Tiểu luận môn học an ninh mạng Cấu hình hệ thống IDS

Khái Niệm IDS- Intrusion Detection System/ Hệ thống phát hiện xâm phạm IDS là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng.Mục đích của nó là phát hiện và

C u hình h th ng IDS ấu hình hệ thống IDS ệ thống IDS ống IDS

Giảng Viên Hướng dẫn : CH Nguyễn Duy

08520292 Phạm Phú Phúc

08520435 Nguyễn Thành Trung

08520530 Trương Thị Thùy Duyên

08520548 Lê Kim Hùng

1 Lý thuyết 3

1.1 Tổng Quan IDS 3

1.1.1 Khái Niệm 3

1.1.2 Phân Loại 3

1.1.3 Phương pháp phát hiện xâm nhập 6

1.2 Snort 6

1.2.1 Tổng quan 6

1.2.2 Kiến Trúc Snort 7

1.2.3 Hoạt Động 11

1.2.4 Rules 12

1.3 Snort inline 21

1.3.1 Giới thiệu 21

1.3.2 Iptables 21

1.3.3 Snort-inline và Iptables 23

1.3.4 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode 24

2 Mô hình triển khai 25

3 Triển khai ứng dụng 26

3.1 Snort trên window 27

3.2 Snort trên linux 27

3.3 Snort inline 46

4 Nhận xét 51

5 Tài liệu tham khảo 52

1 Lý thuyết

1.1 Tổng Quan IDS

1.1.1 Khái Niệm

IDS- Intrusion Detection System/ Hệ thống phát hiện xâm phạm

IDS là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng.Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như sưu tập, quét các cổng.Một tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn công này Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker)

Các thành phần chính của IDS:

- Trung tâm điều khiển (The Command Console)

- Bộ cảm biến (Network Sensor)

- Bộ phân tích gói tin(Network Trap)

- Thành phần cảnh báo (Alert Notification)

1.1.2 Phân Loại

Cách thông thường nhất để phân loại các hệ thống IDS (cũng như IPS) là dựa vào đặc điểm của nguồn dữ liệu thu thập được Trong trường hợp này, các hệ thống IDS được chiathành các loại sau:

1.1.2.1 Network-based IDS (NIDS)

Hệ thống IDS để bảo vệ cả hệ thống mạng , được sử dụng như một Gateway Nhiệm

vụ là ngăn chặn và quản lí các gói tin trước khi chúng được chuyển vào hệ thống

Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập

Hình 1 : Mô hình NIDS

Ưu Điểm :

- Quản lý được cả một network segment (gồm nhiều host)

- "Trong suốt" với người sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

Hạn chế :

- Có thể xảy ra trường hợp báo động giả

- Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động.Khi báo động được phát ra, hệ thống có thể đã bị tổn hại

- Không cho biết việc tấn công có thành công hay không

- Giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng thì khảnăng dò cũng vậy

1.1.2.2 Host-based IDS (HIDS)

Chức năng chính là bảo vệ tài nguyên trên máy chủ và một số hệ thống như

WebHost,Mailhost v.v

Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập

Hình 2 : Mô hình HIDS

Ưu điểm :

- Có khả năng xác định người dùng liên quan tới một sự kiện

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Hạn Chế :

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này

thành công

- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

- HIDS có thể không hiệu quả khi bị DOS

- Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác

HIDS chỉ quan sát các host , hệ điều NIDS nhìn toàn cảnh luồng dữ liệu trên mạng

hành, hoạt động của ứng dụng (thường làm những công việc như phân tích log, kiểm tra tính toàn vẹn…)

(NIDS thường được coi như là sniffer)

Chỉ phát hiện những cuộc tấn công đãthành công

NIDS phát hiện những cuộc tấn công tiềm năng

Hoạt động hiệu quả trong những môi trường chuyển mạch, mã hóa, tốc độ cao

Rất khó hoạt động trong những môi trường này

1.1.3 Phương pháp phát hiện xâm nhập

Các hệ thống IDS thường sử dụng 2 phương pháp để phát hiện xâm nhập sau:

- Phát hiện dựa trên các dấu hiệu (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành đông tương ứng với các kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống

- Phát hiện dựa trên sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành đông khác với hành vi bình thường của ngườidùng hay hệ thống

1.2 Snort

1.2.1 Tổng quan

1.2.1.1 Giới thiệu về snort

Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort có thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS

Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thông thường, Snort còn có thể được cấu hình để chạy như một NIDS Snort hỗ trợ khả năng hoạt

động trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.

1.2.1.2 Các yêu cầu đối với hệ thống Snort

- Qui mô hệ thống cần bảo vệ : nói một cách tổng quát, qui mô mạng càng lớn, các máy móc cần phải tốt hơn ví dụ như các Snort sensor Snort cần có thể theo kịp với quy mô của mạng, cần có đủ không gian để chứa các cảnh báo, các bộ xử lý đủ nhanh và mạnh để xử lý những luồng lưu lượng mạng lớn

- Phần cứng máy tính: Yêu cầu phần cứng đóng một vai trò thiết yếu trong việc thiết kế một hệ thống an ninh tốt

- Hệ điều hành: Snort chạy trên nhiều hệ điều hành khác nhau như: Linux, FreeBSD, NetBSD, OpenBSD, và Window Các hệ thống khác được hỗ trợ bao gồmkiến trúc Sparc-Solaric, MacOS X và MkLinux, và PA-RISC HP UX

1.2.1.3 Tổng quan về cách thức hoạt động :

Snort có thể sử dụng với một số cơ chế:

