CHƯƠNG 5 : PHÂN TÍCH MỘT SỐ LUẬT TRONG SNORT
5.1. Khảo sát luật scan
Quá trình scanning thực chất là quá trình thu thập các thông tin về hệ thống một cách trực tiếp. Các bước thực hiện bao gồm: Xác định hệ thống có đang “sống” hay không -> Kiểm tra xem các port nào đang được mở -> Xác định các dịch vụ đang chạy trên hệ thống tương ứng với các port đang mở đó -> Xác định banner của từng dịch vụ, hệ điều hành và phiên bản tương ứng với các dịch vụ đó -> Kiểm tra lỗi của các dịch vụ đang chạy -> Chuẩn bị tấn công.
Một công cụ mạnh mẽ thường được sử dụng đó là nmap. Nmap hỗ trợ nhiều kiểu scan khác nhau như: TCP, Null, Xmas, SYN, FIN scan hoặc các kỹ thuật xác định phiên bản hệ điều hành.
5.1.1. FIN Scan
Luật dưới đây được viết để phát hiện kỹ thuật FIN Scan. FIN Scan là kỹ thuật mà nmap sẽ gửi một loạt các gói tin đến mục tiêu với cờ duy nhất cờ FIN được thiết lập ở trường flags của IP Header.
Cú pháp: nmap –sF <target>
msg: "BLEEDING-EDGE SCAN NMAP -f -sF"; tùy chọn này thể
hiện thông báo kỹ thuật FIN Scan với tùy chọn –f có nghĩa là gửi các gói tin phân mảnh.
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:
"BLEEDING-EDGE SCAN NMAP -f -sF"; fragbits: !M; dsize: 0;
flags:F;ack:0;window: 2048; reference:arachnids,162;
62
fragbits: !M; Trường Flag của IP Header sẽ khớp với luật nếu có giá
trị khác với giá trị “M”.
dsize: 0; Kích thước phần dữ liệu của phân mảnh bằng 0.
flags: F; Trường TCP Flag trong TCP Header có giá trị F (cờ FIN được
thiết lập).
ack: 0; window: 2048; Số ack có giá trị bằng 0 và số lượng bytes dữ
liệu trong vùng cửa số phát của TCP Header.
reference:arachnids,162; Tham chiếu tới website
http://www.whitehats.com/info/IDS mục 162.
classtype: attempted-recon; Phân loại luật này vào mục
attempted-recon.
sid: 2000543; rev:3; Số hiệu của luật này là 2000543 và là lần cập
nhật thứ 3.
5.1.2. NULL Scan
Luật dưới đây được viết để phát hiện kỹ thuật Null Scan bằng nmap. Null Scan là một kỹ thuật tương tự như FIN Scan nhưng thay vì gán cờ FIN trong trường flags của IP Header thì Null Scan không gán cờ gì cho trường này.
Cú pháp: nmap –sN <target>
msg: "BLEEDING-EDGE SCAN NMAP -f -sN"; tùy chọn này thể
hiện thông báo kỹ thuật Null Scan với tùy chọn –f có nghĩa là gửi các gói tin phân mảnh.
fragbits: !M; Trường Flag của IP Header sẽ khớp với luật nếu có giá
trị khác với giá trị “M”.
dsize: 0; Kích thước phần dữ liệu của phân mảnh bằng 0.
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:
"BLEEDING-EDGE SCAN NMAP -f -sN"; fragbits: !M; dsize: 0;
flags:0;ack:0; window:2048; reference:arachnids,162;
63
flags: 0; Trường TCP Flag trong TCP Header có giá trị 0 (không có cờ
nào được thiết lập).
ack: 0; window: 2048; Số ack có giá trị bằng 0 và số lượng bytes dữ
liệu trong vùng cửa số phát của TCP Header.
reference:arachnids,162; Tham chiếu tới website
http://www.whitehats.com/info/IDS mục 162.
classtype: attempted-recon; Phân loại luật này vào mục
attempted-recon.
sid: 2000544; rev:3; Số hiệu của luật này là 2000543 và là lần cập
nhật thứ 3.
5.1.3. XMAS Scan
XMAS Scan sẽ gửi các gói tin với 3 cờ được thiết lập đó là FIN, URG và PUSH. Nếu cổng dịch vụ đó mở thì không có sự phản hồi nào. Nhưng nếu cổng dịch vụ đó đóng thì gói tin với cờ RST/ACK được gửi phản hồi.
Cú pháp: nmap –sX <target>
msg: "BLEEDING-EDGE SCAN NMAP -f -sX"; tùy chọn này thể
hiện thông báo kỹ thuật Xmas Scan với tùy chọn –f có nghĩa là gửi các gói tin phân mảnh.
fragbits: !M; Trường Flag của IP Header sẽ khớp với luật nếu có giá
trị khác với giá trị “M”.
dsize: 0; Kích thước phần dữ liệu của phân mảnh bằng 0.
flags: FPU; Trường TCP Flag trong TCP Header có giá trị FPU (gán 3
cờ FIN, URG và PUSH).
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:
"BLEEDING-EDGE SCAN NMAP -f -sX"; fragbits: !M; dsize: 0;
flags:FPU;ack:0; window:2048; reference:arachnids,162;
64
ack: 0; window: 2048; Số ack có giá trị bằng 0 và số lượng bytes dữ
liệu trong vùng cửa số phát của TCP Header.
reference:arachnids,162; Tham chiếu tới website
http://www.whitehats.com/info/IDS mục 162.
classtype: attempted-recon; Phân loại luật này vào mục
attempted-recon.
sid: 2000545; rev:3; Số hiệu của luật này là 2000543 và là lần cập
nhật thứ 3.