Tải bản đầy đủ - 0 (trang)
Chương 4 : Công cụ dò tìm xâm nhập IDS và Honeypot

Chương 4 : Công cụ dò tìm xâm nhập IDS và Honeypot

Tải bản đầy đủ - 0trang

4.1.2.1. Module giải mã gói tin

Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thơng qua hệ thống.

Một gói tin khi được giải mã sẽ được đưa tiêp vào modul tiền xử lý. Nhiệm vụ chủ yếu

của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phục hồi thành gói dữ

liệu hồn chỉnh ở lớp application, làm input cho hệ thống detection engine.

Q trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp Application

theo thứ tự của Protocol Stack.

4.1.2.2. Module tiền xử lý

Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói dữ liệu

đưa vào cho Module phát hiện phân tích. 3 nhiệm vụ chính:





Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thơng tin sẽ khơng đóng gói

tồn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiều gói tin rồi mới gửi

đi. Khi Snort nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin

ban đầu. Module tiền xử lý giúp Snort có thể hiểu được các phiên làm việc khác

nhau.







Giải mã và chuẩn hóa giao thức (decode/normalize): cơng việc phát hiện xâm nhập

dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dữ liệu

có thể được biểu diễn dưới nhiều dạng khác nhau. Ví dụ: một Web server có thể nhận

nhiều dạng URL: URL viết dưới dạng hexa/unicode hay URL chấp nhận dấu / hay .

Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ

xảy ra tình trạng bỏ sót hành vi xâm nhập. Do vậy, 1 số Module tiền xử lý của Snort

phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào.







Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này thường

để xử lý với các xâm nhập khơng thể hoặc rất khó phát hiện bằng các luật thông

thường. Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bất

thường đó là portscan và bo (backoffice). Portscan dùng để đưa ra cảnh báo khi kẻ

tấn công thực hiện quét cổng để tìm lỗ hổng. Bo dùng để đưa ra cảnh báo khi hệ

thống nhiễm trojan backoffice.



4.1.2.3. Module phát hiện

Đây là module quan trọng nhất của Snort.Nó chịu trách nhiệm phát hiện các dấu hiệu

xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu

thu thập được, từ đó xác định xem có xâm nhập xảy ra hay khơng.

Một vấn đề quan trọng đối với module phát hiện và vấn đề thời gian xử lý gói tin: một

IDS thường nhận rất nhiều gói tin và bản thân nó cũng có rất nhiều luật xử lý. Khi lưu lượng

mạng quá lớn có thể xảy ra việc bỏ sót hoặc khơng phản hồi đúng lúc. Khả năng xử lý của

module phát hiện phụ thuộc vào nhiều yếu tố: số lượng các luật, tốc độ hệ thống, băng thơng

mạng.

Một module phát hiện có khả năng tách các phần của gói tin ra và áp dụng luật lên

từng phần của gói tin:





IP header







Header ở tầng transport: TCP, UDP







Header ở tầng application: DNS, HTTP, FTP …







Phần tải của gói tin

Do các luật trong Snort được đánh số thứ tự ưu tiên nên 1 gói tin khi bị phát hiện bởi



nhiều luật khác nhau, cảnh báo được đưa ra theo luật có mức ưu tiên cao nhất.

4.1.2.4. Module log và cảnh báo

Tùy thuộc vào module phát hiện có nhận dạng được xâm nhập hay khơng mà gói tin

có thể bị ghi log hay đưa ra cảnh báo. Các file log là các file dữ liệu có thể ghi dưới nhiều

định dạng khác nhau như tcpdump

4.1.2.5. Module kết xuất thông tin

Module này thực hiện các thao tác khác nhau tùy thuộc vào việc cấu hình lưu kết quả

xuất ra như thế nào.







Ghi log file







Ghi syslog







Ghi cảnh báo vào cơ sở dữ liệu







Tạo file log XML







Cấu hình lại Router, firewall







Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP



4.1.3. Quy tắc của Snort

Snort cho phép tùy chỉnh những quy tắc để đáp ứng nhu cầu mạng.

Các quy tắc của Snort giúp phân biệt giữa các hoạt động bình thường và các hoạt động

độc hại.

