HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TỒN THƠNG TIN

BÀI TẬP LỚN MƠN HỌC

AN TỒN MẠNG MÁY TÍNH
Đề tài:

TÌM HIỂU VỀ HỆ THỐNG IDS/IPS SNORT3,
CÀI ĐẶT VÀ THỬ NGHIỆM

Sinh viên thực hiện: PHẠM THỊ NGỌC
AT150441
PHAN THỊ THANH THỦY AT150457
BÙI THÀNH CÔNG
AT150406
TRẦN QUANG THÁI
AT150450
LÊ THỊ NGỌC ÁNH
AT150604

Hà Nội, 02- 2022


MỤC LỤC
LỜI MỞ ĐẦU.......................................................................................................... 3
CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS................................................................ 4
1.1 Khái Niệm IDS/IPS........................................................................................ 5
1.2 Phân loại......................................................................................................... 5
1.3 So sánh IDS và IPS........................................................................................ 6

1.4 Cơ chế hoạt động của hệ thống IDS/IPS......................................................... 7
1.4.1 Phát hiện sự lạm dụng............................................................................. 7
1.4.2 Phát hiện sự bất thường........................................................................... 8
1.4.3 Phát hiện thông qua Protocol................................................................. 10
CHƯƠNG 2: TỔNG QUAN VỀ SNORT3- IDS/IPS MÃ NGUỒN MỞ CÓ BẢN
CẬP NHẬT MỚI......................................................................................................... 12
2.1 Giới thiệu về snort và snort3......................................................................... 12
2.2 Một số tính năng mới của snort3.................................................................. 14
CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM......................................................... 15
3.1 Mơ hình thử nghiệm..................................................................................... 15
3.2 Thử nghiệm phát hiện và ngăn chặn của snort.............................................. 15
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN.............................................................. 19
TÀI LIỆU THAM KHẢO...................................................................................... 20


LỜI MỞ ĐẦU

Ngày nay, bảo mật thông tin đang ngày càng phổ biến trong các lĩnh vực khác nhau
trên thế giới, từ các lĩnh vực an ninh, quân sự, quốc phòng cho đến các lĩnh vực dân sự
như thương mại điện tử, ngân hàng... Với sự phát triển ngày càng nhanh chóng của
Internet và các ứng dụng giao dịch điện tử trên mạng, nhu cầu bảo vệ thông tin trong
các hệ thống và ứng dụng điện tử ngày càng được quan tâm và có ý nghĩa hết sức quan
trọng. Các ứng dụng mã hóa thơng tin cá nhân, trao đổi thông tin kinh doanh, thực
hiện các giao dịch điện tử qua mạng... đã trở nên gần gũi và quen thuộc với mọi người.
Với nhu cầu trao đổi thông tin ngày nay bắt buộc các cá nhân cũng như các cơ
quan, tổ chức phải kết nối mạng Internet toàn cầu. An tồn và bảo mật thơng tin là một
trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối Internet.Tuy nhiên, vẫn
thường xun có các mạng bị tấn cơng, có các tổ chức bị đánh cắp thơng tin... gây nên
những hậu quả vô cùng nghiêm trọng. Những vụ tấn cơng này nhằm vào tất cả các
máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công

không được báo trước, số lượng các vụ tấn cơng tăng lên nhanh chóng và các phương
pháp tấn cơng cũng liên tục được hồn thiện. Vì vậy việc kết nối một máy tính vào
mạng nội bộ cũng như vào mạng Internet cần phải có các biện pháp đảm bảo an tồn
thơng tin. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc
truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã
hóa, và mạng riêng ảo(VPN).
Vì vậy chúng em đã chọn đề tài Tìm hiểu về hệ thống IDS/IPS Snort 3, một phương
pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát
từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống.


CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS

Trong hệ thống mạng, vấn đề an tồn và bảo mật một hệ thống thơng tin đóng một
vai trị hết sức quan trọng. Thơng tin chỉ có giá trị khi nó giữ được tính chính xác,
thơng tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thơng tin biết
được nó. Khi ta chưa có thơng tin, hoặc việc sử dụng hệ thống thông tin chưa phải là
phương tiện duy nhất trong quản lý, điều hành thì vấn đề an tồn, bảo mật đơi
khi bị xem thường. Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ
thống và giá trị đích thực của thơng tin đang có thì chúng ta sẽ có mức độ đánh giá về
an tồn và bảo mật hệ thống thơng tin. Để đảm bảo được tính an tồn và bảo mật cho
một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con
người.
Hệ thống quản lý an tồn thơng tin tại Việt Nam hiện nay cịn rất yếu kém thể hiện
ở tỉ các đơn vị có cán bộ chuyên trách, bán chuyên trách về an toàn thơng tin chỉ chiếm
gần 70%. Trong khi đó tỉ lệ đơn vị có kế hoạch đào tạo an tồn thơng tin chiếm khoảng
60%. Đặc biệt tỉ lệ đơn vị mua bảo hiểm đề phịng thiệt hại do bị tấn cơng máy tính vơ
cùng ít chỉ có 11.6 %.
Trên 90% các mạng được kết nối đang sử dụng IDS/IPS để phát hiện lỗ hổng bảo
mật hệ thống.

Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng vì các cuộc tấn cơng
mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng do sự xâm
nhập…
Nếu sử dụng một phần mềm chống virus thì cần phải xem xét đến việc bổ sung
thêm một IDS/IPS cho chiến lược bảo mật của mình. Hầu hết các tổ chức sử dụng
phần mềm chống virus không sử dụng IDS/IPS.
Ngày nay do công nghệ ngày càng phát triển nên khơng có một giải pháp bảo mật
nào có thể tồn tại lâu dài. Theo đánh giá của các tổ chức hàng đầu về công nghệ thơng
tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm
“báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng
được phát hiện, hình thức tấn cơng thay đổi và có nhiều cuộc tấn công của giới tội
phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp.


Hệ thống phát hiện xâm nhập và ngăn chặn trái phép IDS/IPS là một phương pháp
bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất
phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền
thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể
hiện vai trị quan trọng trong các chính sách bảo mật, an tồn thơng tin.

1.1 Khái Niệm IDS/IPS
IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập) là thiết bị hoặc
phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đáng ngờ và cảnh báo cho
admin hệ thống. Mục đích của IDS là phát hiện và ngăn ngừa các hành động phá hoại
bảo mật hệ thống, hoặc những hành động trong tiến trình tấn cơng như dị tìm, qt các
cổng. IDS cũng có thể phân biệt giữa những cuộ tấn cơng nội bộ (từ chính nhân viên
hoặc khách hàng trong tổ chức) và tấn cơng bên ngồi (từ hacker). Trong một số
trường hợp, IDS có thể phản ứng lại với các traffic bất thường/độc hại bằng cách chặn
người dùng hoặc địa chỉ IP nguồn truy cập mạng.
Hệ thống phòng chống xâm nhập (Intrusion prevention system, viết tắt là IPS) là

một số biện pháp an ninh mạng quan trọng nhất mà mạng có thể có. IPS được biết đến
như một hệ thống kiểm sốt, vì nó khơng chỉ phát hiện các mối đe dọa tiềm ẩn đối với
hệ thống mạng và cơ sở hạ tầng của nó, mà cịn tìm cách chủ động chặn bất kỳ kết nối
nào có thể là mối đe dọa. Điều này khác với các biện pháp bảo vệ thụ động như hệ
thống phát hiện xâm nhập
IPS là một hệ thống chủ động thực hiện các bước để ngăn chặn sự xâm nhập hoặc
tấn công khi xác định được nó.

1.2 Phân loại
 Có hai loại IDS chính:
Đầu tiên là hệ thống phát hiện xâm nhập mạng (NIDS). Các hệ thống này kiểm tra
lưu lượng trong mạng và giám sát nhiều máy chủ để xác định các cuộc xâm nhập. Các
cảm biến được sử dụng để nắm bắt lưu lượng trong mạng và mỗi gói được phân tích để
xác định nội dung độc hại.
Loại thứ hai là hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS). HIDS được
triển khai trong các máy chủ hoặc máy chủ. Họ phân tích dữ liệu cục bộ trên máy như
tệp nhật ký hệ thống, đường dẫn kiểm toán và thay đổi hệ thống tệp để xác định hành
vi


