Kiểm tra và phân tích các dấu hiệu nhận được

Một phần của tài liệu Kết hợp firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ điều hành linux (Trang 104 - 108)

Hệ thống bị tấn công tuy nhiên chưa thể khẳng định được nguyên nhân tấn công và người quản trị thực hiện việc theo dõi hệ thống hàng ngày thông qua Snort IDS, và phát hiện có dấu hiện khác thường:

Một yêu cầu web từ ngoài vào là điều bình thường vì hệ thống của chúng ta đang publish web, nhưng ở đây Snort IDS đưa ra cảnh báo.

Snort đã dựa trên rule có id 100000160 để đưa ra cảnh báo, rule này dùng cho việc cảnh báo “TCP/UDP flooding attack”:

alert ip any any ­> any 5060 \

(msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, \

count 300, seconds 60; classtype:attempted­dos;\ sid:100000160;rev:2;)

Như vậy rất có khả năng hệ thống bị tấn công flooding.

Phân tích thông tin cụ thể của từng cảnh báo:

Hình 4.10: Gói tin reply từ firewall tới internet

Theo dõi nội dung của ba gói tin ta có thể nhận ra đó là một phần trong nguyên tắc bắt tay ba chiều của giao thức TCP:

 Thứ nhất: Client gửi gói tin có chưa cờ SYN đến Server

 Thứ hai: Server hồi đáp bằng gói tin có chứa cờ SYN, ACK cho Client.

 Thứ ba: Client gửi tiếp gói tin ACK để hoàn tất quá trình bắt tay ba chiều.

Ở trường hợp này, ta có thể thấy sự trao đổi giữa Client ngoài Internet và Web server internal chỉ thực hiện 2 bước đầu trong nguyên tắc bắt tay 3 chiều, đây là dấu hiệu của cuộc tấn công SYN flood. Máy tấn công đơn giản là không trả lời thông điệp thứ ba như mong đợi của server theo tiến trình bắt tay ba chiều. Server lúc này sẽ tốn bộ nhớ và tài nguyên trong khi chờ các phiên TCP timeouts hoặc trước khi các kết nối đang thiết lập dang dở được dọn dẹp. Máy server lúc này có thể từ chối các kết nối TCP khác và rơi vào tình trạng thiếu tài nguyên.

Như vậy sau khi phân tích ta có thể phán đoán hệ thống có thể bị tấn công từ chối dịch vụ (DoS) với phương pháp SYN flood. Để có thể khẳng định được chính xác kiểu tấn công và nguồn tấn công ta có thể xem log của web server.

Hình 4.12: Nội dung log của web server

Phân tích log của web server ghi nhận trong một khoảng thời gian ngắn có rất nhiều kết nối từ ip 10.0.0.10 (ip ngoài internet) đến web server với các request đến từ một kiểu trình duyệt. Qua đó gần như khẳng định được chắc chắn hệ thống bị tấn công từ chối dịch vụ (DoS) từ địa chỉ ngoài internet là 10.0.0.10.

Một phần của tài liệu Kết hợp firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ điều hành linux (Trang 104 - 108)

Tải bản đầy đủ (PDF)

(114 trang)