TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG    BÀI TẬP LỚN AN TOÀN PHẦN MỀM VÀ HỆ THỐNG Đề tài: Hệ thống phát xâm nhập mạng Giáo viên hướng dẫn : Ths Đỗ Văn Uy Sinh viên thực Lớp : : Nguyễn Lan Anh 20080063 Trần văn Bích 20080215 Nguyễn Chí Công 20080316 Nguyễn Văn Chuyên 20080304 Nguyễn Khắc Hứng 20081281 Công nghệ phần mềm K53 HÀ NỘI – 2012 MỤC LỤC LỜI MỞ ĐẦU PHẦN I: TỔNG QUAN VỀ AN NINH MẠNG I Các khái niệm II Các mối đe dọa hệ thống Mối đe dọa cấu trúc ( Untructured threat) Mối đe dọa có cấu trúc ( Structured threat) Mối đe dọa từ bên (External threat) 10 Mối đe dọa từ bên ( Internal threat ) 10 III Sự cần thiết IDS 11 Sự giới hạn biện pháp đối phó 11 Những cố gắng việc hạn chế xâm nhập trái phép 13 PHẦN II: TÌM HIỂU VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 15 Các phương thức xâm nhập mạng 15 1.1 Khái niệm xâm nhập 15 1.2 Kịch xâm nhập xảy 15 1.3 Các phương thức xâm nhập 16 1.4 Các biện pháp phòng ngừa 18 Hệ thống phát xâm nhập IDS 22 1.1 Giới thiệu IDS (Intrusion Detection System) 22 1.2 Phân loại IDS 25 PHẦN III: KỸ THUẬT PHÁT HIỆN XÂM NHẬP TRÊN MẠNG(NIDS) 32 Network-based IDS (NIDS) 32 Nhiệm vụ NIDS 33 Mô hình triển khai hệ thống NIDS 35 Kiến trúc hệ thống phát xâm nhập IDS 41 Các kỹ thuật phát xâm nhập NIDS 44 PHẦN IV: TÌM HIỂU VỀ SNORT TOOLS 53 Giới thiệu 53 Các thành phần Snort: 54 TÀI LIỆU THAM KHẢO 75 LỜI MỞ ĐẦU Trong thời gian gần đây, với việc phổ cập mạng Internet Việt Nam, việc bảo vệ cho mạng máy tính gia đình doanh nghiệp doanh nghiệp vừa nhỏ vấn đề nóng bỏng Càng ngày kỹ thuật xâm nhập mạng đa dạng đòi hỏi kỹ thuật phát ngăn chặn phải phát triển tương ứng Để làm điều trơước hết phải có nghiên cứu tổng quan hình thức công, xâm nhập xây dựng chiến lươợc công cụ tương ứng để chống lại xâm nhập Các giải pháp, thiết bị bảo mật hãng nước có nhiều giá thành cao bảo vệ mạng trươớc công từ bên theo số hơướng không bảo vệ hệ thống trươớc công ngày đa dạng tin tặc, đặc biệt hình thức công qua lỗi trình duyệt nhơư công từ chối dịch vụ Nhóm chúng em xin chọn đề tài: Kỹ thuật phát xâm nhập mạng dựa cân nút mạng Để làm tập lớn môn An toàn phần mềm hệ thống Mặc dù nhóm cá cố gắng nhiều sai sót, chúng em mong thầy thông cảm dạy để chúng em củng cố thêm kiến thức PHẦN I: TỔNG QUAN VỀ AN NINH MẠNG I Các khái niệm Các thành phần mạng máy tính: Mạng máy tính: Nói cách ngắn gọn mạng máy tính tập hợp máy tính độc lập kết nối với thông qua đường truyền vật lý tuân theo quy ước truyền thông Khái niệm máy tính độc lập hiểu máy tính máy có khả khởi động đình máy khác Các đường truyền vật lý hiểu môi trường truyền tín hiệu vật lý (cóthể hữu tuyến vô tuyến) Các quy ước truyền thông sở để máy tính "nói chuyện" với yếu tố quan trọng hàng đầu nói công nghệ mạng máy tính Đường truyền: Là phương tiện dùng để truyền tín hiệu điện tử máy tính Các tín hiệu điệu tử thông tin, liệu biểu thị dạng xung nhị phân (ON_OFF), tín hiệu truyền máy tính với thuộc sóng điện từ, tuỳ theo tần số mà ta dùng đường truyền vật lý khác Đặc trưng đường