bất thường. HIDS so sánh hồ sơ bình thường của máy chủ với các hoạt động được quan
sát để xác định sự bất thường tiềm ẩn.
Ngồi ra, cịn có NNIDS cũng hoạt động như NIDS, tuy nhiên chúng chỉ áp dụng
với một máy chủ trong một thời gian nhất định, chứ khơng phải trên tồn bộ mạng
con.
Ở hầu hết các nơi, các thiết bị được cài đặt IDS được đặt ở giữa bộ định tuyến nội
trú và tường lửa hoặc bên ngoài bộ định tuyến nội trú. Trong một số trường hợp, các
thiết bị được cài đặt IDS được đặt bên ngoài tường lửa và bộ định tuyến nội trú với
cường độ nhìn thấy tồn bộ các cuộc tấn cơng đã cố gắng. Hiệu suất là một vấn đề
quan trọng với các hệ thống IDS vì chúng được sử dụng với các thiết bị mạng băng

thông cao. Ngay cả với các thành phần hiệu suất cao và phần mềm được cập nhật, IDS
có xu hướng bỏ các gói vì chúng không thể xử lý thông lượng lớn.
 IPS được chia thành bốn loại:
Đầu tiên là Phòng chống xâm nhập dựa trên mạng (NIPS), theo dõi toàn bộ mạng
về hoạt động đáng ngờ.
Loại thứ hai là các hệ thống Phân tích Hành vi Mạng (NBA) kiểm tra luồng lưu
lượng để phát hiện các luồng lưu lượng bất thường có thể là kết quả của cuộc tấn công
như từ chối dịch vụ phân tán (DDoS).
Loại thứ ba là Hệ thống ngăn chặn xâm nhập khơng dây (WIPS), phân tích các
mạng khơng dây cho lưu lượng đáng ngờ.
Loại thứ tư là Hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS), trong đó
gói phần mềm được cài đặt để giám sát các hoạt động của một máy chủ. Như đã đề cập
trước đó, IPS thực hiện các bước hoạt động như bỏ các gói chứa dữ liệu độc hại, đặt lại
hoặc chặn lưu lượng truy cập đến từ một địa chỉ IP vi phạm.

1.3 So sánh IDS và IPS
IDS là một hệ thống giám sát mạng và phát hiện các hoạt động khơng phù hợp,
khơng chính xác hoặc bất thường, trong khi IPS là hệ thống phát hiện sự xâm nhập
hoặc tấn cơng và thực hiện các bước tích cực để ngăn chặn chúng.
IPS bao gồm IDS cùng hệ thống kiểm soát hoặc phản hồi. IDS không thể điều
chỉnh các xâm nhập, trong khi IPS có khả năng ngăn chặn phát tán dựa vào nội dung
của các xâm nhập.


Cả IDS và IPS đều là các hệ thống dựa trên dữ liệu những mối đe dọa đã được biết
đến. IDS cần quản trị viên xem xét những mối nguy được cảnh báo, trong khi IPS có
thể tự ngăn chặn các mối nguy này.
Sự bảo vệ chính giữa hai người không giống như IDS, IPS chủ động thực hiện các
bước để ngăn chặn hoặc chặn các cuộc xâm nhập được phát hiện. Các bước ngăn chặn
này bao gồm các hoạt động như bỏ các gói độc hại và đặt lại hoặc chặn lưu lượng truy

cập đến từ các địa chỉ IP độc hại. IPS có thể được coi là một phần mở rộng của IDS, có
khả năng bổ sung để ngăn chặn sự xâm nhập trong khi phát hiện ra chúng.

1.4 Cơ chế hoạt đợng của hệ thống IDS/IPS
Có ba cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là:
Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã được
biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống.
Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm
nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng
hay hệ thống.
Phát hiện thông qua Protocol: Tương tự như việc phát hiện dựa trên dấu hiệu,
nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định
cụ thể trong gói tin.
1.4.1 Phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào
hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mơ tả đặc điểm
các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả
như một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu
đã rõ ràng. Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn
xâu),…dùng để mô tả một tập hay một chuỗi các hành động đáng nghi ngờ.
Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario). Một hệ thống
phát hiện sự lạm dụng điển hình sẽ liên tục so sánh hành động của hệ thống hiện tại
với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản đang được tiến hành. Hệ
thống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian
thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điều hành.