- Sniffer mode: là chế độ cho phép bạn có thể theo dõi và đọc các luồng

dữ iệu ra vào hệ thống mạng được hiển thị trên màn hình điều khiển

- Packet Logger mode: cho phép ghi các logs dữ liệu vào đĩa lưu trữ

- Network Intrusion Detection System (NIDS) mode: là cơ chế được cấu hình phức tạp nhất, cho phép Snort phân tích các luồng dữ liệu, trong đó kiểm soát cho (hay không) cho phép các dữ liệu ra vào hệ thống mạng dựa vào các bộ qui tắc được định nghĩa bởi người quản trị, đồng thời thực hiện một vài hành động dựa vào những gì mà Snort nhìn thấy

- Inline mode: các gói tin thu từ iptables thay vì libpcap, sau đó iptables thực hiện hành động hủy hay cho phép các gói tin đi qua dựa trên những qui tắc được qui định và sử dụng bởi Snort

1.2.2 Kiến Trúc Snort

Snort bao gồm nhiều thành phần, những thành phần có một chức năng riêng biệt, chúng

động cùng nhau để phát hiện ra các cuộc tấn công cụ thể vào hệ thống để từ đó đưa ra các cảnh báo Hệ thống IDS dựa trên snort gồm những thành phần sau đây:

• Module giải mã gói tin (Packet Decoder)

• Module tiền xử lý (Preprocessors)

• Module phát hiện (Detection Engine)

• Module log và cảnh báo (Logging and Alerting System)

• Module kết xuất thông tin (Output Module)

Kiến trúc snort được mô tả như hình dưới đây :

Hình 3 : Kiến trúc của snort

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào di chuyển qua nó Các gói tin sau khi bị bắt được đưa vào Module Giải mã gói tin Tiếp theogói tin sẽ được đưa vào Module Tiền xử lý, rồi Module Phát hiện Tại đây tùy theo việc

có phát hiện được xâm nhập hay không mà gói tin có thể được bỏ qua để lưu thông tiếp hoặc được đưa vào Module Log và cảnh báo để xử lý Khi các cảnh báo được xác định Module Kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần

1.2.2.1 Module giải mã gói tin (Packet Decoder)

Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống

Một gói tin sau khi được giải mã sẽ được đưa tiếp vào môđun tiền xử lý Nhiệm

vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phục

hồi thành gói dữ liệu hoàn chỉnh ở lớp application, làm input cho hệ thống

dectection engine

Quá trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp Application theo thứ tự của Protocol Stack

1.2.2.2 Module tiền xử lý (Preprocessors)

Là module rất quan trọng để chuẩn bị gói dữ liệu đưa vào cho modun phát hiện phân tích, module này có 3 nhiệm vụ chính:

- Kết hợp các gói tin lại: thông tin truyền đi không đóng gói toàn bộ vào 1 gói tin Snort sau khi nhận được phải thực hiện ghép nối để có được dữ liệu nguyên dạng

- Giải mã chuẩn hóa giao thức: công việc phát hiện xâm nhập dựa trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao thức có dữ liệu có thể được thể hiện dưới nhiều dạng khác nhau

- Phát hiện các xâm nhập bất thường: đối phó với các xâm nhập không thể hoặc khó Phát hiện bằng luật thông thường

1.2.2.3 Module phát hiện (Detection Engine)

Đây là phần quan trọng nhất của Snort Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập vào hệ thống Module phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được để xác định xem có xâm nhập xảy

ra hay không Nếu một gói tin phù hợp với bất kì luật nào, một hành động tương ứng

sẽ được thực hiện như ghi log, tạo ra các cảnh báo,đưa ra các thông tin… hoặc gói tin sẽ bị hủy

Hình 4 : Module phát hiện

Một vấn đề quan trọng được đặt ra ở đây là thời gian thực thi, xử lý các gói tin, việc này sẽ ảnh hưởng lớn đến lưu thông của hệ thống mạng Vấn đề này sẽ phụ thuộc vào các yếu tố sau :

- Số lượng các luật

- Sức mạnh của hệ thống máy mà Snort đang chạy

- Tốc độ của bus hệ thống

- Lưu lượng trên mạng

Detection Engine có thể phân chia gói tin và áp dụng rule cho các phần khác nhau của gói tin Các phần đó có thể là:

- Phần IP header của gói tin

- Phần header của tần transport: Đây là phần tiêu đề bao gồm TCP, UDP hoặc cácheader của tầng transport khác Nó cũng có thể làm việc với header của ICMP

- Phần header của các lớp ứng dụng: Bao gồm header của lớp ứng dụng, nhưng không giới hạn, DNS header, FTP header, SNMP header, và SMTP header

- Packet payload: Có nghĩa là có thể tạo ra rule được sử dụng bởi detection engine để tìm kiếm một chuỗi bên trong dữ liệu của gói tin

1.2.2.4 Module log và cảnh báo (Logging and Alerting System)

Khi bộ phận detection engine phát hiện ra các dấu hiệu tấn công thì nó

sẽ thông báo cho bộ phận Logging and Alerting System Các ghi nhận, thông báo có thể được lưu dưới dạng văn bản hoặc một số định dạng khác Mặc định thì chúng được lưu tại thư mục /var/log/snort

1.2.2.5 Module kết xuất thông tin (Output Module)

Môđun này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn lưu kết quả xuất ra như thế nào Tùy theo việc cấu hình hệ thống mà nó có thể thực hiện các công việc như là:

- Ghi log file

- Ghi syslog: syslog và một chuẩn lưu trữ các file log được sử dụng rất nhiều trên các hệ thống Unix, Linux

