Cách bảo vệ dữ liệu quan trọng và phương pháp phát hiện thâm nhập phần 2

Vì vậy, để bạn đọc nhanh chóng nấm bắt được các kiến thức cần thiết vẻ IDS va quan tr} sắc công cụ này một cách tốt nhất, chương này chúng lôi tập trung giới thiệu cách sử dụng và cấu hì

Chưởng 4 Phương pháp kiểm tra và phát hiệ thăm hap 100 BI" Chương 4:

PHƯƠNG PHÁP KIEM TRA VA

PHAT HIEN THAM NHAP

“Tim hiểu về một số hệ thống 1DS

'Hệ thống phát hiện thâm nhập 1D8

Hộ thống phát hiện thâm nhập Snort

Chương trinh IDSCenter

Quin tri Snort biing IDS Policy Manager

"Để hệ thống của công ty nói chung và máy tinh cia ban nói riêng (được an toàn trong mọi tình huống thì ngoài việc chon cho máy tinh một chương trình điệt Virus đũ mạnh, xmột tường lửa hiệu quả thì bạn cân phải có một chương trình giúp kiểm tra và phát hiện thâm nhập (D8)

6 rất nhiễu chương trình IDS (Intrusion Detect System), nhưng không phải chương trình nào cũng đủ mạnh và hiệu quả Vì vậy, để bạn đọc nhanh chóng nấm bắt được các kiến thức cần thiết vẻ IDS va quan tr} sắc công cụ này một cách tốt nhất, chương này chúng lôi tập trung giới thiệu cách sử dụng và cấu hình công cv Snort cũng như các tiện ích giúp bạn sử dụng và quản lý Snort

Snort là một IDS miễn phí, khi được cài dat và cấu hình trên máy, tính nó sẽ là một hệ thống kiểm tra và phát hiện thâm nhập tuyệt vời Smor là chương trình mã nguễn mở nên bạn có thể viết luật và điểu chinh các biến một cách dễ dàng:

Moi chite ning cũng như hoạt động của Saort đều được thực hiện ở giao điện đồng lệnh nên rất kém thân thiện đối với một số người dùng

Vi vậy, trong chương này chúng tôi sẽ giới thiệu đến bạn đọc các công cụ

hy [DSCenter, IDS Poliey Manager giúp sử dụng và quân trị 8nort bằng giao điện đỗ họa

36 Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập

1 Tìm hiểu về một số hệ thống IDS

1, Giới thiệu

Các Hackers, Attackers luôn tìm những mạng máy tinh có khả nang théa hiệp để phát hiện những lỗ hổng, từ đó đưa ra các phương pháp thâm nhập phù hợp với lỗ hổng mà Hacker tìm được

Lya chon và điều chỉnh các thiết lập phù hợp trong mạng máy tinh của bạn có thể dé dang ngăn chặn các truy cập của Hacker,

IDS, Firewall vk Honeypot la cde ky thuật quan trọng có thể giúp

"gĩn chặn hiệu quả sự thâm nhập của Attacker từ những mang thỏa hiệp

*_ HOneyport: Là một hệ thống tài nguyên thông tín được xây dựng với Thục đích gid dạng, đánh lừa những người sử dụng và kẻ xám nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng lếp xúc với hệ thống thật Honeypok có thể giả dạng bất cứ loại máy ghủ nào như Mail Server, Domain Name Server, Web Server Honeypot sẽ trực tiếp tướng tác với tỉn tác và tìm cách khai thác thong tin về tín tặc như hình thức tấn công, công eụ tấn công hay

ch thức tiến hành

II Hệ thống phát hiện thâm nhập IDS

1 Giới thiệu về IDS

IDS còn c6 thể phân biệt giữa những tấn công từ bên trọng đi hing ngubi trong công ty) hay tấn công từ bên ngoài (tr các Hacver

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 18!

IDS phát hiện dựa trên các đếu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm điệt virus dựa vào các đấu hiệu đặc biệt để phát hiện và diệt virus) hay đựa trên sơ sánh lưu thông mạng hiện tại với baseline (thông số chuẩn được thiết lập sẩn trong hệ thống) để tim ra các cấu hiệu khác thường

3 Chức năng của IDS

Chức năng cũa TDS ta có thể tóm tắt như sau:

© Bio vé: Dong những thiết lập mặc định và những cấu bình từ "người quản trị để có những hành động chống lại kẻ thâm nhập và phá hoại

$ Phát hiện: Dựa vào sự so sánh lưu lượng mạng hiện tại với Baseline, IDS có thể phát hiện ra những đấu hiệu bất thường và đưa ra các cảnh báo và báo vệ ban đầu cho hệ thống

8, Nơi đặt IDS

Giả sử ta có một mô hình mạng như hình 4.1, các thành phẩn chính của mô hình này như sau:

98 — Chương á: Phương pháp kiểm tra và phát hiện thâm nhập

Internal Network: Đây là hệ thống mạng cục bộ, gốm các máy trạm,

Firewall: Treng mô hình này, ta sử dụng hai tưởng lửa và được đặt ở hai vị trí khác nhau

$+ IDS: He thống IDS được đặt tại hai tường lửa và hoạt động theo

nô hình cia meng DMZ,

© Web Server, FTP Server, Mail Server: Các Server này được bao quanh bằng tường lửa và hệ thống IDS để ngăn ngừa và phát hiện các cuộc tấn công cả bên trong lẫn bên ngoài

TRouter: Hệ thống định tuyến, được dùng để truy cập ra Internet, External Network 1, 2: Là hai hệ thống mạng độc lập và liên Ine với nhau thông qua VPN (Virtual Private Network) (xem hinh

Tình 4.1: Nơi doe IDS,

4 Phân loại IDS

4.1 Network Based IDS (NIDS)

“Bay la he thống 1DS được đặt giữa kết nối hệ thống mạng bên

trong và mạng bên ngoài để giám sát tất cả lưu lượng vào ra

Loại 1DS này có thể là một thiết bị phẩn cứng riêng biệt được thiết lập sẵn hoặc phén mém cài đạt trên máy tính, chủ yếu dùng để đo kêu lượng mạng được sử dụng

Nhược điểm của IDS nay là có thể xảy ra hiện tượng thất cổ chai khí lưu lượng mạng hoat dong ở mức cao (xem hình 42)

1S Etna Network

Tình 4.8: Network Based IDS (NIDS)

4.2, Host Based IDS (HIDS)

Loại IDS nay duge cai dat eve bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiễu so với N1DS