Các kỹ thuật để phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mơ hình
hố các hành vi chỉ định một sự xâm nhập. Các hệ thống phát hiện sự lạm dụng thế hệ

đầu tiên sử dụng các luật (rules) để mơ tả những gì mà các nhà quản trị an ninh tìm
kiếm trong hệ thống. Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và
sửa đổi bởi vì chúng khơng được tạo thành từng nhóm một cách hợp lý trong một kịch
bản xâm nhập.
Để giải quyết khó khăn này, các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch
bản xen kẽ, bao gồm các tổ chức luật dựa trên mơ hình và các biểu diễn về phép biến
đổi trạng thái. Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ thống cần
đến sự biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải thường xuyên duy trì
và cập nhật để đương đầu với những kịch bản xâm nhập mới được phát hiện.
Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thống
phát hiện sự lạm dụng sẽ dựa theo đó để theo vết hành động xâm nhập. Trong một
chuỗi hành động, hệ thống phát hiện có thể đốn trước được bước tiếp theo của hành
động xâm nhập. Bộ dị tìm phân tích thơng tin hệ thống để kiểm tra bước tiếp theo, và
khi cần sẽ can thiệp để làm giảm bởi tác hại có thể.
1.4.2 Phát hiện sự bất thường
Dựa trên việc định nghĩa và mơ tả đặc điểm của các hành vi có thể chấp nhận của
hệ thống để phân biệt chúng với các hành vi khơng mong muốn hoặc bất thường, tìm
ra các thay đổi, các hành vi bất hợp pháp. Như vậy, bộ phát hiện sự khơng bình thường
phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bất
thường.
Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và
dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa
hành vi hợp lệ và hành vi bất thýờng thì khó xác định hơn. Phát hiện sự khơng bình
thường được chia thành hai loại tĩnh và động
1.4.2.1 Phát hiện tĩnh
Dựa trên giả thiết ban đầu là phần hệ thống được kiểm sốt phải ln ln không
đổi. Ở đây, ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả sử là phần
cứng không cần phải kiểm tra). Phần tĩnh của một hệ thống bao gồm 2 phần con: mã
hệ thống và dữ liệu của phần hệ thống đó. Hai thơng tin này đều được biểu diễn dưới
dạng một xâu bit nhị phân hoặc một tập các xâu. Nếu biểu diễn này có sự sai khác so

với dạng


thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ xâm nhập nào đó đã thay đổi nó. Lúc này,
bộ phát hiện tĩnh sẽ được thông báo để kiểm tra tính tồn vẹn dữ liệu.
Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để định nghĩa
trạng thái mong muốn của hệ thống. Các xâu này giúp ta thu được một biểu diễn về
trạng thái đó, có thể ở dạng nén. Sau đó, nó so sánh biểu diễn trạng thái thu được với
biểu diễn tương tự được tính tốn dựa trên trạng thái hiện tại của cùng xâu bit cố định.
Bất kỳ sự khác nhau nào đều là thể hiện lỗi như hỏng phần cứng hoặc có xâm nhập.
Biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế được chọn để định nghĩa cho
trạng thái hệ thống, tuy nhiên điều đó khá tốn kém về lưu trữ cũng như về các phép
toán so sánh. Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để cảnh báo xâm
nhập chứ không phải chỉ ra sai khác ở đâu nên ta có thể sử dụng dạng biểu diễn được
nén để giảm chi phí. Nó là giá trị tóm tắt tính được từ một xâu bit cơ sở. Phép tính tốn
này phải đảm bảo sao cho giá trị tính được từ các xâu bit cơ sở khác nhau là khác
nhau. Có thể sử dụng các thuật tốn checksums, message-digest (phân loại thông
điệp), các hàm băm.
Một số bộ phát hiện xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tả các
đối tượng dữ liệu) hoặc thông tin về cấu trúc của đối tượng được kiểm tra. Ví dụ,
meta-data cho một log file bao gồm kích cỡ của nó. Nếu kích cỡ của log file tăng thì
có thể là một dấu hiệu xâm nhập.
1.4.2.2 Phát hiện động
Trước hết ta đưa ra khái niệm hành vi của hệ thống (behavior). Hành vi của hệ
thống được định nghĩa là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ thống
phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi hệ điều
hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ những hành vi mà
kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mới được xem xét.
Các sự kiện có thể xảy ra theo trật tự nghiêm ngặt hoặc không và thơng tin phải
được tích luỹ. Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử dụng

tài nguyên hợp lý hay bất thường.
Nếu không chắc chắn hành vi là bất thường hay khơng, hệ thống có thể dựa vào các
tham số được thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi. Ranh giới
trong trường hợp này là khơng rõ ràng do đó có thể dẫn đến những cảnh báo sai.