truyền giải thông biểu thị khả truyền tải tín hiệu đường truyền Thông thuờng người ta hay phân loại đường truyền theo hai loại: - Đường truyền hữu tuyến (các máy tính nối với dây dẫn tín hiệu) - Đường truyền vô tuyến: máy tính truyền tín hiệu với thông qua sóng vô tuyền với thiết bị điều chế/giải điều chế đầu mút Kiến trúc mạng máy tính (network architecture) thể cách nối máy tính với tập hợp quy tắc, quy ước mà tất thực thể tham gia truyền thông mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Khi nói đến kiến trúc mạng người ta muốn nói tới hai vấn đề hình trạng mạng (Network topology) giao thức mạng (Network protocol) - Network Topology: Cách kết nối máy tính với mặt hình học mà ta gọi tô pô mạng Các hình trạng mạng là: hình sao, hình bus, hình vòng - Network Protocol: Tập hợp quy ước truyền thông thực thể truyền thông mà ta gọi giao thức (hay nghi thức) mạng Các giao thức thường gặp : TCP/IP, NETBIOS, IPX/SPX, Phân loại mạng máy tính Có nhiều cách phân loại mạng khác tuỳ thuộc vào yếu tố chọn dùng để làm tiêu phân loại, thông thường người ta phân loại mạng theo tiêu chí sau - Khoảng cách địa lý mạng - Kỹ thuật chuyển mạch mà mạng áp dụng - Kiến trúc mạng - Hệ điều hành mạng sử dụng Tuy nhiên thực tế nguời ta thường phân loại theo hai tiêu chí 1.1 Phân loại mạng theo khoảng cách địa lý Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng ta có mạng cục (LAN), mạng đô thị (MAN), mạng diện rộng (WAN), mạng toàn cầu 1.2 Phân loại theo kỹ thuật chuyển mạch Nếu lấy kỹ thuật chuyển mạch làm yếu tố để phân loại có: mạng chuyển mạch kênh, mạng chuyển mạch thông báo mạng chuyển mạch gói Mạch chuyển mạch kênh (circuit switched network) : hai thực thể thiết lập kênh cố định trì kết nối hai bên ngắt liên lạc Mạng chuyển mạch thông báo (message switched network) : Thông báo đơn vị liệu qui ước gửi qua mạng đến điểm đích mà không thiết lập kênh truyền cố định Căn vào thông tin tiêu đề mà nút mạng xử lý việc gửi thông báo đến đích Mạng chuyển mạch gói (packet switched network) : thông báo chia thành nhiều gói nhỏ gọi gói tin (packet) có khuôn dạng qui định trước Mỗi gói tin chứa thông tin điều khiển, có địa nguồn (người gửi) địa đích (người nhận) gói tin Các gói tin thông báo gởi qua mạng tới đích theo nhiều đường khác 1.3 Phân loại theo kiến trúc mạng sử dụng Kiến trúc mạng bao gồm hai vấn đề: hình trạng mạng (Network topology) giao thức mạng (Network protocol) Hình trạng mạng: Cách kết nối máy tính với mặt hình học mà ta gọi tô pô mạng Giao thức mạng: Tập hợp quy ước truyền thông thực thể truyền thông mà ta gọi giao thức (hay nghi thức) mạng Khi phân loại theo topo mạng người ta thường có phân loại thành: mạng hình sao, tròn, tuyến tính Phân loại theo giao thức mà mạng sử dụng người ta phân loại thành mạng : TCP/IP, mạng NETBIOS Tuy nhiên cách phân loại không phổ biến áp dụng cho mạng cục 1.4 Phân loại theo hệ điều hàng mạng Nếu phân loại theo hệ điều hành mạng người ta chia theo mô hình mạng ngang hàng, mạng khách/chủ phân loại theo tên