- Ghi cảnh báo vào cơ sở dữ liệu

- Tạo file log dạng xml: việc ghi log file dạng xml rất thuận tiện cho việc trao đổi

và chia sẻ dữ liệu

- Cấu hình lại Router, firewall

- Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP Các gói tin dạng SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc quản lý các cảnh báo và hệ thống IDS một cách tập trung và thuận tiện hơn

- Gửi các thông điệp SMB (Server Message Block) tới các máy tính Windows

1.2.3 Hoạt Động

1.2.3.1 Sniff Mode

Ở chế độ này, Snort hoạt động như một chương trình thu thập và phân tích gói tin thông thường Không cần sử dụng file cấu hình, các thông tin Snort sẽ thuđược khi hoạt động ở chế độ này:

- Date and time

- Source IP address

- Source port number

- Destination IP address

- Destination port

- Transport layer protocol used in this packet

- Time to live or TTL value in this packet

- Type of service or TOS value

- Packer ID

- Length of IP header

- IP payload

- Don’t fragment or DF bit is set in IP header

- Two TCP flags A and P are on

- TCP sequence number

- Acknowledgement number in TCP header

- TCP Window field

- TCP header length

1.2.3.2 Packet logger mode

Khi muốn ghi lại các gói dữ liệu vào đĩa, bạn cần phải chỉ định một thư

mục log và thêm khóa –l, Snort sẽ tự động biết để đi vào chế độ packet logger: /snort -dev -l file./log

Tất nhiên, điều này giả định bạn có một thư mục với tên log trong thư mục hiện hành Thư mục mặc định trong Snort là /var/log/snort Khi Snort chạy trong chế độ này, nó thu thập tất cả các gói nó thấy và đặt nó vào một thư mục hệ thống phân cấp dựa trên địa chỉ IP của một trong những máy chủ trong các gói dữ liệu Nóicách khác,một thư mục mới được tạo ra cho mỗi địa chỉ được capture và dữ liệu liên quan đến địa chỉ này được lưu trong thư mục đó Snort lưu các gói tin thành các file ASCII, với tên file được tạo ra từ tên giao thức và số của cổng kết nối

1.2.3.3 NIDS Mode

Snort thường được sử dụng như một NIDS Nó nhẹ, nhanh chóng, hiệu quả và sử dụng các rule để áp dụng lên gói tin Khi phát hiện có dấu hiệu tấn công ở trong gói tin thì nó sẽ ghi lại và tạo thông báo Khi dùng ở chế độ này phải khai báo file cấu hình cho Snort hoạt động Thông tin về thông báo khi hoạt động ở chế độ này:

- Fast mode: Date and time, Alert message, Source and destination IP address, Source and destination ports, Type of packet

- Full mode: Gồm các thông tin như chế độ fast mode và thêm một số thôngtin sau: TTL value, TOS value, Length of packet header, length of packet,Type of packet, Code of packet, ID of packet, Sequence number

1.2.3.4 Inline Mode

1.2.4 Rules

Thông thường các tấn công hay xâm nhập đều để lại dấu hiệu riêng Các thông tin này được sử dụng để tạo nên các rule của Snort, Snort sẽ dựa vào các tập rule này để phát hiệntấn công.Các rule thường được lưu trữ trong file snort.conf Có thể sử dụng nhiều file bằng cách thêm đường dẫn đến các file rule này vào file cấu hình chính

Mỗi rule được viết trên một dòng.Một rule có thể phát hiện nhiều loại xâm nhập, tạo nên một thông điệp cảnh báo, log một thông điệp hay có thể bỏ qua một gói tin Các rule có thể được áp dụng cho tất cả các phần khác nhau của gói tin

Rule của snort được chia thành hai phần:

- Rule Header: chỉ hành động của rule, giao thức, hướng xử lý, địa chỉ IP đích và

nguồn, port đích và port nguồn

- Rule Options: chứa một thông điệp cảnh báo và các thông tin về các phần của gói tin

dùng để tạo nên cảnh báo

Tổng quát cho một rule như sau :

action protocol address port direction address port (option1 : <value1> ;option2:

<value2>;… )

Ví dụ :

alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;)

1.2.4.1 Rule Header

Ta xem xét một ví dụ minh họa :

Như trong ví dụ ta thấy header của một rule sẽ bao gồm các thành phần sau :

a Rule action :

chỉ ra các hành động mà điều kiện của luật được thỏa mãn Một hành động được thực hiện khi tất cả các điều kiện phù hợp Ta có các Rule action như sau :

- Pass: hành động này hướng dẫn snort bỏ qua gói tin này

- Log: có thể log gói tin vào file hay cơ sở dữ liệu

- Alert: gửi thông điệp cảnh báo khi có dấu hiệu xâm nhập

- Activate: tạo cảnh báo và kích hoạt một luật khác kiểm tra thêm các điều kiện

- Dynamic: đây là luật được gọi bởi các luật khác có hành động là Activate

Ngoài ra khi chạy chế độ snort inline ta sẽ có thêm các tùy chọn sau :

- drop: cho phép iptables bỏ qua packet này và log lại packet vừa bỏ qua

- reject: cho phép iptables bỏ qua packet này, log lại packet, đồng thời gửi thông báo từ chối

đến máy nguồn

- sdrop: cho phép iptables bỏ qua packet này nhưng không log lại packet, cũng không thông

báo đến máy nguồn

b Protocol :

Chỉ ra loại gói tin mà luật sẽ áp dụng, Hiện nay Snort chỉ hỗ trợ bốn giao thức sau: TCP, UDP, ICMP, IP Trong tương lai có thể hỗ trợ thêm các giao thức khác như: ARP, IGRP, GRE, OSPF, RIP…

Rule

Action Protocol

Source IP

Source Port Direction

Destination IP

Destination Port

c Address :