Chức năng chính của HIDS là kiểm soát lưu lượng vào ra trên một, máy tính, có thể được triển khai trên nhiều máy tính trong hộ thống mang

HID§ có thể được cài đặt trên nhiều đạng máy: tính khác nhau, ví

dụ như: Các máy chủ, máy trạm, máy tính xách tay HIDS cho phép bạn thực hiện một cách lính hoạt (rong các đoạn mạng mà NIDS không thể thực biện được Lưu lượng gửi tới máy tính được HIDS phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm, HIDS được thiết kế hoạt động chủ yếu trên hệ điễu hành Windows, cũng có một số HIDS hoạt động trong nến ứng dụng UNIX và nhiều hệ điều hành khác (xem hình 44)

140 Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập

‘Hinh 4.3: Host Based IDS (HIDS),

4.3 Theo doi tap tin Log

Một số hệ thống IDS thường phân tích dữ liệu trong các tập tin log

46 xde định và đứa ra cảnh báo về một cuộc tấn công nào đó Quá trình phân tích các thông tin trong tập tìn log sẽ được thực hiện ngay khi một chuỗi các sự kiện truy nhập lỗi được các chương trình log ghỉ lại

4-4 Miểm trở sự toàn nen của tập tin

Co chế này có chức năng kiểm tra sự tên tại của Trojan hay sự toàn ven sác tập tin, xác định xem các tập tin này có bị sửa đổi hoặc bị thâm nhập hay không,

5 Các cách phát hiện thâm nhập

ð.1 Phát hiện thâm nhập dựa oào luật

"Đây là phương pháp phát hiện thâm nhập dựa vào những hiểu biết

VỀ các cuộc tấn công Chúng biến đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hop Như vậy, dấu hiệu tấn công có thể được tìm thấy trong các bản ghi (record),

Môi bản ghi sẽ chứa các mô tả về những đấu hiệu của các cuộc tấn sông Hệ thống sẽ phân tích lưu lượng mạng và so sánh với những dấu tiêu trong bản ghi để đưa ra các hành động phù hợp Các dữ liệu trong mỗi bản ghỉ này được gọi là luật

“Chương á: Phương pháp kiểm tra và phát hiện thâm nhap 140 B® 5.8 Phân biệt § định người dùng

ỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện được trên

bệ thống (chức năng người dùng) Bộ phân tích giữ một tập nhiệm vụ có thể chấp nhận cho mỗi người đùng Nếu có bất kỳ một truy cập nào không hợp lệ thì hệ thống sẽ đưa ra một cảnh báo

5.3 Phân tích trạng thái phiên

Mật tấn công được miêu tả bằng một tập các mục tiêu và phiên Để thâm nhập hoặc gây tổn bại cho hộ thống thì Hacker cần phải thực biện thông qua các phiên này Các phiên được trình bày trong sơ đổ trạng thái phiên Nếu phát biện được một tập phiên vi phạm, ID6 sẽ tiến hành cảnh báo hay hồi đáp lại bằng các hành động đã được định trước 5.4 Phương pháp phân tích thống kê

Hành vi người ding hay hệ thống được tính theo biến thời gian; ví

dy cfc bién như: đăng nhập, đăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,

"Hệ thống sẽ lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Tuy nhiên, phương pháp này không thích hợp với mô hình hành vi người ding ey thé

VÀ vậy, một md hinh tinh vi hon về hành vi người dòng đã được phát triển bằng cách sử dụng thông tin người ding ngấn bạn hoặc dài đối trong hành vi người dòng Các phương pháp thống kê thường được sit dụng để bổ sung vào IDS làm tăng khả năng và độ chính xác của hệ thống khi đưa ra các hành động

II Hệ thống phát hiện thâm nhập Snort

1 Giới thiệu

Snort 1a một IDS, né là một chương trình được cài đặt trên mạng, (hay máy tính), nhiệm vụ của Snort là giám sát những gối tin vào ra hệ thống của bạn

'Nếu một cuộc tấn công được Snort phát hiện thì nó sẽ phản ứng lại bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà người quản trị thiết lập, ví ả như nó có thể gửi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát biện có sự bất thường trong các gối tin đó

442 Chương 4: Phương pháp kiểm tra và phát hiển thâm nh

“Tuy nhiên, Snork chỉ số thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được đấu hiệu (signature) của các cuộc tấn công

đó, Dựa vào điểm này, các Hackers e6 thé diu chink các cuộc tấn công để thay đổi sighature của cuộc tấn công đó Từ đó, các cuộc tấn công này có

‘thé "qua mặt” được sự giám sát của Snort

Như vậy, 48 Snort hoat động hiệu quả thì một trong những yếu tố quan lrọng cẩn phải chú ý là các luật viết cho Snort Khi Snori hoạt động, nổ sẽ đọc các tập luật, giám sát luồng đữ liệu chạy qua hộ thống và

sẽ phản đng nếu có bất kỳ luỗng dữ liệu nào phù hợp với tập luật của nó

"Tập luật có thể được tạo ra để giảm sát các công việc quết cổng (eeanning), tìm đấu vết (footprinting) hoặc nhiều phương pháp khác mà các Haeker dùng để tìm cách chiếm quyển hệ thống Tập luật nay có thể được tạo ra bởi người ding hose truy cập đến trang chil cia Snort la httpJhewtw.snort.org để tãi về

3 Download và cài đặt Snort

Để download và cài đặt Snort, bạn thực hiện theo các bước sau

1 Mở trình duyệt bất kỳ, trên thanh Address (địa chỉ nhập http://www snort.org để mô trang cung cấp chương trình 8nort Tại 6 bên trái của trang www-snortorg, bạn nhdp nit Get Snort (xem hình 4.4)

ong —

Hình 4.4: Nhấp nuit Get Snort,

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập us

3, Trong mục Latest Production Snort Release, nhấp vào mục CHekk

to view binaries (xem hình 4.5)

Hình 4õ: Nhấp uào mue Click to view binaries

4, Tai mye Binaries, ban nhấp vào liên kết Win8#/ để mở thư mục chứa chương trình Snort (xem binh 4.6)

Hình 4.6: Mở thư mục chứa chương trình Snort

5 Trong mục Win82 Binaries, nhấp vào Old để mỡ thư mục chứa các phiên bản cũ hơn ciia Snort, Hiện nay, Snort đã có phiên bản 2.8.4 nhưng phiên bản này hoạt động chưa được ẩn định, do vậy trong mục này chúng tôi sẽ giới thiệu cách sử dụng phiên bản 2.3.3 của Snort (xem hin 4.7)

Hinh 4.7: Mé thu mye old,

6 Kéo thanh trượt xuống dưới và nhấp vào liên kết Snort 283_Build14_Installer.exe để download Snort về máy tính (xem bình 4.8)

inh 4.8: Download Snort v8 mdy tinh

7 Sau khi qué trinh download hoàn thành, bạn nhấp đôi vào tập tin Snort.288.Build14_Enstaller.exe (tập tin Snort vừa download về

máy tính) để khôi động chương trình cài đặt

Tại trang Lieense Argreement, nhấp nút I Agree dé chấp nhận các điều khoản của Snort,

vương 4: Phuong php kidin tra va phét hiện thâm nhấp — 146 ÑŸ”

9, Tai trang Installation Options, hãy xác định loại cơ sở dữ liệu mà ban muốn chương trình hỗ trợ Vĩ dụ, chọn Ï đo not plan to log to a database, or I am planning to log to one of the databases Histed above, sau đó nhấp nút Next để tiếp tục (xem hình 4.9),

Hình 4.9: Chọn đối tượng mà bạn muốn chương trình hỗ trợ

10 Tai trang Choose Components, đánh dấu chọn vào các mục: Snort, Documentation, Schemas; sau đó nhấp nút Next để tiếp tục (xem hình 4.10),

146 — Chương á:Ph đi

im tra và phát hiện thâm nhập

11 Tai trang Choose Iastall Loeation, nhấp nút Browse để thay đổi đường dẫn cài đặt chương trình, sau đó nhấp nút Next để cài đặt Snort Trong mục này chúng tôi để mặc định là C:\Snort Hướng dẫn thêm:

‘Sau khi quá trình cài dat Snort thành công, chứng ta sẽ có thêm, thư mục Snort tại ổ đĩa của máy tính Trong thư mục C:\§nort có 7 thư mục con đồ là: bin, contrib, doc, ete, log, rules, schernas và tập tin Uninstall.exe Chức năng cụ thể của từng thư mục như sau:

#_ Bìn: Đây là thư mục chứa tập tin thye thi Snort.exe và một số tập tin DLLs được gọi khi Snort chay

® Contrib: Thư mục này chứa một số chương trình liên kết và một

86 Add-ons clin Snort

Doe: Thur mye nly chứa các tùy chọn của Snort và một số mô tả

Schemas: Thu mye này chứa cá mô hình cơ sở dữ liệu

3 Download và cài đặt WinPeap

“Trước khi sử dụng Snort thi mdy tính của bạn phải cài đặt chương: trình WinPeap Để download và cài dat WinPeap, bạn thực hiện theo các bước sau

1 Mô trình duyệt bất kỹ, trên thanh Address (thanh địa chỉ) nhập htip/Awww.wlnpeap.org, sau đó nhấn Enter để vào giao điện chỉnh

“của trăng cong cấp chương trình WinPeap

2 Tai ô bên trái của trang www.winpcaporg, nhấp vào mục Get 'WinPeap (xem hình 4.11),

ch vương 4: Phương pháp kiểm tra và phát biện thâm nhập — 14

dt

3, Kéo thanh trượt xuống mục Older Versions, sau đó nhấp,

Archive để mỡ thư mục chứa các phiên bản cũ hơn của WinPcap

Để tương thích với Snort 23.8 thi hệ thống yêu cấu phải có

vào liên kết WinPeap 3.0 hoặc mới hơn Trong rave này chúng ta sẽ sử đụng WinPeap 8.0 (xem hinh 4.12),

Sau khi quá trình đownl‹

Nhấp vào liên kết 30-WinPcap.exe để download WinPcep về máy

load hoàn thành, bạn nhấp đôi vao tap tin 'WinPeap mới download xong) để cài đặt

148 —— Chương 4: Phương pháp kiếm tra và phát hiện thâm nhập

6 Tiép theo, bạn thực hiện cài dat WinPcap như các chương trình bình thường khác

4 Download va cai dt Rules cho Snort

Dé Snort hoạt động tốt thì sau khi cài đặt chương trình, ta phải cập nhật Rules cho nó, các bước thực hiện như sau:

L Mở trình duyệt bất kỷ, trên thanh Address nhập httpe/www.snortorg, sau đó nhấn Enter để mở trang, Tai trang www.snort.org, bạn kéo thanh trượt xuống dưới và nhấp vào liên kết Not Registered để mở trang đăng ký tài khoản

Để download được các Rules của Snort thì trang này yêu cầu người dùng đăng ký một tài khoản Ngoài việc tải ede Rules, người dùng có thé

sử dụng tài khoản miỄn phí này để thảo luận các mục liên quan đến Snort trén điễn đàn (xem hình 4.13)

"Hình 4.18: Nhấp oào muc Not Registered

$ Tại mye Enter Registration Information, bạn thực hiện như sau để đăng ký tài khoản:

#_ Firstname: Nhập vào tên của bạn

'#_ Lastname: Nhập vào họ của ban,

‘ Position: Nhép'vao vj tri cong việc hiện tại của bạn (bất kỳ).

Chương 4: Phương pháp kiểm tra và phát hiện thám nhập — 148

Company/Organization: Nhập tên công ty hoặc tổ chức mà bạn đang làm việc (tên bất kỳ)

"Nhập vào địa chỉ của bạn (tùy 3)

(City: Nhập tên thành phố,

State/Province: Nhập NIA

+ Address 1,

'Country: Nhập tên quốc gia

Zip: Thành phố Hé Chi Minh nhập 70000, Hà nội nhập 40000,

Email Address: Nhập địa chỉ Email của bạn, địa chỉ này phải có thật và được sử dụng để kích hoạt tài khoản

Forums Alias: Nhép vào tân, tên này được hiển thị khi bạn đăng nhập vào điễn đàn của Snort (xem hình 4.14)

Hình 4.1á: Nhập (hông tin dang by

4ˆ Kéo thanh trượt xuống đưới sau đó nhấp nút Register đổ đăng ký tài khoản

5 Mở email mà bạn đã dùng để đăng ký tài khoản trên trang worw snortorg để lấy thông tin tài khoản và mật khẩu đăng nhập (xem hinh 4.15)

GB iso chusomg 4: Phang psp kidm trà và phát hiện thâm nhập

Hình 4.16: ấy thông tin đăng nhập

6 Mở trình duyệt bất kỳ, trên thanh Address nh§p http//www.snortorg để mở trang nay

“Tại mye Account, nhập địa chỉ email ma bạn đã dùng để đăng ký vào mye email, nhập paasword mà chương trình đã gửi cho bạn trong mục Password, sau đó nhấp nút Login để đăng nhập (xem hình 4.16),