hệ điều hành mà mạng sử dụng: Windows NT, Unix, Novell 1.5 Các mạng thông dụng 1.5.1 Mạng cục Một mạng cục kết nối nhóm máy tính thiết bị kết nối mạng lắp đặt phạm vị địa lý giới hạn, thường nhà khu công sở Mạng có tốc độ cao 1.5.2 Mạng diện rộng với kết nối LAN to LAN Mạng diện rộng kết nối mạng LAN, mạng diện rộng trải phạm vi vùng, quốc gia lục địa chí phạm vi toàn cầu Mạng có tốc độ truyền liệu không cao, phạm vi địa lý không giới hạn 1.5.3 Liên mạng INTERNET Với phát triển nhanh chóng công nghệ đời liên mạng INTERNET Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thức TCP/IP Mạng INTRANET Thực mạng INTERNET thu nhỏ vào quan/công ty/tổ chức hay bộ/nghành , giới hạn phạm vi người sử dụng, có sử dụng công nghệ kiểm soát truy cập bảo mật thông tin Được phát triển từ mạng LAN, WAN dùng công nghệ INTERNET Giao thức TCP/IP Sự đời họ giao thức TCP/IP gắn liền với đời Internet mà tiền thân mạng ARPAnet (Advanced Research Projects Agency) Bộ Quốc phòng Mỹ tạo Đây giao thức dùng rộng rãi tính mở Hai giao thức dùng chủ yếu TCP (Transmission Control Protocol) IP (Internet Protocol) Chúng nhanh chóng đón nhận phát triển nhiều nhà nghiên cứu hãng công nghiệp máy tính với mục đích xây dựng phát triển mạng truyền thông mở rộng khắp giới mà ngày gọi Internet Đến năm 1981, TCP/IP phiên hoàn tất phổ biến rộng rãi cho toàn máy tính sử dụng hệ điều hành UNIX Sau Microsoft đưa TCP/IP trở thành giao thức hệ điều hành Windows 9x mà sử dụng Đến năm 1994, thảo phiên IPv6 hình thành với cộng tác nhiều nhà khoa học thuộc tổ chức Internet giới để cải tiến hạn chế IPv4 Khác với mô hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối mạng "không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động Internet Cùng với thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng IP cho phép kết nối cách mềm dẻo linh hoạt loại mạng "vật lý" khác như: Ethernet, Token Ring , X.25 Giao thức trao đổi liệu "có liên kết" (connection - oriented) TCP sử dụng tầng vận chuyển để đảm bảo tính xác tin cậy việc trao đổi liệu dựa kiến trúc kết nối "không liên kết" tầng liên mạng IP Các giao thức hỗ trợ ứng dụng phổ biến truy nhập từ xa (telnet), chuyển tệp (FTP), dịch vụ World Wide Web (HTTP), thư điện tử (SMTP), dịch vụ tên miền (DNS) ngày cài đặt phổ biến phận cấu thành hệ điều hành thông dụng UNIX (và hệ điều hành chuyên dụng họ nhà cung cấp thiết bị tính toán AIX IBM, SINIX Siemens, Digital UNIX DEC), Windows9x/NT, Novell Netware, II Các mối đe dọa hệ thống Mối đe dọa cấu trúc ( Untructured threat) Công cụ hack script có nhiều Internet, tò mò tải chúng sử dụng thử mạng nội mạng xa Cũng có người thích thú với việc xâm nhập vào máy tính hành động vượt khỏi tầm bảo vệ Hầu hết công cấu trúc gây Script Kiddies (những kẻ công sử dụng công cụ cung cấp, có khả lập trình) hay người có trình độ vừa phải Hầu hết công sở thích cá nhân, có nhiều công có ý đồ xấu Những trường hợp có ảnh hưởng xấu đến hệ thống hình ảnh công ty Mặc dù tính chuyên môn công dạng không cao phá hoại hoạt