2. Cài đặt Snort
3.3.2.frag2 preprocessor (Bộ tiền xử lý phân mảnh)
Khi một gói tin được truyền từ mạng này sang mạng khác, nó có thể bị phân mảnh (fragmented) thành nhiều gói tin nhỏ. Nguyên nhân của việc phân mảnh là do MTU (maximum segment size) của mỗi mạng khác nhau. Nếu một gói tin đi qua một mạng có MTU nhỏ hơn kích thước của bản thân gói tin đó thì nó có thể bị phân mảnh. Các gói tin bị phân mảnh này khi tới mạng đích sẽ được ghép lại. Nhiều hành động tấn công sử dụng các gói tin có kích thước rất nhỏ “very small packet” để vượt qua Firewall hoặc hệ thống phát hiện xâm nhập. Ví dụ, nếu tập luật của Snort tìm kiếm chuỗi /users.pwd trong phần dữ liệu của một gói tin. Kẻ tấn công có thể tạo ra một chuỗi các gói tin với kích thước nhỏ đã bị phân mảnh, trong đó mỗi gói tin chỉ chứa một phần nhỏ dữ liệu: Ví dụ, mảnh thứ nhất chứa xâu /usr, mảnh thứ hai chứa xâu s.pwd. Các gói tin này sẽ không bị loại bỏ vì nó không trùng khớp so với các luật. Frag2 preprocessor sẽ ráp lại các gói tin bị phân mảnh, từ đó nó khôi phục lại được chuỗi usrs.pwd. Việc phân mảnh các gói tin làm cho hệ thống nhận các gói tin này phải tốn nhiều tài nguyên để xử lý chúng. Đặc biệt một số thiết bị phần cứng xử lý không tốt các gói tin phân mảnh có thể không hoạt động khi nó gặp nhiều gói tin bi phân mảnh. Cũng cần chú ý là khi triển khai Snort, ta phải xác định xem có sử dụng frag2 preprocessor không. Vì một số thiết bị thực hiện việc ráp các gói tin bị phân mảnh trước khi chuyển tiếp sang host kế tiếp. Ví dụ, Cisco PIX firewall luôn luôn thực hiện việc ráp các gói tin bị phân mảnh trước khi chuyển tiếp các gói tin đó. Vì vậy, nếu Snort sensor đặt sau thiết bị này
thì frag2 preprocessor sẽ không mang lại bất kỳ hiệu quả gì cho hệ thống. Frag2 preprocessor có một số tùy chọn để chống lại kiểu tấn công sử dụng sự phân mảnh của các gói tin IP:
time out
Số giây trước khi 1 inactive session được giải phóng khỏi bộ nhớ. Mặc định là 60 giây.
memcap
Dung lượng dự trữ được tính bằng đơn vị byte. Mặc định là 4MB
detect_state_problems
Bật chế độ cảnh báo cho một số trường hợp phân mảnh một cách bất thường (ví dụ sự trùng lặp của các gói tin bị phân mảnh). Tùy chọn này nên đặt enable trong hầu hết các hệ thống.
min_ttl
Thiết lập giá trị time to live (ttl) tối thiểu được chấp nhận bởi frag2 processor. Giá trị mặc định là 0.
ttl_limit
Sự chênh lệch lớn time to live (ttl) của các gói tin trong cùng 1 hệ thống. Giá trị mặc định là 5
Dưới đây là một cấu hình được đề nghị cho frag2 preprocessor trong đó không có tùy chọn nào được thiết lập
preprocessor frag2