Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO 5

CÁC THUẬT NGỮ VIẾT TẮT 6

LỜI GIỚI THIỆU 8

PHẦN 1 : TỔNG QUAN 9

1.1 Lý do chọn đề tài 10

1.2 Phân tích hiện trạng 10

1.3 Xác định yêu cầu 11

1.4 Giới hạn và phạm vi nghiên cứu 12

1.5 Ý nghĩa thực tiễn của đề tài 12

PHẦN 2 : TÌM HIỂU IDS 13

2.1 Khái niệm 14

2.2 Các thành phần và chức năng của IDS 14

2.2.1 Thành phần thu thập gói tin 14

2.2.2 Thành phần phát hiện gói tin 15

2.2.3 Thành phần phản hồi 15

2.3 Phân loại IDS 15

2.3.1 Network Base IDS (NIDS) 15

2.3.1.1 Lợi thế của Network-Based IDS 16

2.3.1.2 Hạn chế của Network-Based IDS 16

2.3.2 Host Base IDS (HIDS) 17

- Trang 1 -

2.3.2.2 Hạn chế của Host IDS 18

2.4 Cơ chế hoạt động của IDS 18

2.4.1 Phát hiện dựa trên sự bất thường 18

2.4.2 Phát hiện thông qua Protocol 18

2.4.3 Phát hiện nhờ quá trình tự học 21

2.5 Các ứng dụng IDS phổ biến hiện nay 21

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG 22

3.1 Các phương thức tấn công 23

3.1.1 ARP Spoofing 23

3.1.2 Syn Flood 23

3.1.3 Zero Day Attacks 23

3.1.4 DOS - Ping Of Death 24

3.2 Các phương thức phòng chống 24

3.2.1 ARP Spoofing : mã hóa ARP Cache 24

3.2.2 Syn Flood 25

3.2.3 Zero Day Attacks 25

3.2.4 DOS – Ping Of Death 25

PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP 26

4.1 Các bước thực hiện 27

4.1.1 Mô hình mạng tổng quan 27

4.1.2 Máy Client 27

4.1.3 Máy IDS 27

4.1.4 Máy Webserver 28

4.1.5 Máy Windows Server 2008 28

4.2 Cấu hình IDS 28

4.2.1 Mô hình mạng chi tiết 28

4.2.2 Các bước cấu hình cảnh báo và ngăn chặn một vài ứng dụng của IDS trên Snort kết hợp Iptables 29

4.2.2.1 Tấn công bằng phương thức Dos lỗi SMB 2.0 29

4.2.2.2 Truy cập Web trái phép theo IP và tên miền 29

4.2.2.3 Truy cập Website vào giờ cấm 29

4.2.2.4 Truy cập theo phương thức FTP 30

4.2.2.5 Tấn công theo phương thức Ping Of Death 30

4.2.2.6 Hành động chat với các máy ip lạ 30

4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing 30

4.2.3 Cài đặt webmin quản lý Snort 31

4.2.4 Tạo CSDL Snort với MySQL 31

4.2.5 Cài đặt BASE 31

PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT CỦA MỘT IDS 32

5.1 Inotify 33

5.2 Lập trình API kết hợp với Inotify 33

5.3 Sản phẩm 34

- Trang 3 -

PHẦN 6 : TỔNG KẾT 35

6.1 Những vấn đề đạt được 36

6.2 Những vấn đề chưa đạt được 36

6.3 Hướng mở rộng đề tài 37

PHẦN 7 : PHỤ LỤC 38

7.1 Tài liệu tham khảo 39

7.2 Phần mềm IDS-Snort 40

7.2.1 Giới thiệu Snort 40

7.2.2 Snort là một NIDS 41

7.3 Cấu hình các Rules cơ bản của Snort và Iptables 41

7.3.1 Rules Snort 41

7.3.1.1 Cảnh báo ping 41

7.3.1.2 Cảnh báo truy cập website 41

7.3.1.3 Cảnh báo truy cập FTP 41

7.3.1.4 Cảnh báo truy cập Telnet 41

7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn 42

7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 42

7.3.1.7 Cảnh báo chat với các máy có IP lạ 42

7.3.1.8 Ngăn chặn các trang Web có nội dung xấu 42

7.3.2 Rules Iptables 42

7.3.2.1 Ngăn chặn ping 42

7.3.2.2 NAT inbound và NAT outbound 43

7.3.2.3 Ngăn chặn truy cập website 43

7.3.2.4 Ngăn chặn truy cập FTP 44

7.3.2.5 Ngăn chặn Dos lỗi SMB 2.0 44

7.3.2.6 Ngăn chặn gói tin ICMP có kích thước lớn 44

7.3.2.7 Ngăn chặn chat với các máy có IP lạ 44

7.4 Hướng dẫn chi tiết cấu hình Snort 44

7.5 Thiết lập mạng và cấu hình các biến 46

7.6 Cấu hình option của file Snort.conf 47