động công ty mối nguy hại lớn Đôi cần chạy đoạn mã phá hủy chức mạng công ty Một Script Kiddies không nhận sử dụng đoạn mã công vào tất host hệ thống với mục đích truy nhập vào mạng, kẻ công tình cờ gây hỏng hóc cho vùng rộng hệ thống Hay trường hợp khác, có ý định thử nghiệm khả năng, cho dù mục đích xấu gây hại nghiêm trọng cho hệ thống Mối đe dọa có cấu trúc ( Structured threat) Structured threat hành động cố ý, có động kỹ thuật cao Không Script Kiddes, kẻ công có đủ kỹ để hiểu công cụ, chỉnh sửa công cụ tạo công cụ Những kẻ công hoạt động độc lập theo nhóm, họ hiểu, phát triển sử dụng kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu Động công có nhiều Một số yếu tố thường thấy tiền, hoạt động trị, tức giận hay báo thù Các tổ chức tội phạm, đối thủ cạnh tranh hay tổ chức sắc tộc thuê chuyên gia để thực công dạng structured threat Các công thường có mục đích từ trước, để lấy mã nguồn đối thủ cạnh tranh Cho dù động gì, công gây hậu nghiêm trọng cho hệ thống Một công structured thành công gây nên phá hủy cho toàn hệ thống Mối đe dọa từ bên (External threat) External threat công tạo quyền hệ thống Người dùng toàn giới thông qua Internet thực công Các hệ thống bảo vệ vành đai tuyến bảo vệ chống lại external threat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta giảm tác động kiểu công xuống tối thiểu Mối đe dọa từ bên mối đe dọa mà công ty thường phải bỏ nhiều tiền thời gian để ngăn ngừa Mối đe dọa từ bên ( Internal threat ) Thuật ngữ “Mối đe dọa từ bên trong” sử dụng để mô tả kiểu công thực từ người tổ chức có vài quyền truy cập mạng bạn Các cách công từ bên thực từ khu vực tin cậy mạng Mối đe dọa khó phòng chống nhân viên truy cập mạng liệu bí mật công ty Hầu hết công ty có tường lửa đường biên mạng, họ tin tưởng hoàn toàn vào ACL (Access Control Lists) quyền truy cập server để quy định cho bảo mật bên Quyền truy cập server thường bảo vệ tài nguyên server không cung cấp bảo vệ cho mạng Mối đe dọa bên thường thực nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai mạng, bảo vệ mạng bên khỏi kết nối bên ngoài, Internet Khi vành đai mạng bảo mật, phần 10 Action dùng để xác định loại hành động mà lấy tiêu chuẩn gặp rule so sánh xác gói liệu Những hoạt động điển hình sinh cảnh báo ghi thông điệp diện chứng cho rule khác Protocol dùng để áp dụng rule lên gói với giao thức riêng Đây tiêu chuẩn giám sát rule Bạn sử dụng thành phần khác để ngăn chặn địa từ mạng đầy đủ Chú ý có trường địa rule Địa nguồn đích xác định dựa trên trường direction Cho ví dụ, trường direction “ ”, địa phía bên trái nguồn, địa bên phải đích Trong giao thức TCP/UDP, port xác định cổng nguồn đích gói rule áp dụng lên Trong trường hợp giao thức lớp network IP ICMP, port numbers ý nghĩa Cho ví dụ, rule sau sinh cảnh báo phát gói ping ICMP (ICMP ECHO REQUEST) với TTL 100: alert icmp any any -> any any (msg: "Ping with TTL=100"; \ ttl: 100;) Phần nằm trước dấu ngoặc đơn gọi rule header Phần dấu ngoặc đơn rule option Header chứa phần sau:  Một rule action (hành