Có địa chỉ nguồn và địa chỉ đích Địa chỉ có thể là 1 địa chỉ IP đơn hoặc địa chỉ của mộtmạng Ta dùng từ any để áp luật cho tất cả các địa chỉ

Ví dụ : alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;)

Luật trên sẽ tạo ra một cảnh báo đối với tất cả các gói tin từ bất kì nguồn nào có TTL =

100 đi đến địa chỉ 192.168.1.10 tại cổng 80

d Ngăn chặn địa chỉ hay loại trừ địa chỉ:

Sử dụng dấu (!) ở trước sẽ chỉ cho Snort không kiểm tra gói tin đến hoặc đi từ địa chỉ đó

Ví dụ :alert icmp ![192.168.1.0/24] any -> any any (msg: “Ping with TTL=100”; ttl:

100;)

luật sau sẽ áp dụng cho tất cả các gói tin ngoại trừ các gói có nguồn xuất phát từ mạng lớp192.168.2.0/24

e Danh sách địa chỉ :

Ta có thể định rõ ra danh sách các địa chỉ trong một luật của Snort

Ví dụ : alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg:“Ping with

Ta có thể áp dụng luật cho dãy các cổng thay vì chỉ cho một cổng nào đó Cổng bắt đầu

và cổng kết thúc phân cách nhau bởi dấu hai chấm “:”

Ví dụ : alert udp any 1024:2048 -> any any (msg: “UDP ports”;)

g Direction :

Chỉ ra hướng đi của rule, có hai loại đó là:

→ : chỉ ra hướng của rule bắt nguồn từ địa chỉ IP và port bến trái

↔ : Hướng của rule này là hai chiều, điều này sẽ thuận lợi cho việc phân tích cả hai mặt của một traffic, như là telnet hoặc POP3…

1.2.4.2 Rule Options

Nằm ngay sau phần Rule Header được bao bọc trong dấu ngoặc đơn, một rule option bao gồm: keyword: “value” Nếu có nhiều option thì phân cách nhau bằng dấu “;” và các tùy chọn này phải đồng thời thỏa mãn có 4 loại rule options chính: general, Payload, Non-Payload, Post-detections

a General options :

Cung cấp thông tin về rule nhưng không gây ra bất kỳ ảnh hưởng nào đến quá trình phát hiện packet.

- msg: được sử dụng để thêm một chuỗi kí tự vào việc ghi log hoặc đưa ra cảnh báo

Thêm vào thông điệp sau dấu ngoặc kép

Định dạng : msg: “<message text>”;

Ví dụ : alert tcp 192.168.1.0/24 any → any any (msg: “<HTTP matched>”;

content: “HTTP”, offset: 4)

- reference: Là từ khóa cho phép tham chiếu đến các hệ thống phát hiện các kiểu tấn

công ở bên ngoài Nó không đóng một vai trò quan trọng nào trong cơ chế phát hiện Có nhiều hệ thống tham khảo như CVE và Brugtraq những hệ thống này giữ thông tin về các kiểu tấn công đã được biết

Định dạng: reference: <id system>, <id>;

Ví dụ : alert tcp any any -> any 21 (msg:"IDS287/ftp-wuftp260-venglin-linux";

flags:AP; content:"|31c031db 31c9b046 cd80 31c031db|"; reference:arachnids,

IDS287; reference:bugtraq,1387; reference:cve,CAN-2000-1574;)

- gid: Là từ khóa dùng để xác định bộ phận nào của snort sẽ tạo ra sự kiện khi thực thi,

nó giúp cho quá trình giải mã của preprocessor Nếu không được định nghĩa trong rule nó sẽ lấy giá trị là 1 Để tránh xung đột với các rule mặc định của snort, khuyến cáo lấy giá trị lớn hơn 1.000.000 Từ khóa gid được sử dụng với từ khóa sid

Định dạng: gid: <generator id>;

Ví dụ : alert tcp any any -> any 80 (content:"BOB"; gid:1000001; sid:1; rev:1;)

- Sid : Là từ khóa duy nhất để xác định snort rule, nó cho phép các thành phần

output xác định các rule dễ dàng hơn Option này nên dùng với từ khóa dev

Định dạng: sid: <snort rules id>;

+ id <100: Dự trữ cho tương lai

+ 100<id<1.000.000: Xác định rule đi kèm theo bảng phân phối

+ id>1.000.000: Do người viết rule tự định nghĩa

Ví dụ: alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)

- rev: Từ khóa để chỉ ra số revision của rule Nếu rule được cập nhật, thì từ khóa

này được sử dụng để phân biệt giữa các phiên bản Các module output cũng có thể sử dụng từ khóa này để nhận dạng số revision Option này nên dùng với từ khóa dev Định dạng : rev: <revison integer>;

Ví dụ: alert tcp any any -> any 80 (content:"BOB"; sid:1000983; rev:1;)

- Classtype : Classtype là từ khóa sử dụng để phân loại rule phát hiện tấn công khác

nhau

Định dạng: classtype: <class name>;

Ví dụ: alert tcp any any -> any 80 (msg:"EXPLOIT ntpdx overflow"; dsize: >128;

classtype:attempted-admin; priority:10 );

Ta có bảng classtype sau :

Classtype Decription Priority

Attempted information leak

An attempted login using a suspicious username detected

Denial-of-service attack

A network client was using an unusual port

Generic ICMP eventDetection of a network scan

HighHighHighHighHighHighMediumMediumMediumMediumLowLow

- priority : Đây là từ khóa chỉ độ ưu tiên cho rule, từ khóa classtype chỉ ra độ ưu

tiên mặc định Tuy nhiên nếu ta thiết lập thêm giá trị này nó có thể ghi đè lên giá trị mặc định đó

Định dạng: priority: <priority interger>;

Ví dụ: alert TCP any any -> any 80 (msg: "WEB-MISC phf attempt"; flags:A+;

content: "/cgi-bin/phf"; priority:10;)

- metadata: Cho phép người dùng nhúng thêm thông tin về rule

Định dạng:

Metadata : key1 value1

Metadata : key1 value1, key2value2

Ví dụ: alert tcp any any -> any 80 (msg: "Shared Library Rule Example";

metadata:engine shared, soid 3|12345;)

b Payload Detection Rule Options

Tìm kiếm thông tin trong phần payload của packet Phần này gồm các từ khóa

như: content, nocase, rawbytes, depth, offset, distance, within, http client body, http

cookie, http header, http method, http uri, fast pattern, uricontent, urilent, isdataat, pcre, byte test, byte jump, ftpbuonce, asn1, cvs.

- content Content là từ khóa điểm quan trọng trong Snort, nó cho phép người

dùng thiết lập các rule nhằm tìm ra nội dung đặc biệt trong gói tin Việc lựa chọn dữ liệu cho gói content tương đối phứt tạp, nó có thể chứa dữ liệu ở dạng văn bản hoặc ở dạng nhị phân

Định dạng: content : [!] “ <content string>”;

Ví dụ: alert tcp any any -> any 139(content:"|5c00|P|00|I|00|P|00|E|00 5c|";)

Hoặc phủ định: alert tcp any any -> any 80 (content:!"GET";)

- Nocase : Là từ khóa được sử dụng kết hợp với từ khóa content Nó không có đối

số, mục đích của nó là thực hiện việc tìm kiếm mẫu cụ thể không phân biệt kí tự hoa hoặc thường

Định dạng : No case;

Ví dụ: alert tcp any any -> any 21 (msg:"FTP ROOT"; content:"USER root"; nocase;)

- offset: là từ khóa sử dụng kết hợp với từ khóa content Sử dụng khóa này, có thể bắt

đầu tìm kiếm từ một vị trí xác định so với vị trí bắt đầu của gói tin Sử dụng một con số như là đối số của từ khóa này

Định dạng: Offset: <number>;

- depth : depth là từ khóa được sử dụng kết hợp với từ khóa content để xác định giới

hạn của việc so sánh mẫu Sử dụng từ khóa này, có thể xác định một vị trí so với vị trí bắt đầu Dữ liệu sau vị trí này sẽ không được tìm kiếm để so mẫu Nếu dùng cả từ khóa offset và depth thì có thể xác định một khoảng dữ liệu thực hiện việc so sánh mẫu

Định dạng: depth :<number>;

Ví dụ: alert tcp any any -> any 80 (content: "cgi-bin/phf"; offset:4; depth:20;)

- distance : Từ khóa distance cũng tương tự như offset, điểm khác biệt là offset cho biết

vị trí tìm kiếm tính từ đầu payload, trong khi distance sẽ tính từ vị trí của mẫu trước đó

Từ khóa này được dùng kết hợp với từ khóa content

Định dạng: distance: <byte count>;

Ví dụ: alert tcp any any -> any any (content:"ABC"; content: "DEF"; distance:1;)

c Non-Payload Detection Rule Options

Tìm kiếm thông tin trong phần non-payload của packet, bao gồm các từ khóa:

frag ,offset, ttl, tos, id, ipopts, fragbits, dsize, flags, flow, flowbits, seq, ack,

window, itype, icode, icmp id, icmp seq, rpc, ip proto, sameip, stream size.

- ttl : Là từ khóa được sử dụng để kiểm tra trường TTL (time to live) trong phần

header ip của gói tin Từ khóa này có thể sử dụng với tất cả các giao thức xây dựng trên

IP như ICMP, UDP và TCP Sử dụng từ khóa ttl để kiểm tra ai đó đang cố gắng traceroute

hệ thống mạng

- tos : Đây là từ khóa được sử dụng để phát hiện một giá trị cụ thể trong trường

TOS (Type of service) của IP Header

Định dạng: tos: [!] <number>;

- id : id là từ khóa được sử dụng để kiểm tra trường ID của header gói tin IP Mục đích

của nó là phát hiện các cách tấn công một số ID cố định

Định dạng: id: <number>;

- dsize dsize là từ khóa được sử dụng để tìm chiều dài một phần dữ liệu của gói tin

Nhiều cách tấn công sử dụng lỗ hổng tràn bộ đệm bằng cách gửi gói tin có kích thướt lớn Sử dụng từ khóa này để tìm thấy gói tin có chiều dài dữ liệu lớn hoặc nhỏ hơn một số xác định

Định dạng: dsize : [<>] <number> [<><number>];

- flags : flags là từ khóa được sử dụng để tìm ra bit flag nào được thiết lập trong

header TCP của gói tin Các bit sau có thể được kiểm tra: F- FIN, S-SYN, R-RST, P-PSH,A-ACK ,U-URG, 1- Reserved bit 1, 2- Reserved bit 2, 0- No TCP flags set

Một số tùy chọn khác được sử dụng

+ Phù hợp với một hoặc nhiều bit được chỉ ra

* Phù hợp với bất kì bit nào được thiết lập

! Phù hợp với các bit không được thiết lập

Định dạng: flags:[!|*|+]<FSRPAU120>[,<FSRPAU120>];

Ví dụ: alert tcp any any -> any any (flags:SF,12;)

c Post-Detection Rule Options

Xảy ra khi một rule được kích hoạt, gồm các từ khóa: logto, session, resp, react,

tag, activated by, count.