2 to er bone ioe

2OO8 ers 8

Hình 4.16: Dang nhap

8 Kéo thanh trượt xuống dưới cùng của trang, sau đó nhấp nút Get 'Code để hiển thị đoạn mã trong mye Oink Code Đoạn mã này được sử dụng để thay thế cho một đoạn của URL để download các Rules cho Snort (xem hình 4.17)

Thương 4: Phương pháp kiếm tra và phát hiện thâm nhập 161”

snortrules-snapshot-2 tar.gz va Paste (dần) vào cửa sổ soạn thio Notepad hoặc một chương trình soạn thảo văn bản bất kỳ (xem hình

10 Tikp theo, chép doan ma trong mye Oink Code vào Clipboard (bộ nhớ đệm của máy tính) (xem hình 4.18)

Hinh 4.19: Copy đoạn mã ào Clipboard

11, Thay đoạn 5a08f48e16a#78e1012e1e84bdcBfab9a70e2a4 trong URL http//www.snort.org/pub-binoinkmaster.cgi/ 5a08f649¢16n278e 10126 1e84bdcSfab9a70e2ad/snortrules- snapshot 2.3.tar.g2

bằng đoạn eB6(836ae8500cbedb7eebeB71876e6/f039f3f1, như vậy URL mới sẽ là:

htlpz/wwWw.snort.org/pub-bin/oinkemaster.egi/

©ð9f886ac8500chedb7cebc871876eGff039f3f1/snortrule: snapshot-2.3.tar.gz (xem hình 4.20),

:09f649c16327841013e1c04bdzArab320a54srortru -E6f616ac8500cbađò7ccbca71A28s5Fr018E1fsnor tru: Hình 4.80: Thay thế đoạn mã trong URL

Chwong 4: Phương pháp kiểm tra và phát hiện thâm nhập — 153

Hinh 4.21: Download Rules

38 Giải nén t@p tin snortrules-snapshot-2.3.targz ta được thư mục snortrules-snapshot-2.3, sau đó chép tất cả các thư mục con của snortrules-snapshot-2:8 vào Ct\Snort (ghỉ đè lên các tập ti đã tôn tại)

14 Vào Start > Run nhập emd, sau đó nhấn Bnter để mở cửa số cmd

15, Tai đấu nhắc lạnh của của sổ cmđ, nhập Snort\bin\anort =W, sau đó nhấn Enter để thực hiện Lạnh này có chức năng kiểm tra quá trình hoạt động của Snort và WinPeap Nếu WinPeap chưa được cải đặt hoặc phiên bản cài đặt không đúng thì những thong tin vé Driver eda Card mang trong hệ thống sẽ không được hiển thị (xem hình 4.22)

Tình 4.38: Kiểm tra hoat dong ciia Snort

5 Cấu hình tập tin Snort.conf

Tập tin Snort.conf diéu khiển mọi thứ vẻ Snort như: Snort sẽ giám sát cái gì, chúng tự bảo vệ ra sao, các luật nào được sử dụng để tìm lưu

BAP 51 Chuang 4: Phuong php kiém tra va phét biện hôn nhập

lượng nguy hiểm, Việc tìm hiếu một cách thấu đáo những gì trong tập tin này và cách cấu hình chúng là rất quan trọng vì nó sẽ gép phần triển khai Snort một cách đúng đẩn và thành công trên hệ thống của bạn Để cấu hình tập tin Snort.eonf, bạn thực hiện theo các bước sau:

1 Vito Start > Run nhép emd, sau đó nhấn Enter để mở cửn sổ emd

3 Tại dấu nhấc lệnh của cửa sổ cmả, nhập ipeonfig /all để hiển thị tất cả các dja chi IP trong máy tính

“Sau khi các địa chỉ IP được hiển thị, bạn ghí lại các thông số như:

© IP Address: Địa chỉ IP trên mấy tính của bạn, ví dụ 192,168.1.100

% DNS Servers: Địa chỉ IP của DNS, ví dy: 221.199.1.2 va 221,193,022 (xem hình 4.28)

Hinh 4.28: Ghi loi thông số TP

3 Nhấp phải chuột vào biểu tượng My Computer trên Desktop vi di chuyển đến thư mục C:\Snort

4 Nhấp đôi vào thy mye Bin và mở tập tin snort.eonf bằng Wordpad hoặc bằng bất kỹ một trình soạn thảo vân bản nào (rong mục này chúng tôi dùng phân mễm Edit Plus để mồ)

5 Khi tập tin snort.conf được mở, ban tim dén dong var HOMM_NET any và thay tham số any bằng địa chỉ IP trên máy tinh của bạn, ví du: 192,168.1,100, Như vậy, sau khi đổi tham số any, biến mới cia dong var HOME NET any sẽ thành var HOME NET 192.168.1100 Biến HOME, NET này có chức năng báo cho Snort biết là nó chỉ bảo vệ cho một hệ thống có địa chỉ IP là 192.168.1.100 (xem hình 4.24)

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 155]

có thể khai báo là var HOME, NET 182.168.1024

Ngoai ra, bạn cũng có thể khai báo một nhóm các địa chỉ IP eda bảo vệ thay vì bảo vệ toàn bộ lớp mạng bằng cách đặt tất cả các địa chỉ

TP cần bảo vệ trong đấu ngoộc vuông ([ ] và phân cách nhau bằng dấu phẩy Q) không có đấu khoảng trắng Ví dụ, cẩn bảo vệ 8 dja chi IP là 189.168.1100, 101001 và 1721601 bạn khai báo như sau: vì HOME, NET [192.168.1.100,10.10.0.1,172.16.0.1)

6 Tiếp tue trong tập tím snortcom, bạn tìm đến dòng var EXTERNAL NET any và thay tham số any bằng biến '§HOME, NET

Dấu chấm than 0) trong biến !§HOME,_NET là cách gọi phủ định, điều này có nghĩa là Snort sẽ xác định tất cã các địa chỉ IP trừ địa chỉ 182.188.1100 là địn chỉ bên ngoài và không thuộc phạm vi bảo vệ của Snort

Thi gọi bất kỳ một biến nào trong tập tin snort.conf thi ben pha đặt kế tự § lên đâu của biến được gọi (xem hình 4.28)

Hinb 4.25: Khai bdo bién EXTERNAL _NET

7 Tiếp theo, bạn thm dong var DNS_SERVERS $HOME_NET, sau đó thay tham số $HOME_NET bing các dia chi IP của DNS Server

Ví dụ thay biến $HOME_NET bằng địa chỉ IP (221.188.1.3/281.183.0.2] Sau khi thay giá trị khai báo thi dong var ĐNSSERVERNS $HOMENET thành var DNS SERVERS (#1.188.1.8,281.188.0.3] (xem hình 4.26)