Các quy tắc Snort phải được chứa trên một dòng, các quy tắc của Snort khơng xử lý

được trên nhiều dòng.

Quy tắc Snort đi kèm với hai phần logic.

-



Phần đầu : xác định hành động của các rule chẳng hạn nhu báo động, thực hiện tự

động.



-



Phần lựa chọn : xác định các gói tin báo động thuộc các luật nào.



4.1.3.1. Snort rules: các quy tắc hoạt động và giao thức IP

Rule action :

-



Phần tiêu đề lưu trữ đầy đủ các thông tin về gói tin và xác định hành động để thực

hiện hoặc các luật nào đã áp dụng.



-



Các hành động của Snort báo động khi nó tìm thấy một gói tin gây nguy hiểm.



-



Có 3 hành động sẵn sàng tỏn Snort :

+ Alert : tạo ra một cảnh báo bằng cách sử dụng phương pháp lựa chọn cảnh

báo và khi truy nhập các gói tin.

+ Log : bản ghi gói tin.

+ Pass : loại bỏ (bỏ qua) các gói tin

IP protocols :



-



Có 3 giao thức IP Snort hỗ trợ là : TCP, UDP, ICMP.



4.1.3.2. Snort rules : Điều khiển hệ thống và địa chỉ IP

Điều khiển hệ thống



-



Chỉ đường cho việc truyền thông của hệ thống và việc truyền thông có thể theo một

hướng nhất định (->) hoặc nhiều hướng (<>).



-



Ví dụ : Snort sử dụng điều khiển 2 chiều.

Log !192.168.1.0/24 any <> 192.168.1.0/24 23

Địa chỉ IP



-



Nó thỏa thuận các thông tin về địa chỉ IP, cổng cho bất kỳ các luật dặc biêt nào.



-



Sử dụng từ khóa “any” để xác định bất kì địa chỉ Ip nào.



-



Snort chấp nhận những địa chỉ được tạo thành bởi một số các địa chỉ và một khối

CIDR áp dụng netmark vào các luật về địa chỉ để xác định các gói tin khơng hợp lệ.



-



Ví dụ : địa chỉ IP sai quy tắc

Alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content :”|00 01 86 a5|”;

msg: “external mountd access”;)



4.1.3.3. Snort rules : Số cổng

Số cổng có thể được liệt kê bằng nhiều cách khác nhau bao gồm “any” cổng, xác định

cổng tĩnh, dãy cổng và các cổng sai quy tắc.

Dãy số hiệu cổng chỉ ra những cổng được phép hoạt động “:” .

Ví dụ : Cổng không hợp lệ

Log tcp any any -> 192.168.1.0/24 !6000:6010

Protocols

Log UDP any any ->



IP address

192.168.1.0/24 1:1024



Log TCP any any ->



192.168.1.0/24 :5000



Log TCP any :1024 ->



192.168.1.0/24 400:



Action

Gói tin UDP truyền từ bất kì cổng nào

và cổng đích (nhận) là từ 1 đến 1024

Gói tin TCP được truyền từ bấy kỳ

cổng nào đến những cổng nhỏ hơn

hoặc bằng 5000

Gói tin TCP được phép truyền từ

những cổng <=1024 và đích đến là

những cổng >=400



4.2. Công cụ Honeypot

4.2.1. KFSensor

KFSensor là một máy chủ dò dùng để dò tìm sự xâm nhập vào hệ thống (IDS).

Nó hoạt động như một honeypot để thu hút và phát hiện kẻ xâm nhập bằng cách giả vờ

như một hệ thống dễ bị tấn công và dễ nhiểm Trojan.



4.2.2. Đặc điểm

-



Quản lý bằng giao diện GUI.



-



Cho phép quản lý từ xa.



-



Tương thích với snort.



-



Có khả năng cạnh tranh với các giao thức Windows.



-



Xuất các bản ghi ở nhiều kiểu định dạng.



Bảo vệ khi bị tấn công DoS.



CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS,

FIREWALL VÀ HONEYPOTS

5.1. Các kiểu tấn công IDS :

5.1.1. Tấn công từ chối dịch vụ :

Trong một cuộc “tấn công từ chối dịch vụ“, một kẻ tấn công sẽ cố gắng ngăn cản

người dùng truy cập tới các website hay các dịch vụ trực tuyến. Mục tiêu nhắm đến của kiểu

tấn công này là các máy tính và các kết nối của mạng của máy tính đó,các máy chủ web và

kết nối mạng, dịch vụ của các website đó, một kẻ tấn cơng có thể ngăn cản bạn truy cập vào

email, các website hay các tài khoản trực tuyến (banking, v.v).

Cách phổ biến và cung hay gặp nhất của tấn công DOS là khi một kẻ tấn công cố

gắng làm “ngập lụt” (flood) mạng của bạn bằng cách gửi những dòng dữ liệu lớn tới mạng

hay máy chủ website của bạn. Khi bạn gõ một URL của một website cụ thể vào trình duyệt,

bạn sẽ gửi một yêu cầu tới máy chủ của website đó để xem nội dung trang web.Máy chủ

web chỉ có thể xử lý một số yêu cầu cùng một lúc, như vậy nếu như một kẻ tấn công gửi quá

nhiều các yêu cầu để làm cho máy chủ đó bị q tải và nó sẽ khơng thể xử lý các yêu cầu

khác của bạn.Đây chính là một cuộc tấn cơng “từ chối dịch vụ” vì bạn khơng thể truy cập

vào trang web hay dịch vụ đó nữa.

Một kẻ tấn cơng có thể sử dụng các email spam để khởi động một cuộc tấn công tương

tự vào tài khoản email của bạn. Mặc dù bạn sử dụng một tài khoản email được cung cấp bời

cơ quan của bạn hay thông qua một dịch vụ email miễn phí như Yahoo, HotMail, Gmail…

bạn cũng sẽ bị giới hạn số lượng dữ liệu có thể có trong tài khoản của bạn. Bằng việc gửi

nhiều hoặc gửi các email với kịch thước lớn tới tài khoản của bạn, một kẻ tấn cơng có thể

làm quá tải dữ liệu giới hạn của bạn khiến bạn không thể nhận được các email hợp lệ khác.

Trong một cuộc tấn công DDOS, một kẻ tấn tấn công không chỉ sử dụng máy tính của

mình mà còn lợi dụng hay sử dụng hợp pháp các máy tính khác. Bằng việc lợi dụng các lỗ

hổng bảo mật hay các điểm yếu của ứng dụng, một kẻ tấn cơng có thể lấy quyền kiểm sốt

máy tính của bạn. Sau đó họ chúng có thể lợi dụng máy tính của bạn để gửi các dữ liệu hay

các yêu với số lượng lớn vào một trang web hoặc gửi các thư rác đến một địa chỉ email cụ

thể. Gọi là tấn công “phân tán – Distributed” vì kẻ tấn cơng có thể sử dụng nhiều máy tính,

bao gồm cả chính bạn để thực hiện các cuộc tấn cơng từ chối dụng vụ.

Có năm kiểu tấn công cơ bản sau đây:



1. Nhằm tiêu tốn tài ngun tính tốn như băng thơng, dung lượng đĩa cứng hoặc thời

gian xử lý

2. Phá vỡ các thông tin cấu hình như thơng tin định tuyến

3. Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.

4. Phá vỡ các thành phần vật lý của mạng máy tính

5. Làm tắc nghẽn thơng tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn

đến việc liên lạc giữa hai bên không được thơng suốt.

Một cuộc tấn cơng từ chối dịch vụ có thể bao gồm cả việc thực thi malware nhằm:





Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì một cơng việc

nào khác.







Những lỗi gọi tức thì trong microcode của máy tính.







Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt

động không ổn định hoặc bị đơ.







Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên

hoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến khơng một cơng

việc thực tế nào có thể hồn thành được.







Gây crash hệ thống.







Tấn cơng từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang

web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của

trang web đó bị q hạn.



5.1.2. Qt và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định điểm yếu.

Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như kiểm tra các cổng TCP

hoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Chương 4 : Công cụ dò tìm xâm nhập IDS và Honeypot

Tải bản đầy đủ ngay(0 tr)

×