1.2.4.3 Một số rule ví dụ đơn giản:

Log tất cả các traffic đang cố kết nối tới port telnet:

log tcp any any -> 10.0.10.0/2 23

Log ICMP traffic tới mạng 10.0.10.0:

log icmp any any -> 10.0.10.0/24 any

Cho phép tất cả các truy cập web đi qua, không log:

pass tcp any 80 -> any 80

Tạo một cảnh báo với thông điệp bất kỳ:

alert tcp any any -> any 23 (msg: “Telnet Connection Attemp”;)

Cảnh báo khi có các hành vi scan SYN/FIN trong mạng:

alert tcp any any -> 10.0.10.0/24 any (msg: “SYN-FIN scan detected”; flags: SF;)

Cảnh báo khi có hành vi scan TCP NULL trong mạng:

alert tcp any any -> 10.0.10.0/24 any (msg: “NULL scan detected”; flags: 0;)

Cảnh báo khi có truy dấu vết OS :

alert tcp any any -> 10.0.10.0/24 any (msg: “O/S Fingerprint detected”; flags: S12;)

Lọc nội dung:

alert tcp any $HOME_NET -> !$HOME_NET any (content: “Hello”; msg: “Hello Packet”;)

1.2.4.4 Các rule đã được thiết lập sẵn

Một số IDS rule cơ bản đã được thiết lập sẵn và cho phép ta chọn sử dụng trong quá trình cài đặt Snort Ngoài ra có thể download nhiều rule khác tại trang www.snort.org

Download các rule được thiết lập sẵn là đăng ký thành viên trên trang www.snort.org Các thành viên đã đăng ký có thể nhận được tất cả các snort rule mới nhất, nhưng các rule

đó chỉ có khi chúng đã được cung cấp cho các Sourcefice subscriber

Người dùng không đăng ký trên trang www.snort.org cũng có thể download snort rule

đã thiết lập sẵn Họ chỉ có thể download các ruleset cung cấp kèm theo bản release chính thức của Snort

a Kiểm tra rule DDoS:

Tấn công từ chối dịch vụ là một trong những kiểu tấn công "cổ điển" nhưng chưa bao giờmất đi tính nguy hiểm đối với một hệ thống mạng

DDoS gây nghẽn một website hay một cơ sở hạ tầng, khiến người sử dụng không thể truycập giống như hiện tượng nghẽn mạng di động trong dịp lễ tết do có quá nhiều người gọicùng lúc Phương pháp này bị coi là "bẩn thỉu" nhưng đem lại hiệu quả tức thì: website bị

tê liệt kéo dài cho tới khi cuộc tấn công chấm dứt

Bản chất của DDoS là không thể khống chế mà chỉ có giảm giảm bớt cường độ tấn công.Việc phát hiện kịp thời có thể giúp phần nào ngăn ngừa rất nhiều cuộc tấn công từ chốidịch vụ Ví dụ khi đang bị tấn công, chủ website có thể mở rộng băng thông dù đây là giảipháp rất tốn kém

Dưới đây là ví dụ mẫu:

alert tcp $EXTERNAL_NET any -> $HOME_NET 27665

(msg: “DDOS Trin00 Attacker to Master default startup

password”);flow: established,to_server;

content:“Betaalmostdone”;reference:arachnids,197;

classtype:attempted-dos;sid: 233, rev: 3;)

b Kiểm tra rule Backdoor:

Trên máy chủ thường có các cổng dịch vụ chính thức, được xem là "cổng chính" Khi mộtmáy chủ nào đó đã bị thâm nhập và đã đoạt được chủ quyền, kẻ tấn công cài vào máy chủmột dịch vụ nào đó để tạo "cổng sau" nhằm mục đích để trở lại máy chủ này một cách dễdàng và kín đáo khi nào cần

Khi thiết lập rule này, ta có thể phát hiện khi backdoor được cài vào hệ thống Dưới đây là

ví dụ mẫu cho rule để phát hiện backdoor:

alert tcp $HOME_NET 12345:123456 -> $EXTERNAL_NET any

(msg: “BACKDOOR netbus active”);

flow: from_server,established; content “NetBus”;

reference:arachnids,401; classtype:misc-activity;

sid: 109, rev: 5;)

c Kiểm tra rule khi bị Web attack:

Một trong những phương thức tấn công phát triển nhanh nhất là tấn công trên các dịch vụweb Từ khi các dịch vụ web bùng nổ, chúng đã trở thành mục tiêu tấn công cho các hacker

từ nghiệp dư cho đến chuyên nghiệp Do đó, Snort cũng có nhiều rule được thiết kế đểkiểm tra các cuộc tấn công web

alert tcp $EXTERNAL_NET 12345:123456 -> $EXTERNAL_NET any(msg: “WEB-attack etc/shadow access”);

flow: to_server,established; content “/etc/shadow”;nocase;

d Kiểm tra rule dành cho IIS Server:

Khi Microsoft IIS Web Server ngày càng phổ biến, thì các cuộc tấn công lên hệ thốngserver này gia tăng theo cấp số mũ Bởi vì thế, có một ruleset dành riêng cho IIS Server Vdmột ISS rule:

Alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS(msg: “WEB-IIS Directory transversal attempt”; flow:to_server, established; content: “ |5C| ”; reference:bugtraq, 2218; reference:cve, 1999-0229; classtype: web-application-attack; sid: 974; rev: 10;)

Rule này xác định một lỗi bảo mật nổi tiếng: khi một người chỉ cần nhập vào một URL là

đã có thể truy cập vào máy tính Hành động này gọi là Directory Transversal Attack,attacker dùng / trong URL như một phần của cuộc tấn công

