Phần II: Hệ thống phát hiện xâm nhập Snort 1 Tổng quan về Snort
1.1.Packet Decoder (Bộ giải mã gói tin):
Thông qua Card mạng và dây dẫn, bộ giải mã gói tin xác định giao thức nào đang dùng và kết nối dữ liệu dựa trên những hành vi cho phép của các gói tin. Nó giải mã các gói tin từ nhiều dạng khác nhau của mạng (Ethernet, SLIP, PPP....) để chuẩn bị cho giai đoạn tiền xử lý. Packet Decoder có thể tạo ra những cảnh báo dựa trên sự phát hiện những giao thức khác lạ, những gói tin quá dài, những tùy chọn TCP lạ hoặc những hành động khác. Lưu ý là chúng ta nên giới hạn bớt những cảnh báo của Packet Decoder bằng cách vào snort.conf để chỉnh lại những mặc định sẵn có lúc cài đặt. Sau khi được giải mã gói tin được chuyển tới bộ tiền xử lý, nếu điều này được định nghĩa trong file snort.conf.
Hình 2.2: Sơ đồ giải mã gói tin 1.2. PreProcessers (Các bộ tiền xử lý)
Bộ phận này đóng vai trò khá quan trọng, cho phép phân tích các gói tin theo các cách có lợi nhất cho chúng ta theo những lựa chọn đã định. Nếu không
có quá trình này thì chúng ta chỉ nhận các gói tin từ truyền tới trong dạng những gói tin riêng biệt, điều này có thể là nguyên nhân dẫn đến việc bỏ lỡ phát hiện nhiều tấn công.
Các dữ liệu chỉ tới bộ tiền xử lý sau khi đã qua bộ giải mã. Snort 2.4.4 cung cấp nhiều cách tiền xử lý như cấu hình quá trình phát hiện cổng, tái hợp các mảnh của TCP, thông qua luồng dữ liệu để phát hiện những những hoạt động bất
thường và một số tùy chọn khác.
Bộ tiền xử lý là các công cụ sẵn có hoặc những phần thêm vào để sắp xếp hoặc định dạng các gói tin trước khi Detection Engine làm một số tác vụ để tìm ra xâm nhập. Mỗi phần tiền xử lý của Snort đều làm những công việc chung tương tự nhau: lấy dữ liệu từ các gói tin đã được giải mã và áp dụng các quy tắc của nó tìm ra những hành vi khác thường và tạo những cảnh báo. Cụ thể là nó có thể phân mảnh các gói tin, giải mã URI, tái hợp các luồng TCP....(Khi một gói tin đã được phân mảnh thì cần giai đoạn tiền xử lý nối các gói tin lại để có thể làm việc với chúng. Hoặc khi bị hacker lừa bằng cách xáo trộn hoặc thêm vào các ký tự mà WebServer có thể hiểu nhưng IDS lại bị lừa, giai đoạn tiền xử lý cần để sắp xếp lại để IDS có thể phát hiện).
Chúng ta sẽ phân tích 2 ví dụ, là 2 cách hoạt động tiêu biểu của Preprocessers: