BÁO cáo THỰC HÀNH bài thực hành số 3 viết rule cho snort

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG HCM KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG BÁO CÁO THỰC HÀNH Bài thực hành số 3 Viết Rule cho Snort Môn học Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập Lớp[.]

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN – ĐHQG-HCM

KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

BÁO CÁO THỰC HÀNH Bài thực hành số 3: Viết Rule cho Snort

Môn học: Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

Lớp: NT204.N11.ATTT.2

THÀNH VIÊN THỰC HIỆN (Nhóm 5):

STT

1 2

ĐÁNH GIÁ KHÁC:

Điểm tự đánh giá

Tổng thời gian thực hiện

Phân chia công việc

Ýkiến (nếu có)

+ Khó khăn

+ Đề xuất, kiến nghị

Phần bên dưới của báo cáo này là báo cáo chi tiết của nhóm thực hiện

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

MỤC LỤC

.3

cập đến các port từ 20-1000 5

.6

dò mật khẩu dịch vụ Telnet 8

.9

4.Ngăn chặn các tấn công Command Injection 10

a.Trước khi áp dụng rule 10

b.Sau khi áp dụng rule 11

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

1 Ngăn tấn công SYN

Flood a Trước khi áp

dụng rule

hping3 -S 192.168.5.200 -a 10.81.5.100 -p 80 –flood

Ta sẽ thực thi câu lệnh hping3 bên trên ở máy Attacker đến máy Victim để tiến hành tấn công Tấn công flood với cờ SYN và đến port 80 trên máy victim

Dùng tcpdump trên máy Victim lắng nghe cổng eth0 và thu được kết quả như trên, ta thấy rằng số lượng gói tin nhận được trong một khoảng thời gian ngắn là rất lớn và đa phần

đã bị dropped bởi kernel

b Sau khi áp dụng rule

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

drop tcp 10.81.5.100 any -> 192.168.5.200 80 (flags: S; msg:”Posible DoS Attack”; flow:stateless; threshold: type threshold, track by_dst, count 60, seconds 5: sid:10002;rev:1;)

Ta sẽ sử dụng rule trên để ngăn chặn SYN Flood tới máy Victim

Phân tích rule như sau: flags S và tcp được sử dụng để chặn gói tin loại SYN tcp, mục tiêu bị hại là IP máy victim với port 80 cho cổng tcp, type threshold sẽ “drop” với mỗi sự kiện vi phạm điều khoản “count 60, second 5 ” tức là nếu trong vòng 5 giây có trên 60 gói

tin nhận được sẽ drop gói tin từ thứ 61 và sau mỗi 5 giây sẽ đếm lại từ đầu

Tcpdump trên máy Victim và nhận thấy số lượng gói tin nhận được giảm đáng kể

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

Kiểm tra file log thấy thông báo tấn công

nmap -p 1-2000 192.168.5.200

Sử dụng lệnh trên trên máy Attacker để scan port hoạt động trên máy Victim

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

Kết quả nhận được gồm 2 port > 1000 là 1099 và 1524

b Sau khi áp dụng rule

drop tcp any any -> 192.168.5.200 !20:1000 (msg:”Access port from 20 to 1000”; GID=1; sid=10000003; rev=001;)

Ta sẽ sử dụng rule trên để ngăn truy cập đến các port khác 20-1000 bằng cách dùng lệnh !20:1000, tất cả các truy cập khác vùng port này đến máy Victim đều sẽ bị drop Bởi vì nmap sử dụng giao thức tcp để scan nên ta sẽ chặn giao thức tcp

Sử dụng nmap trên Attacker sau khi áp dụng rule phát hiện không còn scan thấy 2 port

1099 và 1524 nữa

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

Kiểm tra file log thấy cảnh báo như trên, các port cảnh báo là 1103, 1232,…

Sử dụng 2 file username.txt và pass.txt mang thông tin dự đoán về username và password của máy victim Vấn đề là 2 file này phải có thông tin đủ lớn để có thể brute-force

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

thành công, ở đây có khoảng 200 dự đoán về username và password trong đó có username

và password chính xác là “msfadmin” Vấn đề với cách tấn công như vậy là nếu dữ liệu không đủ lớn và không có đúng thông tin của máy Victim thì sẽ không thể brute-force mật khẩu thành công

Tiến hành brute-force đến máy Victim với giao thức ssh và đã tìm thấy username password chính xác là “msfadmin”

b Sau khi áp dụng rule

drop tcp 10.81.5.100 any -> 192.168.5.200 21 (msg:”Hydra password”;content:”SSH” flow: established,to_server; detection_filter:track by_src, count 30, seconds 60: sid:10000004;rev:1;)

Sử dụng detection_filter để xác định rate của “by_src” tức là máy nguồn, rule trên sẽ grop gói tin thứ 31 đăng nhập vào máy Victim không thành công trong 60s

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

Máy attacker không detech thành công password

Log snort phát hiện tấn công

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

Thực hiện tấn công RCE trên máy attacker đến máy nạn nhân

Lệnh ;cat /etc/passwd xuất ra các user

b Sau khi áp dụng rule

Sử dụng bộ rule sau để ngăn chặn tấn công RCE:

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat

Bài thực hành số 3: Viết Rule cho Snort

drop tcp any any -> 192.168.5.200 any (msg:”RCE detected”;

content:”whoami”;nocase;sid:10000001;rev:001;)

drop tcp any any -> 192.168.5.200 any (msg:”RCE detected”; content:”cat /etc/passwd”;nocase;sid:10000002;rev:001;)

Không thực thi câu lệnh được nữa

File log của snort

TIEU LUAN MOI download : skknchat123@gmail.com moi nhat