Hinh 4.26: Khai béo biển DNS_SERVERS

8 Tìm dòng var SMTP.SERVERS $HOME_NET va thay tham số HOME, NET bằng địa chỉ IP trên máy tính của bạn

Vi dy, thay tham số $HOME_NET bang dja chỉ 193.168.1.100 Sau

“khi khai báo biến thì dong var SMTP_SERVERS $HOME_NET thinh var SMTP_SERVERS 192.168.1.100 (xem hinh 4,27)

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập,

SL SETH OME IT

Hinh 4.27: Khai báo biển SMTP_SERVERS

wt

9, ‘Tim dong var HTTP_SERVERS $HOME_NET sau đó thay tham số

$HOME_NET bang dja chi IP trên máy tính của bạn

Vi dy, thay tham s8 $HOME_NET bing địa chỉ 193.168 1.100 Sau khi khai báo biến thì dong var HTTP_SERVERS $HOME_NET thanh var HTTP_SERVERS 192.168.1.100 (xem hinh 4.28)

Hình 4.88: Khai báo biến HTTP_ SERVERS

10 Tim dong var SQL_SERVERS $HOME_NET, sau đó thay tham số

$HOME_NET bing dja chi IP trên máy tính của bạn

‘Vi dy, thay tham 6 SHOME_NET bang địa chỉ 192.168,1.100 Sau khí khai báo biến thi dong var SQL_SERVERS $HOME_NET thanh var SQL_SERVERS 192.168.1.100 (xem hinh 4.29)

Hình 4.89: Xhai báo bién SQL_SERVERS

11, Tun dong var TELNETSERVERS $HOME_NET, sau dé thay tham số §HOME, NET bằng die chi IP trên máy tinh của bạn

‘Vi dy, thay tham s6 $HOME_NET bing dja chi 198.168.1.100 Sau khi khai báo biến thi dong var TELNET_SERVERS $HOME_NET thành var TELNET_SEIRVERS 19.168.1.100 (xem hinh 4.90)

‘Minh 4.30: Khai báo biến TELNET_SERVERS

12 Tim dong var SNMP_SERVERS $HOME_NET, sau dé thay tham 86 $HOME_NET bing dja chi IP trên máy tính cia bạn

‘Vi dy, thay tham số §HOME_NET bằng địa chỉ 192.168.1.100 Sau khi khai báo biến thì dong var SNMP_SERVERS $HOME_NET thinh var SNMP_SERVERS 192.168.1.100 (xem hinh 4.31),

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập 18

Hình 4.31: Khai báo biến SNMP_SERVERS

18 Để giám bớt lưu lượng trong quá trình hoạt động của Snort thi tai tap tin snort.conf, bạn kéo thanh trượt xuống dưới cùng và tìm dòng include $RULE_PATH/bad-traffic.rules, sau đó đặt đấu thăng (#)

ở đầu dòng này (xem hình 4.52)

Hình 4.88: Không sit dung tập tin bad-traffi.rules

14 Sau khi đã khai xong tất cả các mục, bạn nhấn tổ hợp phim Ctrl + 8

để la

Hướng dẫn thêm:

"Tập tin saor©eonf được tổ chức thành nhiều phần và chứa nhiều lời chứ thích cũng như các hướng dẫn để nhắc ban vé mot số tùy chọn như: -+_ Khai báo các biến

'®_ Cấu hình bộ giải mã

6Ö — Chương 4: Phương pháp kiếm tra và phat hiện thâm nhập '#ˆ Cấu hình tiễn xử lý

© Cau hinh xuất thông tỉa

'®_ Khai báo các tập tin đính kèm

1 Khai báo các biến

Phần đầu của tập tin norL.conf dành cho việc khai báo các thing tản cấu hình Các biến này được sử dụng để gọi các luật của Snort nhằm

“ác định chức năng của một số hiển thị và vị trí của các thành phần (xem hình 4.33)

tan nay KỆ Ngư

Mình 4.88: #chai báo các biến, vạch ra cách bố trí, môi trường 46 Snort có thể quyết định

°ự kiện nào sẽ tạo ra cảnh báo Mặc định, các biến được khai báo với giá trị any (bat kỳ) Nó đúng với mọi địa chỉ IP, Khi giá trị này được sử dung, Tất có thể tạo ra một số lượng lớn các cảnh báo nhắm Do vậy, để xác định một địa chi đơn, ta chỉ cắn nhập vào địa chi IP đó,

Vi dy: var HOME NET 100,120.25.135,

Ban cing có thể khai báo nhiễu địa chỉ cho cùng một biến, mỗi nhóm dị chỉ này đêu phải nằm trong dấu ngoặc vuông và cách nhau bởi đấu phẩy (không có khoảng trắng)

‘Wi du: var HOME NBT (100.0.1.2,192,168.1.10,172,16.0.1) Ban cũng có thể xác định một không gian địa chỉ bằng cách xác dinh số các bịt trong Subnet Mask

‘Vi du: var HOME_NET 100.10.1.0724

Ban có thể kết hợp các kiểu ghi địa chỉ như sau:

Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập — 161 var HOME_NET

{198.168.1.10,172.16.0.0/16,100.1.1.100,10.10.20.0/8

Bạn có thể sử dụng ký tự chấm than “” để dang trong việc phủ định một biến nào đó La ý rằng khi thiết lập các biến, bạn chỉ sử dụng tên biến Khi muốn sử dụng biển, ta phải đặt ký tự *$? trước tân biến Ví dủụ san đây sẽ thiết lập biến EXTERNAL, NET là tất cả các địa chỉ không nằm trong biến HOME, NET,

var PXTERNAL, NET !§HOME, NET,

hi khai báo cho biến cổng, ta có thể gán một cổng đơn, bay một đây các cổng liên tục hoặc là phủ định của một cổng

Vi du:

var ORACLE PORTS 1621,

var ORACLE_PORTS 8000:8080 (các cổng từ 8000 đến 8080) var ORACLE, PORTS :8080 (các cổng lớn hơn 8080)

var SHELLCODE_PORTS !80 (không phải cổng 80)

'Các biến mặc định trong tập tin snort.conf la:

HOME NET: Được sử dụng để xác định địa chi IP của hệ thống muốn bảo vệ EXTERNAL, NET: Ta nên sử dụng kí ty“ để xác định mọi thử không nằm trong mạng bên trong của bạn 'Có nhiều luật được thiết kế để giám sát các địch vụ cụ thể Việc đặt địa chỉ IP cho cho timg địch vụ sẽ làm giảm số lượng các cảnh báo nhằm,

"mà Snort tạo ra Các biến được sử dụng để định nghĩa các địch vụ là: DNS_SERVERS

162 Chong 4: Phuong pháp kiểm tra va phát hiện thâm nhập

5 _ SHELLCODE_PORTS: Thường được đặt là các cổng không phải là 80 (tay ÿ) ORACLE_PORTS: Xác định cổng mà Oracle lắng nghe Mặc định, Oracle ling nghe ở cổng 1521,

AIM_SERVERS: Biển này sử dụng để giám sát lưu lượng mạng Pser-

‘To-Peor và Instant Messenger Né được cấu hình bằng danh sách địa chỉ IP của Server AOL Instant Messenger

RULE_PATH: Bign nay dùng để chỉ đến vị trí thu mye Rules chứa sác tập tin luật của Snort, Ban cắn khai báo đúng, nếu khong Snort

sẽ không hoạt dong

Cấu hình bộ giải mã

Bộ giải mã giúp 8ort giám sát cấu trúc gói tin nhằm đảm bảo cho cấu trúc của các gói tin được xây dựng theo qui định Nếu một gói tin có kích thước lạ, một tập các tùy chọn lạ, hoạc các thiết lập không phổ biển Snort s8 tao ra một cảnh báo Nếu bạn không quan tâm đến các cảnh báo này hoặc là số lượng các cảnh báo nhắm quá lớn, bạn có thể tất bộ giải

Hình 4.84: Cấu hình bộ giải ma

Mac định, tất cả các cảnh báo đều được tất Để bật một kiểu cảnh báo, bạn chỉ cân xóa ký tự thăng (#) ở đầu dòng của mỗi khai báo Các ty chọn cấu hình bộ giải mã là:

+ #eontig disable_decode_alerts,

‘© #config disable tepopt_experimental_alerts

‘+ # config disable tepopt_obsolete_alerts,

Chutang 4 Phuong phép kiém tra vi phat hign tham nhập 169 BA)” + # config disable_tepopt.ttep_olerts

“Tiên xử lý (rag2 và stream4 được thiết kế chủ yếu cho cơ chế nhàng thủ Lợi ích cuối cùng của bộ tiên xử lý là mở rong khả năng của Snort nhằm phát hiện các điều bất thường, từ đó phát biện kê xâm nhập

4 Cấu hình xuất thông tin

“Một trong những sức mạnh thật sự cia Snort là các tùy chọn để xuất các cảnh báo và thông tin phát hiện xâm nhập Nhiều nhà quản trị Snort sử dụng các ứng dụng của một công ty thứ ba để giám sát và

"nghiên cứu thông tin được Snort ghi lei

Để làm được việc đó, Saort phải xuất dữ liệu theo một định dang cụ thể, Output plug-ins thye hiện nhiệm vụ này (xem hình 4.86)

WB se chong 4: Phung php kiém tra va phét hign thim nhập

`Vi dụ: Một cấu hình mẫu cho output plug-in alert syslog:

® # output alert syslog: LOG_AUTH LOG_ALERT

© # output alert_syslog: hostshostname, LOG_AUTH LOG_ALERT # output alert_syslog: hostshostname:port, LOG_AUTH LOG_ALERT # log tcpdump: tog packets in binary tepdump format

Output plug-in nay dùng để định dạng tập tin log theo chuẩn của chương trình Tcpdump Vì định dạng tập tỉn log theo chuẩn này sẽ có nhiễu ứng dụng có thể đọc và phân tích được nội dung của tập tỉa log Plug-in sơ sở dữ liệu cho phép viết nhiễu cơ sở dữ liệu liên quan với nhau trên cùng một hệ thống đang chạy Snort hoặc trên một host khác Các thông tản log thường được ghỉ vào cơ sở dữ liệu như: các cảnh báo liên quan đến host, gối tin gây ra cảnh báo Chính điều này đã làm cho việc phân biệt giữa các cảnh báo thật và giả được dễ đàng hơn

5 Khai báo các tập tin đính kèm

“hành phần cuối cùng trong file snort.conf là khai báo các tập tin luật và tập tín đính kèm Câu lệnh Include dùng để chỉ ra một tap tin nào đó được sử đụng khi Snort thực thí Những tập tin này bao gốm thông tín cấu hình và ede files chứa luật mà Snort sử dụng Đường dẫn mặc định của các tập tin nay được xác định trong phẩn khai báo biến Biến #RULE_PATH được sử dụng để chỉ ra đường dẫn đến thư mục rules, Bạn cũng có thể sử dụng đường dẫn cụ thể với tên đây đủ của tập, tin để chỉ ra đối tượng muốn sử dụng (xem hình 4.87)

“Chương 4 Phung ph idm ra và táthiện thận anep_ 106

Hinh 4.87: Khai bdo ede tip tin đính kim

Dưới đây là một số tập tìn luật được khai báo trong phẩn cuối của tap tin snort.cont:

include $RULE_PATH/local rules

ude $RULE_PATH/experimental rules

‘Tép tin classification config gidp phân loại và ưu tiên cho các cảnh bảo tùy theo mức độ, Bạn có thể chỉnh sửa nội dung cia nó theo ý của mình Khi tập tin này được cấu hình theo nhu cẩu riêng, bạn có thé sử dung Console (xuất thông tin ra cửa sổ CMD) để tìm kiếm các cảnh báo e6 độ uu tiên cao nhất (xem hình 4.38)

hướng pháp kiểm tra và phát hiệu thâm shập 167 AI”

Chương

i2uh Ast2 ex 2 vsö+ cw|s2 22.” mise aber ds deme DIE

(en easicoton: weve esttnimton bà)

` ẽ.aaởn

ình 4.88: Nội dung tập tin classification config,

‘Tap tin reference.config bao gồm các liên kết đến ede trang web và thông tin về tất cả các cảnh báo (xem hình 4.39)

Pa swt ewes bate p0 xeendlybena soát

Sees wegen cane:

"Hình 4.39: Nội dung tập tìn reference.config

Duti day là các kha báo của tập tin classifieation.config va yeferenee.config trong phan khai báo tập tin đính kèm của file snort.conf: ineluäe classification config

include reference.config (xem hình 4.40)

