PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
10. Xây dựng hệ thống giám sát với SNORT
10.4 Khái quát về Rules
Snort là một hệ thống NIDS hoạt động dựa trên các tập luật (rules). Trong Snort rules có chứa những dấu hiệu thông thường để nhận biết các hoạt động bên trong và ngoài mạng.
Khi Snort hoạt động, nó sẽ đọc các tập luật được xây dựng sẵn và phải được cập nhật thường xuyên. Mỗi luật đại diện cho một cuộc tấn cơng.
Ví dụ: tập luật có thể được tạo ra để giám sát các nỗ lực quyét cổng, tìm dấu vết (các dấu hiệu còn gọi là signature-base). Khi có một packet đến hệ thống nó sẽ
được áp vào tập luật, nếu có sự so trùng Snort sẽ phản ứng.
10.4.1 Cấu trúc của một rule
Tất cả các rule đều có 2 phần: header và options
Hình 63. Cấu trúc của một rule
Ví dụ rule mẫu:
Phần header chứa thông tin hoạt động mà rule sẽ làm. Đồng thời header cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói tin. Phần options chứa thông
điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để tạo ra cảnh báo. Phần
option cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói tin. Một rule có thể phát hiện một kiểu hay nhiều kiểu xâm nhập.
10.4.2 Cấu trúc của phần Header
Hình 65. Cấu trúc phần Header
- Action: là loại hành động của Snort khi tiêu chuẩn phát hiện và có sự so sánh
chính xác của một rule so với một gói tin. Những hoạt động điển hình là tạo một cảnh báo hoặc ghi thơng điệp. Có 5 loại action:
Action Mô tả
Alert Tạo cảnh báo và ghi file log Log Ghi log các gói tin
Pass Bỏ qua các gói tin
Activate Tạo cảnh báo và tự bật chức năng dynamic rule
Dynamic Hoạt động như một log rule khi được kích hoạt bởi active rule - Protocol: là giao thức được dùng để áp dụng vào rule. Các giao thức có thể là
tcp, udp, icmp và IP.
- Address: trong phần header có hai trường địa chỉ, gồm địa chỉ nguồn và địa
chỉ đích được xác định dựa trên trường Direction.
- Direction: giúp phân biệt địa chỉ nguồn và địa chỉ đích. Ví dụ với trường
Direction là “” thì địa chỉ phía bên trái là nguồn, địa chỉ phía bên phải là
đích. Trường hợp muốn áp dụng snort theo cả 2 chiều thì sử dụng cú pháp “
Ví dụ ghi log 2 chiều:
Log tcp 192.168.1.0/24 any <> 172.16.0.0/24
- Port: Trong giao thức TCP hay UDP, Port xác định cổng nguồn và cổng đích
của gói tin khi rule áp dụng lên đó. Trong trường hợp giao thức lớp mạng như IP hay ICMP, thì giá trị port numbers khơng có ý nghĩa.
Ví dụ: Phân tích phần header của một rule
alert tcp any any -> any 80 (content: "yahoo"; msg: "Yahoo Site Access";)
Hành động ở đây là “alert”, khi các TCP trafic từ bất kỳ địa chỉ IP và port được
gởi đến một địa chỉ IP bất kỳ trên Port 80 mà phần nội dung có chứa từ khóa yahoo. Nếu tình huống này xảy ra, nghĩa là có một user nào đó trên LAN truy cập vào 1 site có chứa từ yahoo thì một record Yahoo Site Access sẽ được ghi vào log file.
10.4.3 Cấu trúc của phần Options
Một Snort rule có thể có nhiều option khác nhau phân cách bởi giấu “;” .Thơng thường phần Options có chứa từ khóa và một đối số. Một đối số truyền vào từ khóa bằng một dấu “:”. Ví dụ:
msg : “Phat hien xam nhap”
Ở đây, msg là từ khóa và “Phat hien xam nhap” là đối số cho từ khóa. Do có rất
nhiều từ khóa nên ta sẽ đi một vài từ khóa tiêu biểu. Phần Option có các từ khóa sẽ