Kịch bản tấn công vào snort windows
Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module. Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng. Snort có thểchạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS. Bên cạnh việc có thể hoạt động nhưmột ứng dụng thu bắt gói tin thông thường, Snort còn có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD. HỌC VIỆN KỸ THUẬT MẬT MÃ Đề tài thực tập cơ sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN Cán bộ hướng dẫn: Lê Đức Thuận Sinh viên thực hiện: 1 BÁO CÁO THỰC TẬP CƠ SỞ 2 HÀ NỘI 2016 Đề tài thực tập cơ sở TÌM HIỂU HỆ THỐNG PHÁT HIỆN VÀ NGĂN Nhận xét của cán bộ hướng
dẫn:........................................................................................ Điểm chuyên cần:................................................................................................................ Xác nhận của cán bộ hướng dẫn 2 BÁO CÁO THỰC TẬP CƠ SỞ 3 3 BÁO CÁO THỰC TẬP CƠ SỞ 4 MỤC LỤC 4 BÁO CÁO THỰC TẬP CƠ SỞ 5 BẢNG KÝ HIỆU 5 BÁO CÁO THỰC TẬP CƠ SỞ 6 DANH MỤC BẢNG BIỂU DANH MỤC HÌNH VE Hình 20. Xem ARP Cache 6 BÁO CÁO THỰC TẬP CƠ SỞ 7 LỜI NÓI ĐẦU chúng em hoàn thành thực tập cơ sở chuyên ngành này. Mặc dù đã cố gắng hoàn thành Email: Email: 7 BÁO CÁO THỰC TẬP CƠ SỞ 8 PHẦN 1 : TỔNG QUAN ĐỀ TÀI Chúng em thực hiện báo cáo này với mong muốn nghiên cứu những đặc trưng cơ • Các sự kiện tấn công. Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn Kiểm tra hai lần nếu hệ thống tường lửa cấu hình sai. 1.2. Phân tích hiện trạng nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thông BÁO CÁO THỰC TẬP CƠ SỞ 9 miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự - Phân tích, đánh giá được các nguy cơ xâm nhập và tấn công trái phép đối với hệ PHẦN 2 : TÌM HIỂU TỔNG QUAN VỀ IDS/IPS Giới thiệu về IDS/IPS BÁO CÁO THỰC TẬP CƠ SỞ 10 2.1.1
Định nghĩa Hình 1. Đặt trước Firewall Hình 2. Đặt giữa Firewall và DMZ 10 BÁO CÁO THỰC TẬP CƠ SỞ 11 Hình 3. Là một module trong giải pháp UTM 2.1.3. Sự khác nhau giữa IDS và IPS như một firewall chẳng hạn. Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện 11 BÁO CÁO THỰC TẬP CƠ SỞ 12 Phân
loại IDS/IPS 2.2.1. Network
based – NIDS/NIPS Hình 2.2.1. Mô hình NIDS/NIPS Một NIDS/NIPS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau Ưu điểm 12 BÁO CÁO THỰC TẬP CƠ SỞ 13 • Chi phí thấp: Do chỉ cần cài đặt NIDS/NIPS ở những vị trí trọng yếu là có thể • • • • giám sát lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm Phát hiện và ngăn chặn kịp thời: NIDS/NIPS phát hiện các cuộc tấn công ngay Nhược điểm: BÁO CÁO THỰC TẬP CƠ SỞ 14 • • khắc phục người ta thường sử dụng các tiến trình giảm dữ liệu linh hoạt để 2.2.2. Host based - HIDS/HIPS • Xác định được kết quả của cuộc tấn công: Do HIDS/HIPS sử dụng dữ liệu log • • lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất BÁO CÁO THỰC TẬP CƠ SỞ 15 • Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn phần cứng khác. • Khó quản trị: các hệ thống host-based yêu cầu phải được cài đặt trên tất cả các • • • thiết bị đặc biệt mà bạn muốn bảo vệ. Đây là một khối lượng công việc lớn để Cơ chế hoạt động của hệ thống IDS/IPS • Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các 2.3. Phát hiện sự lạm dụng 15 BÁO CÁO THỰC TẬP CƠ SỞ 16 đã
rõ ràng. Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời
gian Phát hiện tĩnh 16 BÁO CÁO THỰC TẬP CƠ SỞ 17 Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để định nghĩa meta-data cho một log file bao gồm kích
cỡ của nó. Nếu kích cỡ của log file tăng thì 17 BÁO CÁO THỰC TẬP CƠ SỞ 18 Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắt đầu. So sánh giữa hai mô hình • Phát hiện sự bất thường Bao gồm: Cơ sở dữ liệu các dấu hiệu tấn công. Bao gồm: Khó cấu hình hơn vì đưa ra nhiều dữ Đưa ra kết luận
dựa vào phép so khớp mẫu Đưa ra kết quả dựa vào tương quan rõ
ràng. BÁO CÁO THỰC TẬP CƠ SỞ 19 Bảng 1. So sánh giữa hai mô hình phát hiện Để có được một hệ thống phát hiện và ngăn chặn xâm nhập tốt nhất ta tiến hành kết Hình 4. Hệ thống kết hợp hai mô hình phát hiện Phát hiện thông qua Protocol 19 BÁO CÁO THỰC TẬP CƠ SỞ 20 Hình 5: Cấu trúc IP Header Thuộc tính Source Address và giúp cho IDS biết được nguồn gốc của cuộc tấn 20 BÁO CÁO THỰC TẬP CƠ SỞ 21 Hình 6: Cấu trúc TCP Header. Các hệ thống IDS/IPS khác nhau đều dựa vào phát hiện các xâm nhập trái phép 2.4. Một số sản phẩm của IDS/IPS Phần này giới thiệu một số sản phẩm IDS, IPS thương mại cũng như miễn phí phổ BÁO CÁO THỰC TẬP CƠ SỞ 22 Cisco IDS là một giải pháp riêng biệt, được Cisco cung cấp đồng bộ phần cứng và Interface – AI) riêng biệt, NFR cung cấp một cơ chế điều khiển tập trung với các 22 BÁO CÁO THỰC TẬP CƠ SỞ 23 PHẦN 3 : TỔNG QUAN VỀ SNORT - IDS/IPS • Module
giải mã gói tin (Packet Decoder) Hình 7. Mô hình kiến trúc hệ thống Snort Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào BÁO CÁO THỰC TẬP CƠ SỞ 24 dạng mong muốn. Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống. Hình 8. Xử lý một gói tin Ethernet Một gói tin sau khi được giải mã sẽ được đưa tiếp vào module tiền xử lý. Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽ BÁO CÁO THỰC TẬP CƠ SỞ 25 xâm nhập chỉ dựa hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao. Giải mã và chuẩn hóa giao thức
(decode/normalize): công việc phát hiện xâm • Phát hiện các xâm nhập bất thường (nonrule /anormal): các plugin tiền xử lý thống kê). Phiên bản hiện tại của Snort có đi kèm hai plugin giúp phát hiện các 3.2.3. Module phát hiện |