động luật) Trong rule trên, action “alert”, có nghĩa cảnh báo sinh điều kiện bắt gặp Nhớ 61 gói ghi mặc định cảnh báo phát Phụ thuộc vào trường action, rule option chứa tiêu chuẩn cho rule  Protocol (giao thức) Ở ICMP, nghĩa rule áp dụng lên tất gói ICMP Trong Snort detection engine, giao thức gói ICMP, rule không làm gói để tiết kiệm thời gian xử lý CPU Thành phần protocol quan trọng bạn muốn áp dụng Snort rule gói loại riêng biệt  Địa nguồn cổng nguồn Trong ví dụ hai “any”, có nghĩa rule áp dụng lên tất gói đến từ nhiều nguồn Dĩ nhiên port number không áp dụng lên gói ICMP Port number thích hợp trường hợp protocol TCP hay UDP  Direction Trong trường hợp này, ký hiệu phải Nói lên địa port number bên trái dấu từ trái sang nguồn bên phải đích Điều có nghĩa rule áp dụng lên gói từ nguồn đến đích Bạn dùng dấ để định nghĩa địa nguồn/đích cho gói Ký tự sử dụng để áp dụng rule lên gói từ bên  Địa đích cổng đích Trong ví dụ hai “any”, có nghĩa rule áp dụng lên tất gói không quan tâm đến địa đích Direction rule không đóng vai trò gí rule áp dụng lên tất gói ICMP di chuyển hai bên, sử dụng từ khóa “any” hai thành phần địa nguồn đích Rule Option: 62 Rule option theo sau rule header đặt cặp dấu ngoặc đơn Có thể lựa chọn hay nhiều lựa chọn truyền vào dấu Nếu bạn sử dụng nhiều lựa chọn, dạng lựa chọn AND Hành động rule header gọi tất tiêu chuẩn lựa chọn Bạn sử dụng option msg ttl ví dụ trước Tất lựa chọn định nghĩa từ khóa Những Rule option chứa đối số Thường lựa chọn có phần: từ khóa đối số Những đối số truyền vào từ lựa chọn từ khóa dấu “:” Chẳng hạn như: msg: "Detected confidential"; Lựa chọn msg từ khóa “Detected confidential” đối số cho từ khóa Sau từ khóa thông dụng Nó hoạt động giao thức riêng, có ý nghĩa khác theo giao thức Về nội dung (lớp application): Từ khóa content: Một chức quan trọng Snort, có khả tìm mẫu liệu bên gói Mẫu hiển thị dạng chuỗi ASCII hay nhị phân hình thức mã hexa Rule sau phát mẫu “GET” phần liệu gói TCP xuất phát từ địa 192.168.1.0 từ khóa GET thường sử dụng cho nhiều loại công HTTP; nhiên rule giúp cho bạn hiểu từ khóa làm việc mà thôi: 63 alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \ (content: "GET"; msg: "GET matched";) Rule tương tự liệt kê dang hexa: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \ (content: "|47 45 54|"; msg: "GET matched";) Số 47 tương đương mã ASCII G, 45 = E, 54 = T Bạn kết hợp dạng ASCII nhị phân hexa vào rule Ký tự hexa nằm cặp dấu “||” Có từ khóa khác dùng chung với content Những từ khóa tiêu chuẩn tìm mẫu bên gói Đó là: Offst Depth Nocase Từ khóa offset: Từ khóa offset sử dụng để bắt đầu tìm khoảng từ điểm bắt đầu phần liệu gói Dùng số làm đối số cho từ khóa Ví dụ sau bắt đầu tìm từ “HTTP” sau byte kể từ byte gói alert tcp 192.168.1.0/24 any -> any any \ (content: "HTTP"; offset: 4; msg: "HTTP matched";) 64 Từ khóa depth định nghĩa điểm để Snort ngừng tìm kiếm mẫu Từ khóa depth: Chỉ định giới hạn cho việc lấy mẫu Dùng depth cho phép bạn định khoảng byte gói Dữ liệu sau