7.7 Cấu hình tiền xử lý (preprocessor) 48

7.8 Thiết Lập Snort khởi động cùng hệ thống 50

7.9 Quản lý snort bằng webmin 51

7.10 Tạo CSDL snort với MySQL 51

7.11 Cài đặt BASE và ADODB 52

- Trang 5 -

DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO

Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) : Hình 1 trong phần 2 Hình 2: Network IDS : Hình 2 trong phần 2

Hình 3: Host base IDS : Hình 3 trong phần 2

Hình 4: Cấu trúc IP Header : Hình 4 trong phần 2

Hình 5: Cấu trúc TCP Header : Hình 5 trong phần 2

Hình 6: Xem ARP Cache : Hình 1 trong phần 3

Hình 7: Mô hình mạng tổng quan : Hình 1 trong phần 4

Hình 8: Mô hình mạng chi tiết : Hình 2 trong phần 4

Hình 9 : Quản lý với Webmin : Hình 1 trong phần 6

Hình 10 : Quản lý BASE : Hình 2 trong phần 6

Hình 11 : Sản phẩm demo - Hình 1 trong phần 5

CÁC THUẬT NGỮ VIẾT TẮT

 IDS – Intrusion Detection System : Hệ thống phát hiện xâm nhập

 NIDS: Network Intrusion Detection System

 HIDS: Host Intrusion Detection System

 DIDS: Distributed Intrusion Detection System

 ADOdb: là một thư viện ở mức trừu tượng dành cho PHP và Python dựa trên

cùng khái niệm với ActiveX Data Objects của Microsoft

 DdoS – Distribute Denial of Service Từ chối dịch vụ phân tán

 LAN – Local Area Network: mạng máy tính cục bộ

 Sensor: Bộ phần cảm biến của IDS

 Alert: Cảnh báo trong IDS

 TCP-Transmission Control Protocol : Giao thức điều khiển truyền vận

 Slow Scan: là tiến trình “quét chậm”

 SSL – Secure Sockets Layer

 SSH- Secure Shell:giao thức mạng để thiết lập kết nối mạng một cách bảo mật

 IPSec: IP Security

 DMZ – demilitarized zone : Vùng mạng vật lý chứa các dịch vụ bên ngoài của

một tổ chức

 CPU : Central Processing Unit- Đơn vị xử lý trung tâm

 UNIX: Unix hay UNIX là một hệ điều hành máy tính

 Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy cập từ xa

 Protocol: Giao thức

 Payload: Độ tải của một gói tin trên mạng

 Attacker: Kẻ tấn công

- Trang 7 -

 ADSL:: Asymmetric Digital Subscriber Line – đường dây thuê bao số bất đối

xứng

 WLAN: Wireless Local Area – mạng cục bộ không dây

 Iptables : Hệ thống tường lửa trong linux

 ACID – Analysis Console for Intrusion Databases – Bảng điều khiển phân tích

dữ liệu cho hệ thống phát hiện xâm nhập

 BASE – Basic Analysis and Security Engine – Bộ phận phân tích gói tin

 Software: Phần mềm

 OS : Operating System : hệ điều hành

 OSI : Open Systems Interconnection : mô hình 7 tầng OSI

LỜI GIỚI THIỆU



Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty

Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng ảo(VPN) Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống

Chúng em chân thành cảm ơn thầy Đinh Xuân Lâm đã tận tình hướng dẫn giúp chúng em hoàn thành đồ án tốt nghiệp này Mặc dù đã cố gắng hoàn thành đề tài nhưng đây là một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên còn nhiều thiếu sót

Chúng em rất mong được tiếp nhận những ý kiến, nhận xét từ quý thầy cô

Chúng em xin chân thành cảm ơn

Các sinh viên thực hiện :

1 Huỳnh Tiến Phát : Số điện thoại : 0986.440.748

Email: phathuynh@daihoc.com.vn

2 Trần Quang Lâm : Số điện thoại : 0984.055.050

Email: lamtran@daihoc.com.vn

- Trang 9 -

PHẦN 1 : TỔNG QUAN

1.1 Lý do chọn đề tài

Chúng em thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra cảnh báo đến nhà quản trị mà nó còn cung cấp những thông tin sau:

Loại thông tin này ngày càng trở nên quan trọng khi các nhà quản trị mạng muốn thiết

kế và thực hiện chương trình bảo mật thích hợp cho một cho một tổ chức riêng biệt

Một số lý do để thêm IDS cho hệ thống tường lửa là:

1.2 Phân tích hiện trạng

- Trên 90% các mạng được kết nối đang sử dụng IDS để phát hiện lỗ hổng bảo mật máy tính

- 4/7/02, Viện An ninh máy tính đã báo cáo có đến 80% thiệt hại tài chính vượt qua

455 triệu đôla bị gây ra bởi sự xâm nhập và mã nguy hiểm

- Hàng triệu công việc bị ảnh hưởng do sự xâm nhập

- Trang 11 -

- Nếu sử dụng một phần mềm chống virus thì bạn phải xem xét đến việc bổ sung thêm một IDS cho chiến lược bảo mật của mình Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS

- Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật nào có thể tồn tại lâu dài Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công

nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp

- Lấy ví dụ với hệ điều hành Vista có thể bị tấn công bởi một lỗ hổng "blue screen of death" hay vẫn thường được gọi là màn hình xanh chết chóc Hacker có thể gửi tới hệ thống một yêu cầu chứa các mã lệnh tấn công trực tiếp vào hệ thống của Vista và làm ngưng lại mọi hoạt động

- Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật

4 Các ứng dụng IDS phổ biến hiện nay

5 Triển khai mô hình IDS demo trong mạng LAN

 Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến và cảnh báo của một IDS

1.4 Giới hạn và phạm vi nghiên cứu

- Tìm hiểu hệ thống mạng máy tính cục bộ của các tổ chức, doanh nghiệp và có tham gia kết nối internet

- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng

- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập

- Tìm hiểu Snort IDS Software

1.5 Ý nghĩa thực tiễn của đề tài

- Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâm nhập

- Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thống mạng

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp

- Trang 13 -

PHẦN 2 : TÌM HIỂU IDS

2.1 Khái niệm

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị

2.2 Các thành phần và chức năng của IDS

IDS bao gồm các thành phần chính :

Hình 1: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS)

2.2.1 Thành phần thu thập gói tin

Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng Thông thường các gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng trường thông tin Bộ phận thu thập gói tin sẽ đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thông tin này được chuyển đến thành phần phát hiện tấn công

- Trang 15 -

2.2.2 Thành phần phát hiện gói tin

Ở thành phần này, các bộ cảm biến đóng vai trò quyết định Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ

2.2.3 Thành phần phản hồi

Khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến thành phần phản ứng Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị Dưới đây là một số kỹ thuật ngǎn

chặn:

 Cảnh báo thời gian thực

Gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng

 Ghi lại vào tập tin

Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tập tin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động

 Ngăn chặn, thay đổi gói tin

Khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa

bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường

2.3 Phân loại IDS

2.3.1 Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu

Hình 2: Network IDS

2.3.1.1 Lợi thế của Network-Based IDS

 Quản lý được cả một network segment (gồm nhiều host)

 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

 Tránh DOS ảnh hưởng tới một host nào đó

 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

 Độc lập với OS

2.3.1.2 Hạn chế của Network-Based IDS

 Có thể xảy ra trường hợp báo động giả

 Không thể phân tích các gói tin đã được mã hóa (vd: SSL, SSH, IPSec…)

 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Trang 17 -

 Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khi báo động được phát ra, hệ thống có thể đã bị tổn hại

 Không cho biết việc tấn công có thành công hay không

2.3.2 Host Base IDS (HIDS)

HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính

Hình 3: Host base IDS

2.3.2.1 Lợi thế của Host IDS

 Có khả năng xác định người dùng liên quan tới một sự kiện

 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy

 Có thể phân tích các dữ liệu mã hoá

 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra

2.3.2.2 Hạn chế của Host IDS

 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

 Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

 HIDS phải được thiết lập trên từng host cần giám sát

 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,

Netcat…)

 HIDS cần tài nguyên trên host để hoạt động

 HIDS có thể không hiệu quả khi bị DOS

 Đa số chạy trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác

2.4 Cơ chế hoạt động của IDS

IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn công đó Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các

vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai

2.4.1 Phát hiện dựa trên sự bất thường

Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập

Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công

ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một điều bất thường

2.4.2 Phát hiện thông qua Protocol

Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin

TCP Header

Hình 5: Cấu trúc TCP Header

Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và những hành động dị thường Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng sau:

 Thu thập thông tin: Kiểm tra tất cả các gói tin trên mạng

 Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn công

 Cảnh báo : hành động cảnh báo cho sự tấn công được phân tích ở trên

- Trang 21 -

2.4.3 Phát hiện nhờ quá trình tự học

Kỹ thuật này bao gồm hai bước Khi bắt đầu thiết lập, hệ thống phát hiện tấn công

sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động bình thường Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới khi cuộc tấn công kết thúc

2.5 Các ứng dụng IDS phổ biến hiện nay

Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì khi một tổ chức kết nối với internet không thể áp dụng các phương pháp phòng chống tấn công, xâm nhập sử dụng firewall chỉ là một trong những biện pháp căn bản, sơ khai trong công tác phòng chống xâm phạm thông tin Sử dụng IDS sẽ góp phần tăng cường sức mạnh cho nhà quản trị và cảnh báo kịp thời mọi thời điểm diễn biến bất thường qua mạng Cụ thể, IDS có thể cảnh báo những hành động sau:

 Hành động download dữ liệu trong hệ thống LAN bằng ftp từ các máy ip lạ

 Hành động chat với các máy ip lạ

 Hành động truy xuất 1 website bị công ty cấm truy cập mà nhân viên công ty vẫn cố tình truy xuất

 Hành động truy xuất các website vào giờ cấm

 Hành động chống sniff sử dụng phương pháp ARP Spoofing

 Thực hiện chống Dos vào máy server thông qua lỗi tràn bộ đệm

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG

công

3.1.2 Syn Flood

Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống Đây là 1 loại tấn công rất phổ biến Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công

và trước khi nhận gói ACK

3.1.3 Zero Day Attacks

Zero-day là thuật ngữ chỉ sự tấn công hay các mối đe dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố và chưa được sửa chữa

"Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." là nguyên văn tiêu đề mô tả mã tấn công viết bằng Python mà Gaffie đưa lên blog bảo mật Seclists.org Cuộc tấn công nhằm vào lỗi xuất phát từ System Message Block phiên bản 2.0 (SMB2) vốn có trong Windows Vista, Windows 7 và Windows Server 2008 Đi sâu vào lỗi do Gaffie công bố, nguyên nhân chính xuất phát

từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High" chứa đựng một ký tự "&"(mã hexa là 00 26) Cuộc tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất Mối

lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN) của Windows

3.1.4 DOS - Ping Of Death

Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn kích thước cho phép là 65,536 bytes Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với buffer bên nhận Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này

và sẽ reboot hoặc bị treo

VD : ping 192.168.1.20 –l 65000

3.2 Các phương thức phòng chống

3.2.1 ARP Spoofing : mã hóa ARP Cache

Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache Bạn có thể xem ARP cache của máy tính Windows bằng cách mở

nhắc lệnh và đánh vào đó lệnh arp –a

Hình 7: Xem ARP Cache

Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP

ADDRESS> <MAC ADDRESS>

Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply

- Trang 25 -

3.2.2 Syn Flood

Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn

lệnh iptables sau:

iptables -A INPUT –p tcp syn –m limit limit 1/s limit -burst 3 -j RETURN

Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau:

 limit 1/s: Tốc độ truyền gói tin trung bình tối đa 1/s (giây)

 limit-burst 3: Số lương gói tin khởi tạo tối đa được phép là 3

Dùng iptables, thêm rule sau vào:

# Limit the number of incoming tcp connections

# Interface 0 incoming syn-flood protection

iptables -N syn_flood

iptables -A INPUT -p tcp syn -j syn_flood

iptables -A syn_flood -m limit limit 1/s limit-burst 3 -j RETURN

iptables -A syn_flood -j DROP

3.2.3 Zero Day Attacks

+ Cập nhật bản vá lỗi

+ Lọc dữ liệu từ cổng TCP 445 bằng tường lửa (iptables)

+ Khóa cổng SMB trong registry

3.2.4 DOS – Ping Of Death

- Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống

- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ

Ví dụ : alert icmp 192.168.1.0/24 any -> 172.16.1.0/24 any (msg:"Ping >

1000";dsize:>1000 ; sid:2;)

Trong ví dụ trên thì nếu gói tin có kích thước lớn hơn 1000byte thì sẽ không cho Ping

PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT

HIỆN XÂM NHẬP