Phần Rule Option là phần nằm ngay sau phần Rule Header và được đặt trong dấu ngoặc đơn. Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng dấu chấm phẩy ”;”. Nếu nhiều option được sử dụng thì các option này phải đồng thời được thoã mãn tức là theo logic các option này liên kết với nhau bằng AND.
72
Mọi option được định nghĩa bằng các từ khoá. Một số các option còn chứa các tham số. Nói chung một option gồm 2 phần: một từ khoá và một tham số, hai phần này phân cách nhau bằng dấu hai chấm “:”. Ví dụ đã dùng:
msg: “Detected confidented”;
Trong đó: msg là từ khoá còn “Detected confidented” là tham số.
Trong phần option, gồm có nhiều từ khóa như ack, classtype, content, dept, icode, ipopts, ip_proto, logto, nocase, sameip, session,…Chi tiết có thể tham khảo tại tài liệu ([5]).
3.2.3.5 Ƣu nhƣợc điểm của Snort
Ƣu điểm:
- Mã nguồn mở.
- Thực hiện trong suốt với người dùng.
- Chạy trên nhiều hệ điều hành: Linux, Windows, MacOS X... - Có đầy đủ tính năng của một hệ thống IDS
Nhƣợc điểm:
Đòi hỏi người định nghĩa tập luật phải có rất nhiều kinh nghiệm trong lĩnh vực IDS. Tập luật được định nghĩa bằng phương pháp này sẽ bỏ sót nhiều tấn công mới hoặc những tấn công mà người định nghĩa không biết. Việc định nghĩa cần phải bỏ ra nhiều công sức hơn các phương pháp khác.
73
CHƢƠNG 4: TRIỂN KHAI VÀ THỰC NGHIỆM HỆ THỐNG
Hiện nay, trên thế giới nói chung và tại Việt Nam nói riêng việc có một mô hình phòng chống tấn công DDoS thực sự phổ biến cho nhiều cơ quan, doanh nghiệp áp dụng vẫn đang là dấu hỏi lớn. Với trình độ và kỹ thuật của tin tặc hiện nay, thêm vào đó là hạ tầng mạng phát triển mạnh mẽ, trong khi nhiều cơ quan, tổ chức chưa quan tâm đến vấn đề đảm bảo an toàn cho các hệ thống thông tin, ý thức của cộng đồng trong việc chia sẻ tài nguyên chưa cao, nhận thức của đại đa số người dùng trong việc ngăn chặn và sử dụng các biện pháp kỹ thuật để hạn chế sự lây nhiễm virus, lây lan botnet cũng chưa tốt. Vì vậy, thực trạng về tấn công DDoS càng nhức nhối. Để giải quyết tốt vấn đề này, cần chung tay vào cuộc của nhiều cá nhân, tổ chức, quốc gia trên thế giới chung sức, chung lòng thì viễn cảnh giảm thiểu tác hại do tấn công DDoS mới sáng sủa. Đối với chuyên gia an toàn thông tin, cá nhân phụ trách các thông tin không còn cách nào khác là phải phối hợp, hợp tác với nhiều cá nhân, tổ chức khác nhau trong việc nghiên cứu, đề xuất giải pháp đảm bảo an toàn cho hệ thống thông tin của mình quản lý thực sự phù hợp về kiến trúc, kỹ thuật, cơ chế quản lý, quản trị, vận hành và đặc biệt là vấn đề tài chính. Cần xây dựng một mạng lưới sâu rộng để phòng chống tấn công DdoS. Chính vì lẽ đó, việc đề xuất triển khai hệ thống phát hiện để giảm thiểu tấn công DDoS của tác giả theo mô hình tại vị trí đích của mạng máy chủ bị tấn công tương đối phù hợp với điều kiện thực tế của các đơn vị, cụ thể theo mô hình sau:
74
Tuy nhiên, do thời gian và năng lực hạn chế, thêm vào đó điều kiện thiết bị chuyên dụng còn thiếu nên chỉ mới triển khai thực nghiệm về phát hiện và cảnh báo tấn công trên IDS, việc cập nhật kết quả cảnh báo hoặc nghi ngờ tấn công vào thiết bị ngăn chặn tấn công (firewall, iptables, router,…) sẽ được tác giả nghiên cứu trong quá trình công tác thời gian tới, cụ thể mô thực nghiệm tác giả thực hiện như hình sau:
Hình 4.2 Mô hình tác giả triển khai thực nghiệm
Nhìn vào hình 4.1 và 4.2 ở trên, có thể thấy khác biệt duy nhất là việc đề xuất mô hình phòng chống tấn công DDoS và mô hình triển khai thực nghiệm là thiếu thiết bị IPS. Với thực nghiệm này, việc triển khai NIDS và thiết lập tham số, ngưỡng phù hợp cho NIDS này là quan trọng nhất, và tác giả sẽ sử dụng 03 máy chủ ảo bao gồm:
- 01 máy chủ ứng dụng web, cài đặt hệ điều hành Windows Server 2008
- 01 máy chủ giám sát, cảnh báo của hệ thống, cài đặt hệ điều hành CentOS 6.5 và cài đặt ứng dụng Snort, hệ quản trị CSDL MySQL, barnyard, BASE
- 01 máy trạm để tạo nguồn tấn công vào máy chủ web, cài KALI Linux phiên bản 1.1.0.
Kịch bản sơ bộ của thực nghiệm như sau: Tiến hành truy cập, sử dụng ứng dụng web khi đã bật hệ thống phát hiện và cảnh báo, chưa có cuộc tấn công hoặc dấu hiệu nào tấn công vào máy chủ web. Kiểm tra có cảnh báo hay không? Sau đó,
75
tiến hành sử dụng nguồn tấn công để tấn công vào máy chủ web, tiến hành xem kết quả thu được của NIDS và thử truy cập lại ứng dựng web
Ngoài ra, có thể dùng máy thật làm máy trạm của người dùng truy cập vào ứng dụng web, cài Windows 7.