Các kịch bản thử nghiệm phát hiện tấn công, xâm nhập vào hệ thống được xây dựng trên nền Oracle VM VirtualBox bao gồm máy chủ Security Onion phiên bản 16.04, máy tính client Windows 10, và máy tính tấn công Kali Linux.
Hệ thống sẽ sử dụng mạng ảo Virtualbox Host only network có dải IP: 192.168.56.0/24. Ngoài ra, máy chủ Sercurity Onion sẽ sử dụng thêm một đường NAT kết nối với Internet. Các kịch bản tấn công lần lượt là Tấn công dò cổng, Tấn
53
công Dos, Tấn công giao thức FTP, Tấn công quét lỗ hổng Web Server, Khai thác Eternalblue Windows. Sơ đồ sẽ được thiết lập như hình 3.16:
Hình 3.16:Sơ đồ thử nghiệm phát hiện tấn công xâm nhập.
3.3.1.1. Tấn công dò cổng
Kịch bản này kẻ xâm nhập sẽ sử dụng máy tính Kali Linux tiến hành dò tìm các cổng đang được mở trên máy tính Windows. Đối tượng sẽ sử dụng Nmap dò tìm trên địa chỉ 192.168.56.102 của máy tính Windows và nhận thấy các cổng 135/TCP của dịch vụ msrpc, cổng 138/TCP của dịch vụ netbios-ssn và cổng 445/TCP của dịch vụ microsoft-ds đang mở.
54
Hình 3.17:Kết quả dò cổng bằng Nmap.
Hệ thống Security Onion sẽ sử dụng các thư viện luật của ET Open được cập nhật liên tục tại https://rules.emergingthreats.net/open/. Đối với trường hợp tấn công dò cổng hệ thống sẽ áp dụng luật sau:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET SCAN Potential VNC Scan "; flags:S,12; threshold: type both, track by_src, count 5, seconds 60;
reference:url,doc.emergingthreats.net/2002911; classtype:attempted-recon; sid:2002911; rev:5; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
Khi phát hiện đối tượng dò cổng, thành phần NIDS cụ thể là Snort sẽ đưa ra cảnh báo:"ET SCAN Potential VNC Scan" đối với các lệnh dò cổng có chứa cờ S (flags:S) và với số lượng từ 5 gói tin trở lên trong vòng 60 giây được trao đổi với máy tính Windows.
55
3.3.1.2. Tấn công Dos
Kịch bản này kẻ xâm nhập sẽ sử dụng Hping3 từ máy tính Kali Linux thực hiện tấn công Dos đến máy tính Windows. Ngoài ra đối tượng sẽ giả mạo địa chỉ tấn công là 192.168.56.104. Trạng thái tấn công được minh họa trong hình 3.19:
Hình 3.19:Trạng thái tấn công Dos bằng Hping3
Đối với phương thức tấn công này, Snort sẽ sử dụng luật sau:
alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential Scan OUTBOUND"; flags:S,12; threshold: type threshold, track by_src, count 1000, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack;
reference:url,doc.emergingthreats.net/2003068; classtype:attempted-recon; sid:2003068; rev:6; metadata:created_at 2010_07_30, updated_at 2010_07_30;)
Khi phát hiện đối tượng gửi một lượng lớn yêu cầu đến máy tính Windows, Snort sẽ đưa ra cảnh báo:"ET SCAN Potential Scan OUTBOUND" đối với các lệnh dò cổng có chứa cờ S (flags:S) và với số lượng từ 1000 gói tin trở lên trong vòng 60 giây được trao đổi với máy tính Windows.
Hình 3.20:Cảnh báo tấn công Dos 3.3.1.3. Tấn công giao thức FTP
Kịch bản này kẻ xâm nhập sẽ tiến hành quét các thông tin, mật khẩu đăng nhập của người dùng tại máy chủ FTP trên máy tính Windows.