa (VD: SSH, SSL, …)  NIDS đòi hỏi phải cập nhật singture để thực an tồn  Có độ trễ thời điểm bị công thời điểm phát báo động  Hạn chế lớn giới hạn băng thơng Hình 22: Chạy Snort chế độ IDS thành công 3.2 Demo thử nghiệm 3.2.1 Chuẩn bị  Máy ảo cài kali o Ip: 192.168.0.109 o Cài đặt Snort o Cài đặt sử dụng công cụ slowhttptest dùng để công DOS SYN flood o Sử dụng Hping3 công DOS ICMP flood o Config file snort.config Hình 23: Config Snort  Máy nạn nhân o Ip: 192.168.0.104 o Cài đặt xampp, bật máy chủ server Apache Hình 24: Máy chủ Apache nạn nhân Do sử dụng máy ảo để làm nên nhóm em demo máy kali cài Snort 3.2.2 Tấn công ICMP FLOOD Tại thời điểm Snort sẵn sàng để chạy ngoại trừ, khơng có quy tắc tải Bây viết quy tắc cho phép snort phát cơng DoS Mở tệp local.rules trình soạn thảo văn dạng root lệnh sau: sudo gedit /etc/snort/rules/local.rules Sau đó, chúng tơi nhập sau: alert icmp any any -> $HOME_NET any (msg:"ICMP flood"; sid:1000001; rev:1; classtype: icmp-event; detection_filter:track by_dst, count 500, seconds 3;) Hình 25: Cài rule cho IDS IMCP Flood Đây quy tắc câu lệnh Rule Header  alert: Hành động quy tắc Snort tạo cảnh báo điều kiện đặt đáp ứng  any: IP nguồn Snort xem xét tất nguồn  any: Cổng nguồn Snort xem xét tất cổng  - >: Phương hướng Từ nguồn đến đích  $HOME_NET: IP đích Chúng tơi sử dụng giá trị HOME_NET từ tệp snort conf  any: Cảng đích Snort xem xét tất cổng mạng bảo vệ Rule Options  msg:” ICMP flood”: Snort bao gồm thông báo với cảnh báo  sid:1000001: ID quy tắc ngắn Hãy nhớ tất số $HOME_NET 80 (flags: S; msg:"Possible DoS Attack Type : SYN flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 20, seconds 10;) Hình 30: Rule cho cảnh báo SYN Flood Trong quy tắc này, thay đổi giao thức thành TCP đặt số cổng đích 80 Cờ từ khóa kiểm tra xem có bit cờ TCP cụ thể (trong trường hợp cờ SYN) hay không Khoảng thời gian lấy mẫu đặt thành 10 giây Nếu khoảng thời gian có 20 u cầu phát chúng tơi nhận cảnh báo Chạy snort bước Ở ta sử dụng công cụ slowhttptest thực công lệnh: - c số lượng kết nối - i khoảng thời gian truyền liệu - r kết nối giây - x độ dài ngân nhiên gửi header body request - p thời gian chờ phản hồi HTTP kết nối thăm dị, sau máy chủ coi truy cập sudo slowhttptest -c 140 -H -g -o /output_file -i 10 -r 200 -t GET -u http://192.168.0.104/ -x 24 -p Hình 31: Tấn cơng mức service nạn nhân hoạt động Ở kết qua slowhttptest cho thấy serivce server nạn nhận hoạt động truy cập vào trang server ta tăng số lượng kết nối c lên 500 người dùng truy cập lệnh: sudo slowhttptest -c 500 -H -g -o /output_file -i 10 -r 200 -t GET -u http://192.168.0.104/ -x 24 -p Hình 32: Tấn cơng làm ngừng service nạn nhân Ta thu kết bên console snort thông báo cơng SYN Flood Hình 33: Kết thu snort phát SYN Flood Kết thu snort phát SYN Flood 3.2.4 Tấn công XSS Ta thêm file rules có tên XSS-injection.rules folder fules với luật sau: Hình 34 Luật rules XSS-injection Chạy lệnh snort để bắt đầu chế độ IDS: “snort -c C:\Snort\etc\snort.conf -A console -i 6” Hình 35 Snort khởi chạy với rules Ở trỏ Snort đến tệp cấu hình mà sử dụng (-c) định giao diện (-i eth0) Tùy chọn bảng điều khiển -A in cảnh báo đầu tiêu chuẩn Chúng ta không thấy đầu nhập lệnh Snort khơng phát thấy hoạt động định quy tắc viết Thực công XSS vào webserver quan sát hình cảnh báo để xem luật có thực hay không Ở thực demo web DVWA cài đặt máy snort để giám sát Vào xampp  bật Appache Mysql Mở cmd  gõ ipconfig để xem ip máy snort Hình 36 IP máy cài snort Ở máy ảo Ubuntu thực vào trang DVWA máy snort chọn XSS( Reflected) Hình 37 Khởi chạy DVWA máy ubuntu Thực nhập “?name=alert("XSS");” máy Ubuntu ta có kết sau: Hình 38 Kết sau công XSS máy Ubuntu Và cảnh báo snort đưa ra: Hình 39 Thông báo máy snort ... độ Snort, phải tùy chỉnh cấu hình file snort. conf file nằm folder etc Snort File conf chứa các thơng tin cấu hình rule reference Snort Hình 6: file snort. conf 2.3 Các thành phần Snort Bên Snort. .. interface number máy chạy Snort  Chạy Snort chế độ IDS/IPS với câu lệnh: snort -i -c c: Snort etc snort. conf -A console (6 interface number mạng hệ thống chạy Snort) Hình 22: Chạy Snort chế độ IDS thành... Bây giờ, bắt đầu Snort chế độ IDS yêu cầu hiển thị cảnh báo cho bảng điều khiển: sudo snort -A console -c /etc /snort/ snort.conf -i eth0 Hình 26: Chạy snort với rule cho ICMP Ở trỏ Snort đến tệp