6. Bố cục của luận văn
2.3.1.2. Module tiền xử lý
Module tiền xử lý của Snort đóng một vai trò rất quan trọng với nhiều chức năng khác nhau phát hiện các protocol không hợp lệ, phát hiện thông qua các số liệu thu thập đƣợc hoặc phát hiện trực tiếp mà không cần dựa vào rule.
Module tiền xử lý là một đoạn code đƣợc biên dịch vào Snort nhằm xây dựng lại packet, traffic flow và kiểm tra traffic trong mạng để phát hiện tấn công và cảnh báo.
Protocol Decoder Traffic đầu tiên phải đi vào decoder, để decode thông tin ban đầu
IP
Defragmentation (frag3)
frag3 là module tiền xử lý để xây dựng lại gói tin từ những gói tin đã bị phân mảnh trong quá trình truyền
Stateful Inspection (stream5)
stream5 sau đó sẽ kiểm tra xem gói tin đó có phải là một phần của session hay không.
Stream Reasesembly (stream5)
stream5 tiến hành xây dựng lại gói tin thành 1 TCP stream từ những thông tin nó thu đƣợc.
Application
Layer Module tiền xử lý
Những module tiền xử lý này đƣợc dùng để xây dựng lại những gói tin, protocol thông thƣờng và thậm chí có thể đƣa ra cảnh báo nếu cần.
Module phát hiện Sau cùng gói tin sẽ đƣợc chuyển cho detection engine để tiến hành đánh giá dựa vào các rule.
Bảng 2.1. Các module tiền xử lý
Module tiền xử lý frag3 đƣợc phát triển nhằm thay thế cho frag2, frag3 có tốc độ xử lý nhanh hơn frag2, quản lý data phức tạp hơn frag2 và chống những thủ thuật nhằm vƣợt qua frag2.
Module tiền xử lý frag3 đƣa ra khái niệm “target-base” IDS, tức là frag3 sẽ xây dựng lại gói tin bị phân mảnh dựa vào địa chỉ đích mà gói tin sẽ đến. Bởi vì mỗi hệ điều hành xây dựng lại gói tin theo một các khác nhau và Snort không hề biết địa
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ chỉ đích của gói tin mà nó đang ráp mảnh là hệ điều hành gì. Một gói tin có thể xem là bình thƣờng với hệ điều hành này, nhƣng nó có thể đƣợc xem là bất thƣờng với một hệ điều hành khác.
Module tiền xử lý frag3 xây dựng lại gói tin từ những phân mảnh sau đó đẩy gói tin đi. Gói tin đƣợc log lại hoặc có thể đi qua module tiền xử lý tiếp theo và quy trình kiểm tra một lần nữa. Điều này có nghĩa là traffic sẽ đƣợc phân tích hai lần, trƣớc phân mảnh và sau khi phân mảnh.
Module tiền xử lý stream5 là một module tiền xử lý dành cho việc thiết lập lại các TCP session, giống nhƣ frag3 stream5 cung cấp chức năng target-based. Ngoài ra stream5 có thể theo dõi cả TCP và UDP session. Module tiền xử lý stream5 thay thế cho cả stream4 và flow. Vì stream5 là sự thay thế của stream4, do đó cả hai không thể đƣợc sử dụng đồng thời, nếu sử dụng stream5 thì phải gỡ bỏ stream4 và flow module tiền xử lý. Với stream5, flow và flowbits trong rule option đều có thể sử dụng. [5]
Chức năng
Transport protocol
Một TCP session đƣợc bắt đầu bằng three way handshake protocol và kết thúc bằng cờ FIN và đƣợc hai bên xác nhận bằng cờ ACK. Với UDP một session đƣợc xác định thông qua một chuỗi các gói tin UDP đƣợc trao đổi giữa 2 bên thông qua các port. ICMP sẽ đƣợc theo dõi cho mục đích kiểm tra unreachable và unavailable service của TCP và UDP.
Target-based
Module tiền xử lý stream5 cũng giống nhƣ frag3, stream5 đƣa ra khái niệm target-based để xử lý hiện tƣợng dữ liệu trùng lắp giữa những gói tin và những giao dịch TCP bất thƣờng. Phƣơng pháp dùng để xử lý trùng lắp dữ liệu, TCP Timestamps, Data on SYN, FIN và khởi tạo lại sequence numbers…và policy hỗ trợ bởi stream5 là kết quả của việc mở rộng nghiên cứu trên nhiều hệ điều hành khác nhau để có từng policy cụ thể cho từng hệ đều hành.
Stream API
Module tiền xử lý stream5 hỗ trợ stream API, cho phép các bộ phận kiểm tra tính hợp lệ của protocol và module tiền xử lý cấu hình việc tập hợp gói tin theo yêu
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ cầu của ứng dụng ở lớp của application, xác định session nào nên bỏ qua và cập nhật thông tin nhận dạng về session nhƣ protocol, hƣớng gói tin…
Nhận dạng sự bất thường
Protocol TCP bất thƣờng, thƣờng là những gói tin SYN nhƣng có kèm theo data hay dữ liệu nằm ngoài TCP windows size…những chức năng này thƣờng đƣợc cấu hình thông qua tùy chọn detect_anomalies của Stream5 TCP module tiền xử lý. Một số module tiền xử lý khác đƣợc Snort dùng để xây dựng lại các application protocol nhƣ arpspoof, sfPortscan,rpe_decode, http-inspect, ftp_telnet, ssh module tiền xử lý…[5]