II. CU HÌNH TH C NGHI ỰỆ
2. Mơ hình Snort cài đặt riêng với WebServer DVWA
b. Các bước cấu hình và demo
- Thực hiện cài đặt Snort trên máy tương tự như với mơ hình 1. - Cài đặt webserver apache + mysql tương tự mơ hình 1.
- Thực hiện cấu hình thay đổi Snort mode inline như sau: Tại file config, thêm các dòng:
Config daq: afpacket: Đọc gói tin theo dạng afpacket Config policy_mode: inline: bật chế độ snort inline
Config daq_dir: /usr/local/lib/daq/ :Chỉ đường dẫn library daq Config daq_mode: inline : Chọn chế độ daq inline
Config daq_var: buffer_size_mb=512 : đặt biến daq để lưu trữ dữ liệu
Hình 49. Cấu hình inline mode
Thực hiện cập nhật cấu hình : ldconfig Sử dụng câu lệnh để xem cấu hình mode
- Thực hiện demo thơng báo tấn cơng (detection):
Câu lệnh tấn cơng:
Tấn cơng bằng các gói IMCP :
Hình 50. Tấn cơng bằng các gói icmp
Hình 51. Bật snort lưu log, phát hiện tấn công ICMP ddos
Hình 53. Kiểm tra các gói tin bắt được
Xem gói tin ddos icmp bằng wireshark:
root@ubuntu:/var/log/snort# wireshark snort.log.1634916448
Hình 54. Thơng tin về gói tin thu nhận được
Hình 55. Kiểm tra thư mục ghi log, ta có thơng tin về cuộc tấn công của ip 192.168.231.3
Tấn công ddos tcp :
sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 --flood --rand-source --faster --c 2000
Hình 56. Bật tấn cơng ở máy attacker
Bật wireshark ở webserver xem gói tin đến:
Hình 57. Các gói tin gửi đến webserver liên tục
Bật snort hiển thị thông báo :
snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38
Bật snort lưu log:
snort -l /var/log/snort/archived_logs -K ascii -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens38
Hình 59. Các thơng báo được hiện ở trên màn hình snort
Xem gói tin bắt được:
root@ubuntu:/var/log/snort# wireshark snort.log.1635053320
Hình 61. Xem gói tin snort bắt được
Thực hiện vào thư mục /var/log/snort/archieved_logs xem các log
Hình 63. các log được lưu dưới tên các IP tấn công vào webserver
Tiến hành xem 1 file log để xem thơng tin:
Hình 64. Thực hiện xem một file log có ip là 0.14.200.246
File log hiển thị đầy đủ các thơng tin như : địa chỉ gửi gói tin(source ip address, port), địa chỉ nhận gói tin(destination ip, port), thời gian gói tin được gửi tới, giao thức, id, tcp length, flags type,….
- Thực hiện demo ngăn chặn gói tin ddos:
Tạo rule cho phép ngăn chặn gói tin với các câu lệnh sau:
Ở đây để lệnh alert trước để kiểm tra xem nó có chạy đúng theo thứ tự ưu tiên của header action khơng.
Thông tin các rules:
alert tcp any any -> $HOME_NET any (flags: S; msg:"phat hien SYN DDoS"; flow:stateless;detection_filter:track by_dst, count 100, seconds 10;classtype:attempted-dos; sid:10000008;rev:1;)
reject tcp any any -> $HOME_NET 80 (flags: S; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000001; detection_filter:track by_dst, count 100, seconds 3;)
reject tcp any any -> $HOME_NET 80 (flags: A; msg:"chan tan cong ddos tcp";flow:stateless;classtype:attempted-dos;sid:10000002;
detection_filter:track by_dst, count 100, seconds 3;)
reject tcp any any -> $HOME_NET 80 (flags: R; msg:"phat hien tan cong ddostcp";flow:stateless;classtype:attempted-dos;sid:10000003;
detection_filter:track by_dst, count 100, seconds 3;)
reject tcp any any -> $HOME_NET 80 (flags: F; msg:"phat hien tan cong ddos tcp";flow:stateless;classtype:attempted-dos; sid:10000004; detection_filter:track by_dst, count 100, seconds 3;)
reject icmp any any <> $HOME_NET any (msg:" phat hien tan cong ICMP DDos";sid:10000006; rev:1; detection_filter:track by_dst, count 100, seconds 3;)
reject udp any any -> $HOME_NET 80 (msg:"phat hien tan cong ICMP DDos";sid:10000007;classtype:attempted-dos;rev:1;
Thêm đường dẫn vào file config và sau đó cập nhật config bằng lệnh ldconfig.
Hình 66. Thêm đường dẫn file rule vào file config
Thực hiện tấn cơng:
Tấn cơng bằng gói ICMP
Thực hiện bật snort với câu lệnh như sau:
sudo snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q
Hình 68. Các thơng báo được hiện lên màn hình.
Hình 70. Sau đó các gói tin gửi bị từ chối gián đoạn
Các gói tin tấn cơng khơng bị từ chối hết mà chỉ bị từ chối một phần.
Tấn cơng bằng gói TCP sử dụng random source
sudo hping3 192.168.231.2 -q -n -d 120 -S -p 80 --flood --rand-source --faster --c 2000
Hình 71. Câu lệnh tấn cơng
Sử dụng snort với câu lệnh để phát hiện ddos:
snort -c /etc/snort/snort.conf -i ens33:ens38 -Q -A console -q
Tiến hành phân tích gói tin bằng wireshark
Hình 73. Các gói tin gửi đến với nhiều ip khác nhau Kết quả :Snort chưa ngăn chặn được với