Hình 4.40: Khai bdo them mot s6 tap tin

6 Tìm hiểu về luật của Snort

61 Giới thiệu

Hw hét các hành vi xâm nhập đều có một số đặc điểm nhất định, những đặc điểm này được gọi là dấu hiệu Thông tin vẻ các đấu hiệu này được sử dụng để tạo ra các luật cho Snort

Người ta thường đựa vào việc phân tích thông tin của các cuộc tấn cong để lấy thông tin, những thông tin này sẽ được sử dụng đổ viết ra các luật cho Snort, Can ca vito các luật được mô tả, Saort sẽ phát hiện ra

những kẻ thâm nhập từ đó đưa ra cảnh báo và gửi thông tỉn đến người quần trị

Các

hiệu thường được lưu trong header của các gói tin nhưng

‘Snort lai phát hiện xâm nhập dựa trên các luật Các luật của Snor có thể được sử dụng để kiểm tra nhiều phần khác nhau của gói tin kể cã Hender

“Một luật có thể được sử dụng để tạo ra một thông điệp cảnh báo, ghỉ lại một thông digp, Hdu hết các luật của Snort được viết theo từng đồng đơn Các luật được phân theo từng nhóm ey thể, mỗi nhóm này sé được lưu lại trong một tập tin, mỗi tập tin luật đều được chia trong thư myc Rules (C:\Snort\rules) va duge gọi (khai báo) trong tập tin ssnort.conf, 6.8 Cấu trúc luật của Snort

‘Tit cả các luật Snort đều có hai phẩn chính dé la: Header và Options

Phin Header chứa các thông tín về hành động mà luật sẽ thực biện _Yà tiêu chuẩn về việc so sánh một luật trên một goi tin

Chương á: Phương pháp kiếm tra và phát hiện thám nhập a

Phin Option thường chứa một thông điệp cảnh báo và thông tin Mã phấn nào của gói tin được sử dụng để tạo ra cảnh báo Một luật có thể phát hiện một hoặc nhiều kiểu xâm nhập

631 Cấu trúc của phần Header

Cấu trúc Header của một luật có thể gồm các thành phần sau: + Aetion: Phân này xác định kiểu bành động sẽ thực hiện khi một tiêu đun được so sánh Hành động điền ình là việc tạo ra cức cảnh báo hoặc ghỉ lại ác thông điệp lag

© Protocol: Phin nay được sử dụng để áp dụng luật trên gói tin cho

ear go thie ey thể, Dây là tiêu chuẩn đầu iên dược để cập trong

luật Một số giao thức được sử dụng như: TCP, ICMP, UDP,

+ Address: Phin hy dùng để xác định địa chỉ nguồn và địa chỉ đích

Địa chỉ có thể là của một host, nhiều host hoặc là địa chỉ mạng

© Port: Phẩn này được áp dụng trong trường hợp 'TCP bay UDP, xác định cổng nguồn và đích của một gói tin ma luật được áp dụng Đirection: Phần này xác định địa chỉ và cổng nào được sử dụng, ví dụ: địa chỉ nguồn bay đích

'Ví dụ: Sau đây là một luật dùng để tạo ra một thông điệp cảnh báo

khi nó phát hiện một gói tín ping ICMP với TTI là 200

alert iemp any any -> any any (msg“Ping with TTL=1007,\04: 100) Phần trước dấu ngoặc đơn là Header của luật, phần đầu phía trong

go dan la Option

Header eda luật trên chứa các thông tin như: Kiểu thực thí của luật

là "ler°, nghĩa là xuất một cảnh báo khi trùng với một dấu hiệu

Protocol: Giao thức được sử dung la ICMP, nghia là luật này chỉ

được áp dụng trên các gói tin ICMP

"Địa chỉ nguôn và cổng nguôn: Oã bai phần này déu 18 “any”, nghĩa

là luật được áp đụng cho tất cả các gói tin đến từ một nguồn bất kì

Direction: Trong vi dy này, diecion được thiết lập TA ừ ái sang

phải và sử dụng ký hiệu *>” Điều này chỉ ra rằng số địa chỉ và cổng ở phía bên trái là nguồn và ở phía bên phải là của đích Nó cũng có nghĩa

rare øe áp đụng trên cc gi in di chuyển từ nguồn Với đích

Bạn cũng có thể sử dụng ký biệu <~ để đảo lại ý nghĩa của nguồn và đích.

170 Ch

"hương pháp kiểm tra và phát hiện thâm nhị Lam ý rằng ký hiệu <> cũng có thể được sử dụng để chỉ ra hai hưởng của nguồn và đích

Địa chi dich và cổng đích: Cả bai phẩn trong ví dụ này đều là any’, nghĩa là luật được áp dựng cho tất cả các gói tin đến từ một đích bất kỳ Phản direction trong luật này không đồng một vai trò gì cả vì luật được áp dụng trên tất cả các gói tin ICMP di chuyển theo bất kỳ hướng

“ảo, vì từ khóa “any” ở cả phần nguồn và đích

'6.8.8 Cấu trúc của phần Options

Phần Option theo sau phẩn Header và được đóng gói trong dấu ngoặc đơn Có thể có một hoặc nhiều Option được cách nhau bởi đấu phẩy Tất cả ede Option được định nghĩa bằng các từ khóa Mật số Option cũng khứa các tham số,

“hông thường, một Option có thể có 2 phần: Từ khóa và đối số Các đối số được phân biệt với từ khóa bằng đấu hai chấm

‘Vi dy: mag: “ICMP ISS Pinger";

“rong Option này thi msg là từ khóa va “ICMP ISS Pinger” là đối

số của từ khón,

‘Mot số thành phần khác của phần Options:

© Ack

‘Tu khóa Âck thường có cấu trúc: Ack: <number>

TOP header chita mot trutmg Acknowledgement Number dai 32 bit

“Trường này chỉ ra rằng #8 sequence (sequence number) kế tiếp của người gửi đang chờ hỏi đáp Trường này chỉ có ý nghĩa khi cd flag trong trường

“TP được thiết lập

+ Classtype

MMụ này bao gồm các thành phẩn như: Name, Description, Priority Name: Ten được sử dụng cho việe phân loại Nó được sử dụng kèm Với từ khóa Classtype trong luật của Snort

Description: Mo té ngắn về kiểu phân loại

riorit: Thử tự t tiên mặc định cho aự phân loại, Thứ tự ưu tiên

"này có thể được chỉnh sửa tùy ý Priority cảng thấp thì độ v tiên cảng eno

“Chương 4: Phương pháp kiểm tra và phát hiện thâm nhập, iB

+ Content

‘Tw khda Content thường có cấu trúc: Content: <straight text>; content: <hex data>

