PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
10. Xây dựng hệ thống giám sát với SNORT
10.8 Tấn công trong mạng nội bộ
10.8.1 Tấn công ARP Cache
Máy Hacker sẽ giả MAC địa chỉ của Victim 1, khi Victim 2 truy cập remote
desktop vào Victim 1, Hacker sẽ thu được những gói tin từ Victim 2 gửi cho Victim 1.
Khi đó IDS sẽ báo hiệu và người quản trị có nhiệm vụ đi tìm máy Hacker.
ARP spoof preprocessor giải mã những gói tin và phát hiện những cuộc tấn
công ARP. Khi được cấu hình thơng số, preprocessor sẽ kiểm tra địa chỉ Ethernet và các địa chỉ trong gói tin ARP. Khi xảy ra hiện tượng, một cảnh báo GID 112 và SID 4 được tạo ra.
Khi “unicast” được chỉ định, preprocessor sẽ kiểm tra những yêu cầu Unicast
ARP. Một cảnh báo GID 112 và SID 1 sẽ sinh ra nếu một Unicast ARP bị phát hiện.
preprocessor arpspoof[: -unicast]
preprocessor arpspoof_detect_host: ip mac
Cấu hình trong file snort.conf preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.100.2 00:0C:29:2E:2A:47 preprocessor arpspoof_detect_host: 192.168.100.3 00:0C:29:14:7B:2F preprocessor arpspoof_detect_host: 192.168.100.21 00:0C:29:D1:BE:1E preprocessor arpspoof_detect_host: 192.168.100.66 00:0C:29:48:20:C9 Cấu hình file log
output alert_csv: /var/log/snort/alert.csv
Chú ý: Dấu hiện nhận biết cuộc tấn công này là 1 IP phải khớp với 1 MAC, nhiệm vụ của người quản trị là phải thu nhập IP và MAC trong hệ thống.
Máy Hacker dùng chương Cain & Abel để giả MAC của 2 máy Victim để
sniffer các thông tin từ 2 máy
Hình 77. Máy Victim 2
Đồng thời lúc đó IDS sẽ cánh báo có tấn cơng ARP
Hình 78. Cảnh báo
Để thấy được địa chỉ MAC của Hacker ta vào file alert.csv
10.8.2 Tấn công SMB
- Dấu hiệu
Đây là dạng tấn công qua port 445 và đặt giá tri Process ID High là
"\x00\x26" , giá trị bình thường là "\x00\x00". - Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg : "Tan cong SMB"; content: "|00 26|"; flow:to_server,established; content:"|53 4d 42
10.8.3 Tấn công Smurf attack
- Dấu hiệu
Đây là dạng tấn cơng làm ngập gói tin ICMP ECHO REPLY. Sự khác biệt lớn
giữa nó với gói tin ICMP ping “thật” là ở 2 trường: icmp_id = 0x00 và sequence
number = 0x00 (gói ping thật có id và sequence number khác 0). Ngoài ra Hacker
thường tăng kích thước payload mặc định của gói tin ping (32 byte) để nhanh
chóng làm ngập mạng victim. - Luật
alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: “Tan cong Smurf Attack”; dsize: >32; icmp_seq:0; icmp_id:0 ; sid: 1000004; )
10.8.4 Tấn công Land attack
- Dấu hiệu
Land attack tấn công bằng cách gửi các gói tin có địa chỉ nguồn và đích giống nhau.Bằng cách dùng từ khóa sameip trong Rule option là có thể phát hiện ra.
- Luật
alert udp any any <> $HOME_NET any (msg : “Land Attack”; sameip;)
10.8.5 Tấn công Dos với HTTP Post
- Dấu hiệu
Dạng tấn công này sẽ gứi hàng loạt dữ các liệu hợp lệ đến Server sẽ xử lý làm tràn database và nghẽn hệ thống. Dùng wireshark bắt gói tin để tìm ra dầu hiệu nhận biết cuộc tấn cơng này, trong đó có đoạn “48 54 54 50 2f 31 2e 31” là thường xuyên xuất hiện.
- Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Tan cong DOS"; content:"|48 54 54 50 2f 31 2e 31 |"; flow:to_server; sid: 1000005;)
10.8.6 Một số rule cảnh báo
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Ping cao hon 100”; dsize : > 100; sid: 1000006;)
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Tan cong ping”; content: "|40 00|" ; sid: 1000009;)
Phát hiện tấn công ping –f
10.9 Nhận xét
Snort là một IDS dùng để theo dõi những biến cố xảy ra trên tcp/ip stack do mình định ra. Với Snort hoặc bất cứ ứng dụng IDS nào cũng cần phải có một bộ luật, cịn gọi là các "signature". Snort có thể áp dụng ở các mơ hình mạng, với chi phí thấp Snort là lựa chọn cho nhiều cơng ty có quy mơ vừa và nhỏ cũng như những cơng ty có quy mơ lớn.
Ưu Điểm Nhược Điểm
- Snort ghi nhận các luồng dữ liệu từ
trong ra ngoài hay ngược lại vào file
log do mình định ra giúp người quản trị dễ giám sát dữ liệu.
- Do phát triển dựa vào mã nguồn mở nên Snort hoàn tồn miễn phí. - Người quản trị có thể tự viết luật và
kết hợp với các phần mềm và phần cứng khác như: Cisco, Snortsam, Swatch,.v.v..
- Tối ưu hóa tập luật, phát triển luật tương tác với tường lửa, nâng cao Snort hoạt động như một hê thống phát hiện ngăn chặn IPS.
- Snort khơng có khả năng chống lại các cuộc tấn cơng.
- Do tập luật của snort được công khai trên mạng nên các hacker có thể tập hợp các luật để thay đổi dấu hiệu tấn công, từ đó có thể vượt qua giám sát của Snort.
- Tập luật cịn có nhiều khuyết điểm nên khơng thể sử dụng ngay mà cịn phải chỉnh sửa.
- Không thể cập nhập tập luật theo thời gian thực.
- IDS thường xuyên đưa ra báo động
giả ( False Positives) là gánh nặng cho quản trị hệ thống bởi nó cần được theo dõi liên tục.