Mục lụcPhần 1: Giới thiệu về IDS và snort Phần 2: Cài đặt và chỉnh sửa khi cài đặt snort Phần 3: Cấu trúc của snort Phần 4:Các rules của snort... Hướng dẫn download ,cài đặt và chỉnh
Trang 2Mục lục
Phần 1: Giới thiệu về IDS và snort
Phần 2: Cài đặt và chỉnh sửa khi cài đặt snort
Phần 3: Cấu trúc của snort
Phần 4:Các rules của snort
Trang 3Giới thiệu chung về IDS
•Hệ thống tiêu biểu cho phát hiện xâm nhập
Trang 4Giới thiệu chung về snort
Trang 5Các thành phần chính của snort
Trang 6Hướng dẫn download ,cài đặt và chỉnh
sửa khi vài đặt
Trang 7Hướng dẫn download ,cài đặt và chỉnh
sửa khi vài đặt
Trang 8Chỉnh sửa cần thiết sau khi cài đặt snort
Variable HOME_NET : chọn đỉa chỉ mạng 192.168.28.129/24
include classification.config
include c:\snort\etc\classification.config
include reference.conf
=> include c:\snortetc\reference.config
Trang 91 Mở file snort.config và chỉnh sửa
2 Chỉnh sửa 1 số đường dẫn
Trang 113 Chạy thử snort
Từ C:\Snort\bin gõ lệnh snort –W
Trang 12Thử bắt gói tin: snort –v –iX C:\Snort\bin\snort –v –i1
Trang 13Gõ lệnh ping 192.168.2.1
Trang 14Ngoài việc xem các gói tin trên mạng
chúng ta còn có thể lưu trữ chúng trong thư mục C:\Snort\log với tùy chọn –l, ví
dụ dòng lệnh sau sẽ ghi log các thông tin dữ liệu tại tầng data link và TCP/IP header của lớp mạng nội bộ
C:\Snort\bin\snort –dev –i2 –l C:\Snort\
log
Trang 16Cấu trúc rule của snort bao gồm 2
phần:
Rule Header Rule Options
alert tcp any any -> any
any (content: “bom”; msg: “nguy hiem”)
Trang 17Header của rule:
Rule
Action Protocol Source IP Source Port Direction Destination IP Destination Port
alert tcp any any -> any any
Trang 18: Bảng các rule action
Trang 192 Xác định giao thức.
Snort hỗ trợ các giao thức: TCP, UDP,
ICMP, và IP.
3 Cấu hình địa chỉ IP
Ta có thể định nghĩa một host đơn lẻ
hoặc một subnet, snort có thể làm việc
với một nhóm các địa chỉ IP trong cùng
một rule.
Tạo một IP list
alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any (content: “Password”; msg: “Password Tranfer Possible!”;)
Trang 204 Xác định port cho snort kiểm tra
Các port như 80, 23…
nếu để “any” snort sẽ kiểm tra trên tất cả các port đối với địa chỉ IP
Vd các kiểu định nghĩa port
Log tcp any any -> 10.0.10.0/24: 23
Log tcp any any -> 10.0.10.0/24 1:1024
Trang 22Rule Option
Thể hiện tính linh động và các chức
năng của Snort
Các rule option phân cách nhau bằng dấu “,”
Một rule option bao gồm: keyword:
“value” VD: msg: “text”.
Trang 23Keyword msg
Trang 27Snort rule ID
<100: để dùng trong tương lai
101 tới 1,000,000: dành cho các
distribution rule của Snort.org
>=1,000,001 : dùng cho các rule nội
bộ
Trang 28Tạo một ruleset đơn giản
B1: mở notepad và gõ vào:
Log tcp any any -> any any (msg: “TCP
Traffic Logged”; sid: 10000001;)
Alert icmp any any -> any any (msg: “ICMP Traffic Alerted”; sid: 10000002)
Alert tcp any any -> any any (content:
“password”; msg: “Possible Password
Transmitted”; sid: 10000003;)
B2: Lưu file với đường dẫn: C:\snort\
rules\”myrule.rules”
Trang 29Các tùy chọn Meta Data
Chứa các tính năng chi tiết của các
Trang 30Ta có thể kiểm tra các rule đã được thiết lập sẵn qua các bước như sau:
B4: Mở các file rules xem
Các rule được thiết lập sẵn:
Trang 31 Dưới đây là ví dụ mẫu:
alert tcp $HOME_NET 12345:123456 ->
$EXTERNAL_NET any
(msg: “DDOS Trin00 Attacker to Master default
startup password”);flow: established,to_server; content:“Betaalmostdone”;reference:arachnids,1 97; classtype:attempted-dos;sid: 109, rev: 5;)
Để kiểm tra DDoS rule, ta chỉnh sửa trong file
ddos.rules nằm trong thư mục C:\Snort\rules
Kiểm tra rule DDoS:
Trang 32 Dưới đây là ví dụ mẫu:
alert tcp $HOME_NET 12345:123456 ->
$EXTERNAL_NET any
(msg: “BACKDOOR netbus active”);
flow: from_server,established; content “NetBus”; reference:arachnids,401; classtype:misc-activity; sid: 109, rev: 5;)
Để kiểm tra DDoS rule, ta chỉnh sửa trong file
backdoor.rules nằm trong thư mục C:\Snort\ rules
Kiểm tra rule Backdoor:
Trang 33 Snort cũng có nhiều rule được thiết kế để kiểm tra các cuộc tấn công web
Dưới đây là ví dụ mẫu:
alert tcp $EXTERNAL_NET 12345:123456 ->
$EXTERNAL_NET any
(msg: “WEB-attack etc/shadow access”);
flow: to_server,established; content
“/etc/shadow”;nocase;
classtype:web-application-activity;sid: 109, rev: 5;)
Để kiểm tra DDoS rule, ta chỉnh sửa trong file
backdoor.rules nằm trong thư mục C:\Snort\ rules
Kiểm tra rule Web Attack:
Trang 34Kiểm tra rule dành cho IIS
Server
B1: tới thư mục C:\Snort\rules.
B2: Mở file web-iis lên bằng WordPad.
B3: xem một dòng rule nào đó, vd: Code Red
exploit ida? trong nội dung của rule:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (msg:"WEB-IIS ISAPI ida attempt";
flow:to_server,established; uricontent:".ida?"; nocase;
reference:arachnids,552; reference:bugtraq,1065;
reference:cve,2000-0071;
classtype:web-application-attack; sid:1243; rev:11;)alert tcp $EXTERNAL_NET
any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS ISAPI ida access"; flow:to_server,established;
uricontent:".ida"; nocase; reference:arachnids,552;
reference:bugtraq,1065; reference:cve,2000-0071;
classtype:web-application-activity; sid:1242; rev:10;)
Đây là rule dùng để phát hiện worm Code Red trong hệ thống WebServer IIS.
Trang 35Tham khảo
Advanced IDS techniques
Qua internet
Trang 36Thank