“Một đặc tính quan trong cla Snort 18 kha nang tim thấy một mẫu

dữ liệu trong một gối tin MẪu đó cố thể tôn tại dưới dạng một chuối [ASCII hoge 1a ede ký tự thập lục phân

+ Offset

“Từ khóa Offeet thường có cấu trúc Offs

“Từ khóa này được sử dụng kết hợp với từ khóa content Từ khóa này được sử dụng để tìm kiếm từ một vị rí xác định so với vị trí bất đầu của gối ti

+ Depth

Từ khóa Depth thường có cấu trúc: depth: <value>

“Từ khóa đepth cũng được sử dụng kết hợp với từ khóa content để xác định giới hạn trên của việc so sánh mẫu Bạn có thể sử đụng từ khóa này để xác định một vị trí so với vị trí bất đầu Dữ liệu sau vị trí này sở không được tìm kiếm để so mẫu

+ Contentlist

“TW khóa Content-liet thường có cấu trie: content_list: <filename> 'Từ khóa này được sử dụng cùng với tên của một tập tần và xem tên tập tỉn như là một đốt số của của nó Tập in này chứa một danh sách các chuối sẽ được tim kiếm trong một gói tin Mỗi chuối được đật trên các đồng khác nhau của file

+ Dsize

“Từ khóa Daise thường có cấu trúc: deize: (<i>) <number>

“Từ khóa deize được sử dụng để tìm chiều dài một phẩn đữ liễu cũ gối tin, Nhiều cách tấn công sử dụng lỗ hổng trên bộ dệm hàng cách 8 vie go ừn có kích thước lớn Sử dụng từ khóe này, bạn có thể tìm thấy tác gối tia có chiêu dai dữ liệu lớn hoặc nhỏ ơn một số xác định

7? —_ Chương 4: Phương pháp kiếm tra và phát biện thâm nhập + Flags

‘Ta kh6a Flags thuong 6 eu tre lag: <flags>

Từ khóa này được sit dung dé tim ra bit lag nào được thiết lập trong TCP Header của gói tin Mbi flag có thể được sử dụng như một đối

số của từ khóa flags,

© Fragbits

“Từ khóa Eragbits thường có cấu trúc: fragbits: <flag.settings>

Sử dụng từ khóa này để xác định các bits: RB (Reserved Bit), DF (Don't Fragment Bit), MF (More Fragments Bit) trong IP Header có được bật lên hay không

«+ Tempid

“Từ khóa lemp, id thường có cấu trúc iemp_id: <number>

“Từ khóa iemp_id được sử dụng để phát hiện một ID cụ thé trong gói

‘tin IOMP

+ Temp_seq

“Từ khóa Iemp.seq thường có cấu trúc: iemp seq: <hex_value>

“Từ khóa này giống như từ khóa iemp id,

+ Itype

“Từ khóa Itype thường só cấu trúc itype: <number>

ICMP Header nằm sau IP header và chứa trường Type Từ khóa ]type được aử dụng để phát hiện các cách tấn công sit dung trutng Type trong ICMP header của gối tin,

+ leode

“Từ khóa Ieode thường có cấu trúc: code: <number»

“rong gối tin ICMP, ICMP header 4i sau IP header Gói tỉn này chứa một trường code và từ khóa ieode được sử dụng dé phát hiện trường code trong header gối tin ICMP

1d

“Từ khóa ] này thường có cấu trde: id: <number>

Từ khóa này được sử dụng để đối chiếu với trường fragment 1D

‘trong header gối tỉa TP Mục đích của nó là phát hiện các cách tấn công

sử dụng một số ID cố định

Chương 4: Phương pháp kiếm tra và phát hiện thâm nhập — 1

+ Ipopis

Từ khóa Tpopts thường có cấu trúc: ipopte: <ip.option>

Header eiia IPv4 dai 20 byte, Ban có thể thêm các thy chọn vào Header này ở coối Chiếu dài của phẩn tùy chon nay có thể lên đến 40 byte Các tùy chọn được sử dụng cho những mục đích khác nhau, bao gém:

Record Route (rr)

+

‘Time Stamps (ts)

4 Loose Source Routing (srr)

Strict Source Routing (sert

+ Ip.proto

"Từ khón này thường có cấu trúc Íp_proto: l] < name or number>

“Từ khóa ip, proto sử dụng plug-in IP Proto để xác định số giao thức trong Header của TP

+ Logto

‘TW khóa này thường có cấu trúc: logt: <file_name>

'Từ khóa logto được sử dụng để ghỉ log các gối tin vào một tập tín được chỉ định

+ Msg

“Từ khóa này thudag o6 cfu tric: mag: <sample_message>

"Từ khóa mag được sử dụng để thêm một chuỗi kí tự vào tập tỉn log

và cảnh báo Ban có thể thêm một thông điệp trong hai đấu ngoặc kép tu từ khóa này + Priority

‘Tirkhéa nay thubng ¢6 eu tie: priority: <priority_integer>

"Từ khóa priorty đồng để gán độ ưu tiên cho một luật, một số được gần cho độ tu tiên phải là một số nguyên đương

74 —_ Chương á: Phương pháp kiểm tra và phát hiện thâm nhập + Reference

"Từ khóa này thường có cấu trúc: reference : <id system>,<id>

“Từ khóa zeference có thể thêm một sự tham khảo đến thông tin tôn

tại trên các hệ thống khác trên mạng Nó không đóng một vai trò nào

trong cơ chế phát hiện Bằng việc sử dụng từ khóa này, bạn có thể kết nối đến các thông tin thêm trong thông điệp cảnh báo

© Resp

Day là từ khóa rất quan trọng Nó có thể được sử dụng để đánh bụi các hành vi của Hacker bằng cách gửi các gối tin trả lời cho mot host dé tạo ra một géi tin thôa luật

+ Rev

“Từ khóa này thường có cấu trúc: ray: <revision integer>

“Từ khóa rey dùng để chỉ ra số revision eủn luật Nếu cập nhật luật, bạn có thể sử dụng từ khóa này để phân biệt giữa các phiên bản

“Từ khóa này có cấu trúc: seq: chex_value>

“Từ khóa seq được sử dụng để kiểm tra số thứ tự sequence cia géi tin TOP,

* Flow

‘Ti khéa flow được dùng để áp dựng một luật cña Snort lên các gối tản di chuyển theo một hướng cụ thể Bạn có thể sử đụng các tùy chọn sau Két hop với từ khóa flow để xác định hướng Dưới đây là một số tủy chọn kết hợp với từ khóa flow;

© to client

% to server