khoảng không lấy mẫu Nếu bạn kết hợp offset depth với content, bạn vùng liệu mà bạn muốn lấy mẫu Ví dụ bạn muốn tìm từ “HTTP”, lấy mẫu byte xét 40 byte đầu tiên: alert tcp 192.168.1.0/24 any -> any any (content: \ "HTTP"; offset: 4; depth: 40; msg: "HTTP matched";) Nó quan trọng bạn muốn giới hạn công việc tìm kiếm gói Cho ví dụ, thông tin yêu cầu HTTP GET tìm thấy từ đầu gói Không cần phải tìm toàn gói Nhiều gói capture với kích thước lớn, tốn nhiều thời gian để tìm kiếm Từ khóa nocase: Nocase thường kết hợp với content Nó đối số Nó giúp tìm mẫu liệu không phân biệt chữ hoa hay thường Từ khóa flow: Flow sử dụng để áp dụng rule phiên TCP đến gói phương hướng riêng Từ khóa dùng xác định phương hướng Những lựa chọn sử dụng cho từ khóa xác định phương hướng: to_client 65 to_server from_client from_server Những lựa chọn lần đầu gây cho bạn khó hiểu Từ “to” mang ý nghĩa đáp ứng (response) “from” mang nghĩa yêu cầu (request) Những lựa chọn khác sử dụng để áp dụng rule vào trạng thái khác kết nối TCP Lựa chọn stateless, áp dụng rule mà không cần xem trạng thái phiên TCP Lựa chọn established, áp dụng rule mà để xác lập phiên TCP Lựa chọn no_stream, bật rule để áp dụng vào gói mà không cần xây dựng từ luồng Lựa chọn stream_only, áp dụng rule gói xây dựng từ luồng Luồng TCP (TCP Stream)được xử lý tiền xử lý stream4 (thảo luận phần sau) Lựa chọn stateless established liên kết đến trạng thái TCP Lựa chọn IP: Từ khóa fragbits: Tiêu đề IP (IP header) chứa cờ bit, dùng để phân mảnh tái hợp gói IP Chức cờ sau: Bit dành riêng (RB – Reserved Bit), dùng cho tương lai Bit không phân mảnh (DF – Don’t Fragment Bit) Nếu bit bật, cho 66 biết gói IP không phân mảnh Bit có nhiều phân mảnh (MF – More Fragments Bit) D tương đương DF Tương tự, R RB, M MF Bạn dùng dấu “!” rule Ngoài ra, chung với “D,R,M”, ta thường thấy từ “+,-” Nó có ý nghĩa, “+” tức gắn thêm bit cờ với bit khác, “-” bỏ bớt số bit Từ khóa ipopts: Trong IPv4, tiêu đề 20 byte Bạn thêm lựa chọn cho tiêu đề IP Chiều dài phần lựa chọn lên đến 20 byte Lựa chọn IP dùng cho mục đích khác nhau, là: Record Route (rr) Time Stamps (ts) Lose Source Routing (lsrr): định tuyến nguồn nới lỏng Strict Source Routing (ssrr); định tuyến nguồn siết chặc Trong Snort rule, hầu hết lựa chọn thường dùng liệt kê RFC 791 http://www.rfc-editor.org/rfc/rfc791.txt Hacker dùng lựa chọn để tìm thông tin tổ chức mạng Ví dụ, loose strict source routing giúp hacker khám phá đườn dẫn mạng tồn hay không Dùng Snort rule, bạn phát nổ lực tìm kiếm hacker từ khóa ipopts Rule sau áp dụng cho Losse Source Routing: alert ip any any -> any any (ipopts: lsrr; \ msg: "Loose source routing attempt";) Bạn dùng từ khóa logto để ghi thông điệp vào file Tuy 67 nhiên, bạn định nhiều từ khóa lựa chọn IP rule Từ khóa ip_proto: Ip_proto sử dụng IP Proto plug-in để xác định số giao thức IP header Từ khóa yêu cầu số giao thức đối số bạn sử dụng tên cho giao thức định nghĩa file /etc/protocols Xem mẫu file tương tự sau: ax.25 93 AX.25 # AX.25 Frames ipip 94 IPIP # Yet Another IP encapsulation micp MICP #Mobile Internetworking Control Pro 96 SCC-SP # Semaphore Communications scc-sp 95 Sec Pro etherip 97 ETHERIP # Ethernet-within-IP Encapsulation encap 98 ENCAP # Yet Another IP encapsulation # 99 # any private encryption scheme gmtp 100 GMTP # GMTP ifmp 101 IFMP # Ipsilon Flow Management 102 PNNI # PNNI over IP Protocol pnni Rule sau kiểm tra giao thức IPIP sử dụng gói liệu: alert ip any any -> any any (ip_proto: ipip; \msg: "IP-IP tunneling detected";) Tiếp theo, ta dùng số thay tên (hiệu hơn) 68 alert ip any any -> any any (ip_proto: 94; \msg: "IP-IP tunneling detected";) Những giao thức tìm thấy từ ICANN http://www.icann.org Từ khóa id: Id dùng để so sánh trường ID phân mảnh tiêu đề IP Mục đích phát công mà có dùng ID cố định IP header Định dạng là: id: "id_number" Nếu giá trị trường id IP header 0, cho biết phân mảnh cuối gói IP (nếu gói IP bị phân mảnh) Giá trị cho biết phân mảnh gói không phân mảnh Id Snort rule dùng để xác định phân mảnh cuối gói IP Từ khóa tos: Tos dùng để phát giá trị trường TOS (Type of Service) IP header Ví dụ sau: tos: 1; Từ khóa ttl: Ttl dùng để phát giá trị Time o Live IP header gói Từ khóa có giá trị cho biết xác giá trị TTL.Từ khóa sử dụng với tất loại giao thức xây dựng giao thức IP, bao gồm ICMP, UDP TCP Định dạng chung sau: ttl: 100; 69 Tiện ích traceroute sử dụng TTL để tìm định tuyến đường gói Traceroute gởi gói UDP với giá trị TTL tăng dần Giá trị TTL giảm dần hop Khi có giá trị 0, router sinh gói ICMP đến nguồn Sử dụng gói ICMP này, tiện ích traceroute tìm địa IP router Ví dụ, để tìm router thứ 5, traceroute gửi gói UDP với TTL đặt Khi gói đến router thứ 5, có giá trị gói ICMP sinh Sử dụng ttl, bạn tìm cố gắng traceroute qua mạng bạn Từ khóa cần xác giá trị TTL so khớp Lựa chọn TCP: Từ khóa seq: Seq Snort rule kiểm tra sequence number gói TCP Đối số sequence number Nó có định dạng: seq: "sequence_number"; Sequence number phần tiêu đề TCP Từ khóa flags: Flags dùng để tìm cờ bit bật tiêu đề TCP gói Mỗi cờ dùng đối số cho flags Snort rule Bạn tham khảo thêm cờ flag TCP RFC 793 http://www.rfc-editor.org/rfc/rfc793.txt Cờ bit sử dụng cho nhiều công cụ bảo mật nhằm mục đích khác bao gồm công cụ quét cổng nmap Snort hỗ trợ loại cờ bit Bạn dùng dấu “!,+,*” giống cờ bit tiêu đề IP, tương ứng với phép AND, OR NOT alert tcp any any -> 192.168.1.0/24 any (flags: SF; \ 70 msg: “SYNC-FIN packet detected”;) Từ khóa ack: TCP header có trường Acknowledgemant Number, có chiều dài 32 bit Trường cho biết sequence number gói TCP bên gởi chờ đợi từ bên nhận Trường có ý nghĩa cờ ACK TCP header bật Công cụ nmap (http://nmap.org) sử dụng tính gói TCP đế ping máy Cho ví dụ, gửi gói TCP tới port 80 với cờ ACK bật sequence number Khi gói không truy cập bên nhận có áp dụng rule TCP, gửi gói RST Khi nmap nhận gói RST này, host hoạt động Phương pháp làm việc host mà không đáp ứng gói ICMP ECHO REQUEST Để phát loại ping TCP này, bạn tạo rule sau: alert tcp any any -> 192.168.1.0/24 any (flags: A; \ack: 0; msg: "TCP ping detected";) Rule cho biết thông điệp cảnh báo phát bạn nhận gói TCP với cờ A bật ACK chứa có giá trị Những cờ TCP liệt kê bảng Host đích 192.168.1.0/24 bạn sử dụng giá trị ACK rule, nhiên thêm vào Snort phát cho loại công Thường cờ A bật, giá trị ACK không Lựa chọn ICMP: Từ khóa icmp_id: Lựa chọn icmp_id phát ID gói ICMP Cú pháp là: icmp_id: 71 Trường nhận dạng ICMP tìm thấy thông điệp ICMP ECHO REQUEST ICMP ECHO REPLY (xem RFC 792) Trường sử dụng để so sánh ECHO REQUEST ECHO REPLY Thường bạn sử dụng lệnh ping, hai loại ICMP trao đổi bên gửi bên nhận Bên gửi gửi gói ECHO REQUEST bên nhận đáp ứng lại gói ECHO REPLY Trường có ích cho việc nhận gói đáp ứng cho gói yêu cầu Luật sau kiểm tra ICMP IP tiêu đề ICMP 100 sinh cảnh báo alert icmp any any -> any any (icmp_id: 100; \ msg: "ICMP ID=100";) Từ khóa icmp_seq: Lựa chọn icmp_seq tương tự icmp_id Cú pháp là: icmp_seq: sequence number trường tiêu đề ICMP có ích việc so sánh ECHO REQUEST ICMP ECHO REPLY (xem RFC 792) Từ khóa cho phép tìm sequence number đặc trưng Tuy nhiên, mà dùng từ khóa Xem rule sau, sequence number 100 sinh cảnh báo: alert icmp any any -> any any (icmp_seq: 100; \ msg: "ICMP Sequence=100";) Từ khóa itype: Tiêu đề ICMP đến sau tiêu đề IP chứa trường type.Từ khóa itype nhằm phát công sử dụng trường type tiêu đề ICMP Đối số cho số có định dạng sau: itype: "ICMP_type_number" 72 Trường type ICMP header gói liệu sử dụng để xác định loại gói ICMP Danh sách loại ICMP khác giá trị trường type tương ứng: Ví dụ, bạn muồn sinh cảnh báo cho loại thông điệp source quench, sử dụng rule sau: alert icmp any any -> any any (itype: 4; \msg: "ICMP Source Quench Message received";) Từ khóa icode: Trong gói ICMP, ICMP header đến sau IP header Nó chứa trường code Từ khóa icode dùng để phát trường code tiêu đề gói ICMP Đối số cho trường số có định dạng sau: icode: "ICMP_codee_number" Trường type tiêu đề ICMP cho biết loại thông điệp ICMP Trường code cho biết chi tiết loại Ví dụ, trường type có giá trị loại ICMP “ICMP redirect” Có thể có nhiều lý sinh ICMP redirect Trường code cho biết rõ loại lý đó: Nếu trường code 0, gửi gói ICMP đến mạng Nếu trường code 1, gửi gói ICMP đến host Nếu trường code 2, gói ICMP loại dịch vụ mạng Nếu trường code 3, gói ICMP loại dịch vụ host Icode Snort rule sử dụng để tìm giá trị trường code ICMP header Rule sau sinh cảnh báo cho gói ICMP đến host: 73 alert icmp any any -> any any (itype: 5; \ icode: 1; msg: "ICMP ID=100";) Hai từ khóa itype icode thường dùng chung với Nếu icode dùng thường không đạt công việc tốt loại ICMP khác có giá trị code giống 74 TÀI LIỆU THAM KHẢO Computer Security Principles and Practice - by William Stallings and Lawrie Brown http://www.informit.com/articles/article.aspx?p=782118 Intrusion Detection: Host-Based and Network-Based Intrusion Detection Systems Harley Kozushko - Thursday, September 11, 2003 Independent Study Network-Based Intrusion Detection Systems in the Small/Midsize Business - Daniel Owen 75