Trong rule này, cảnh báo được thiết lập trên TCP traffic hướng từ mạng bên ngoài trên tất

cả các port tới các webserver trên các webserver port Kết nối phải được thiết lập và hướng

về phía server Điểm mấu chốt của rule này đó chính là “ |5C| ” trong content option củarule Nó chính là “ / ” chuyển đổi từ mã ASCII Điều này đã được phân loại là kiểu webattack, có Snort ID là 974 và có 10 luật phân nhánh

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IISISAPI ida attempt"; flow:to_server,established; uricontent:".ida?"; nocase; reference:arachnids,552; reference:bugtraq,1065; reference:cve,2000-0071; classtype:web- application-attack; sid:1243; rev:11;)

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS ISAPI .ida access"; flow:to_server,established; uricontent:".ida"; nocase; reference:arachnids,552;

reference:bugtraq,1065; reference:cve,2000-0071; application-activity; sid:1242; rev:10;)

classtype:web-1.3 Snort inline

1.3.1 Giới thiệu

Snort-inline là một nhánh phát triển của Snort do William Metcalf khởi xướng và lãnhđạo Đến phiên bản 2.3.0 RC1 của Snort, inline-mode đã được tích hợp vào bản chínhthức do snort.org phát hành Sự kiện này đã biến Snort từ một IDS thuần túy trở thànhmột hệ thống có các khả năng của một IPS, mặc dù chế độ này vẫn chỉ là tùy chọn chứkhông phải mặc định

Ý tưởng chính của inline-mode là kết hợp khả năng ngăn chặn của iptables vào bên trongsnort Điều này được thực hiện bằng cách thay đổi môđun phát hiện và môđun xử lý chophép snort tương tác với iptables Cụ thể, việc chặn bắt các gói tin trong Snort được thựchiện thông qua Netfilter và thư viện libpcap sẽ được thay thế bằng việc sử dụng ipqueue

và thư viện libipq Hành động ngăn chặn của snort-inline sẽ được thực hiện bằng mode của iptables

ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độcủa hệ thống

Hình 5 : Ứng dụng IPtables

Tiền thân của iptables là ipchain (kernel 2.2) và một trong những điểm cải

tiến quan trọng của iptables là stateful packet filtering

Iptables còn cung cấp các tính năng như NAT (Network Address Tranlation)

và rate limit rất hữu hiệu khi chống DoS

Cấu trúc của Iptables:

Iptables được chia làm 4 bảng (tables):

- Bảng filter dùng để lọc gói dữ liệu

- Bảng NAT dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT

đích

- Bảng Mangle dùng để thay đổi các thông số trong gói IP

- Và bảng conntrack dùng để theo dõi các kết nối

Mỗi tables có nhiều chuỗi (chains) Chain gồm nhiều luật (rule) để thao tác

với gói dữ liệu Rule có thể là:

- ACCEPT-Chấp nhận gói dữ liệu

- DROP-Thả gói

- REJECT-Loại bỏ gói

- REFERENCE-Tham chiếu đến chain khác

Các đổi địa chỉ IP động (dynamic IP):

NAT động là một trong những kĩ thuật chuyển đổi địa chỉ IP NAT (Network AddressTranslation) Các địa chỉ IP nội bộ được chuyển sang IP NAT như sau :

NAT Router đảm nhận việc chuyển dãy IP nội bộ 169.168.0.x sang dãy IP mới203.162.2.x Khi có gói liệu với IP nguồn là 192.168.0.200 đến router, router sẽ đổi IPnguồn thành 203.162.2.200 sau đó mới gửi ra ngoài Quá trình này gọi là SNAT(Source-NAT, NAT nguồn) Router lưu dữ liệu trong một bảng gọi là bảng NAT động.Ngược lại, khi có một gói từ liệu từ gửi từ ngoài vào với IP đích là 203.162.2.200,router sẽ căn cứ vào bảng NAT động hiện tại để đổi địa chỉ đích 203.162.2.200 thànhđịa chỉ đích mới là 192.168.0.200 Quá trình này gọi là DNAT (Destination-NAT, NATđích) Liên lạc giữa 192.168.0.200 và 203.162.2.200 là hoàn toàn trong suốt(transparent) qua NAT router NAT router tiến hành chuyển tiếp (forward) gói dữliệu từ 192.168.0.200 đến 203.162.2.200 và ngược lại

Cách đóng giả địa chỉ IP:

NAT Router chuyển dãy IP nội bộ 192.168.0.x sang một IP duy nhất là

203.162.2.4 bằng cách dùng các số hiệu cổng (port-number) khác nhau Chẳng hạn khi

có gói dữ liệu IP với nguồn 192.168.0.168:1204, đích 211.200.51.15:80 đến router,router sẽ đổi nguồn thành 203.162.2.4:26314 và lưu dữ liệu này vào một bảng gọi làbảng masquerade động Khi có một gói dữ liệu từ ngoài vào với nguồn là221.200.51.15:80, đích 203.162.2.4:26314 đến router, router sẽ căn cứ vào bảngmasquerade động hiện tại để đổi đích từ 203.162.2.4:26314 thành192.168.0.164:1204 Liên lạc giữa các máy trong mạng LAN với máy khác bênngoài hoàn toàn trong suốt qua router

Cơ chế xử lý gói tin:

Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables bằng cách dùng các bảngtuần tự xây dựng sẵn (queue) Có 3 loại bảng này gồm :

- Mangle table: chịu trách nhiệm biến đổi quality of service bits trongTCP header Thông thường loại table này được ứng dụng trong SOHO(Small Office/Home Office)

- Filter queue: chịu trách nhiệm thiết lập bộ lọc packet (packet filtering), có

ba loại built-in chains được mô tả để thực hiện các chính sách về firewall(firewall policy rules)

o Forward chain: Cho phép packet nguồn chuyển qua firewall

o Input chain: Cho phép những gói tin đi vào từ firewall

o Output chain: Cho phép những gói tin đi ra từ firewall

NAT queue: thực thi chức năng NAT (Network Address Translation), cung

cấp hai loại built-in chains sau đây:

