1) Mô hình mô phỏng Máy chủ giám sát (Snort) Thiết bị chuyển mạch Máy tấn công 192.168.9.104 Máy bị tấn công 192.168.9.102
Hình 3.8: Mô hình mô phỏng Snort
2) Tạo luật cảnh báo và kết quả mô phỏng
a. Tạo luật cảnh báo Ping
Vào file Local.rules theo đường dẫn c:\snort\etc\snort.conf và thêm lệnh:
alert icmp any any -> 192.168.9.102 any (msg: "Co thiet bi dang PING"; sid:100000086;)
Sau đó lưu file lại theo đường dẫn cũ.
Tiếp theo ta vào máy tấn công tạo lệnh ping vào máy bị tấn công theo lệnh sau: Ping 192.168.9.102 –t.
Hình 3.9: Kết quả hiển thị lệnh ping 192.168.9.102 –t
Kết quả cảnh báo của Snort
Hình 3.10: Kết quả hiển thị phát hiện ping trên Snort
b. Tạo luật cảnh báo Ping kích thước lớn
Cơ bản như lệnh Ping thông thường, chỉ khác câu lệnh như sau:
alert icmp any any -> any any (msg: "Co thiet bi dang PING kich thuoc lon"; dsize: >500; sid:104500086;)
Kết quả hiển thị trên máy tấn công thực hiện lệnh ping.
Hình 3.11: Kết quả hiển thị lệnh ping –l 1000 –f google.com –t
Kết quả hiển thị phát hiện trên Snort
Hình 3.12: Kết quả hiển thị phát hiện ping kich thước lớn trên Snort
c. Tạo luật cảnh báo thiết bị truy cập WEB
Cơ bản như lệnh Ping thông thường, chỉ khác câu lệnh như sau:
alert tcp any any -> any any (msg: "Ban vua truy cap youtube.com"; sid:1067045;)
Lúc này trên mạng nội bộ có thiết bị nào truy cập vào trang web youtube.com thì hệ thống Snort sẽ cảnh báo như sau:
Hình 3.13: Kết quả hiển thị phát hiện thiết bị truy cập youtube.com trên Snort