- Re-routing chain: NAT từ ngoài vào trong nội bộ Quá trình NAT sẽ thựchiện trước khi thực thi cơ chế routing Điều này thuận lợi cho việc đổiđịa chỉ đích để địa chỉ tương thích với bảng định tuyến của firewall, khi cấu hình

ta có thể dùng khóa DNAT để mô tả kỹ thuật này

- Post-routingchain: NAT từ trong ra ngoài Quá trình NAT sẽ thực hiện sau khithực hiện cơ chế định tuyến Quá trình này nhằm thay đổi địa chỉ nguồn của góitin Kỹ thuật này được gọi là NAT one-to-one hoặc many-to-one, được gọi

là Source NAT hay SNAT

- Packet filtering: Accept hay drop các gói tin

- NAT : Thay đổi địa chỉ nguồn/ đích của địa chỉ IP của các gói tin

- Packet mangling : định dạng các gói tin

IPtables là một công cụ cần thiết để cấu hình netfilter, nó cần phải được chạy bởi quyềnroot

Sau đó, nếu một gói tin phù hợp với dấu hiệu tấn công của Snort_inline, nó được gắn thẻlibipq và gửi trả lại Netfilter nơi mà nó được drop

Snort_inline có hai chế độ: Drop mode và Replace mode

a Drop mode:

Một packet được drop khi nó phù hợp với các dấu hiệu tấn công Có 3 tùy chọntrong chế độ này:

- Drop: Drop một gói tin, gửi một thiết lập đến máy chủ, ghi lại sự kiện

- Sdrop: Drop một gói tin mà không gửi thiết lập đến máy chủ

- Ignore: Drop một packet, gửi một thiết lập đến máy chủ, không ghi lại sựkiện

b Replace mode:

Hình 6 : Chế độ Replace mode Iptables

1.2.4 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode

Để hỗ trợ tính năng ngăn chặn của Snort-inline, một số thay đổi và bổ sung đã được đưavào bộ luật Snort Đó là đưa thêm 3 hành động DROP, SDROP, INJECT và thay đổi trình

tự ưu tiên của các luật trong Snort

Hành động REJECT yêu cầu iptables từ chối gói tin, có nghĩa là iptables sẽ loại

bỏ và gửi lại một thông báo cho nguồn gửi gói tin đó Hành động REJECTkhông ghi lại bất cử thông tin gì

Trình tự ưu tiên của các luật

Trong các phiên bản gốc, trình tự ưu tiên của các hành động trong Snort là :

activation->dynamic-> alert->pass->log

Trong inline-mode, trình tự ưu tiên này được thay đổi như sau :

2 Mô hình triển khai

Hình 7 : Mô hình demo

Mô hình triển khai:

- Gồm 2 máy tính được nối trực tiếp với nhau, trên máy thứ nhất có địa chỉ ip 192.168.0.211 chạy Windows 7 và máy thức 2 chạy hệ điều hành CentOS

- Máy win7 được dùng để ping tới máy chạy CentOS

- Trên máy CentOS được cài chương trình Snort_Inline qua đó ta có thể đưa ra cảnh báo hoặc cấm ping từ máy win7

Các bước triển khai :

Trên máy Win7 chạy lệnh: Ping 192.168.0.105 -t Trên máy CenOS:

- Cấu hình ICMP.rules với dòng lệnh sau:

Alert ICMP any any -> 192.168.0.105/24 any (msg:”Ping”, sid:1000001;)

- Chạy snort_inline với dòng lệnh:

Snort_inline –c /etc/snort_inline/snort_inline.conf –I eth0

- Mở http://localhost/base chúng ta sẽ thấy được những thông báo với msg là

“Ping”

Hình 8 : Thông báo phát hiện ping từ máy win 7

- Tương tự ta tạo ra rules.rules với dòng lệnh sau:

Drop ICMP any any -> 192.168.0.105/24 any (msg:”Snort_inline blocking”, sid:1000001;)

- Chạy snort_inline với dòng lệnh:

Snort_inline –c /etc/snort_inline/snort_inline.conf –I eth0

- Lúc này tại máy Win7 sẽ không ping thấy và ta nhận được thông báo trong

Cài đặt :

- Cài đặt Snort như các chương trình thông thường, cứ để mặc định

- Sau khi cài đặt, tạo folder “log” trong thư mục $SnortInstallationPath\bin

- Trong thư mục vừa tạo tạo thêm 1 file alert.ids

Cấu Hình :

- Mở file snort.config và chỉnh sửa (lưu ý, nên lưu lại 1 bản backup đề phòng chỉnh sửa xong gặp lỗi)

- Chỉnh sửa 1 số biến :

var include reference var include F:\Snort\etc\reference.config var RULE_PATH….\rules var RULE_PATH F:\Snort\rules

# include threshold.conf var F:\Snort\etc\threshold.conf

dynamicpreprocessor

directory …. dynamicpreprocessor directory F:\Snort\lib\ snort_dynamicpreprocessor

sf_engine.dll

3.2 Snort trên linux

Tiến hành cài đặt snort trên hệ điều hành Unbutu

Cài đặt các gói cần thiết :

sudo apt-get install nmap

Hình 9 : cài đặt gói Nmap

sudo apt-get install nbtscan

Hình 10 : cài đặt gói nbtscan

sudo apt-get install apache2

Hình 10 : cài đặt gói apache2

sudo apt-get install php5

Hình 11 : cài đặt gói php5