Cách thức thông thường nhất để xác định ranh giới là sử dụng các phân loại thống
kê và các độ lệch chuẩn. Khi một phân loại được thiết lập, ranh giới có thể được vạch
ra nhờ sử dụng một số độ lệch chuẩn. Nếu hành vi nằm bên ngồi thì sẽ cảnh báo là có
xâm nhập.
Cụ thể là: các hệ thống phát hiện động thường tạo ra một profile (dữ liệu) cơ sở để
mô tả đặc điểm các hành vi bình thường, chấp nhận được. Một dữ liệu bao gồm tập các
đo lường được xem xét về hành vi, mỗi đại lượng đo lường gồm nhiều chiều:
• Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăng nhập,…
• Các tài nguyên được sử dụng trong cả quá trình hoặc trên một đơn vị thời gian:
chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn vị thời
gian,…
• Chuỗi biểu diễn các hành động.
Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắt đầu.
Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm sốt hành vi
bằng cách so sánh mơ tả đặc điểm hiện tại về hành vi với mô tả ban đầu của hành vi
được mong đợi (chính là dữ liệu cơ sở), để tìm ra sự khác nhau. Khi hệ thống phát hiện
xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thể hoặc các hành động
là thuộc tính của thực thể. Chúng xây dựng thêm một dữ liệu hiện tại.
Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản ghi kiểm
tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan. Các hệ thống
sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập. Một số hệ thống
hoạt động với thời gian thực, hoặc gần thời gian thực, quan sát trực tiếp sự kiện trong
khi chúng xảy ra hơn là đợi hệ điều hành tạo ra bản ghi mơ tả sự kiện.
Khó khăn chính đối với các hệ thống phát hiện động là chúng phải xây dựng các dữ

liệu cơ sở một cách chính xác, và sau đó nhận dạng hành vi sai trái nhờ các dữ liệu.
Các dữ liệu cơ sở có thể xây dựng nhờ việc giả chạy hệ thống hoặc quan sát hành
vi người dùng thông thường qua một thời gian dài.
1.4.3 Phát hiện thông qua Protocol
Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân
tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.


Các hệ thống IDS/IPS khác nhau đều dựa vào phát hiện các xâm nhập trái phép và
những hành động dị thường. Q trình phát hiện có thể được mơ tả bởi 3 yếu tố cơ bản
nền tảng sau:
• Thu thập thơng tin: Kiểm tra tất cả các gói tin trên mạng.
• Sự phân tích : Phân tích tất cả các gói tin đã thu thập để cho biết hành động nào là tấn
cơng.
• Cảnh báo : hành động cảnh báo cho sự tấn cơng được phân tích ở trên.


CHƯƠNG 2: TỔNG QUAN VỀ SNORT3- IDS/IPS MÃ NGUỒN
MỞ CÓ BẢN CẬP NHẬT MỚI

2.1 Giới thiệu về snort và snort3
Snort là phần mềm IDS được phát triển bởi Martin Roesh dưới dạng mã nguồn mở.
Snort ban đầu được xây dựng trên nền Unix nhưng sau đó phát triển sang các nền tảng
khác. Snort được đánh giá rất cao về khả năng phát hiện xâm nhập. Tuy snort miễn phí
nhưng nó lại có rất nhiều tính năng tuyệt vời. Với kiến trúc kiểu module, người dùng
có thể tự tăng cường tính năng cho hệ thống Snort của mình. Snort có thể chạy trên
nhiều hệ thống như Windows, Linux, OpenBSD, FreeBSD, Solaris …
Bên cạnh việc có thể hoạt động như một ứng dụng bắt gói tin thơng thường, Snort
cịn được cấu hình để chạy như một NIDS.
Snort3 chính là bản cập nhật mới của snort. . Bản cập nhật 3.1 đi kèm với một số

giải pháp và tin tức cho nhánh 3.x này.
Snort 3 hiện sẽ bảo vệ hệ thống của bạn để ngăn chặn sự xâm nhập và kiểm tra bảo
mật hệ thống theo cách tốt hơn, nhanh hơn, hiệu quả hơn và với một số tính năng mới.
Với nó, bạn cũng sẽ ngăn chặn tất cả lưu lượng truy cập khơng mong muốn đó, bao
gồm cả thư rác, phần mềm độc hại và các cuộc tấn công lừa đảo
Trong số những điểm mới nổi bật nhất của Snort 3.1 Có hỗ trợ cho nhiều luồng xử
lý gói, hỗ trợ các quy tắc bộ đệm dính, khả năng tự động phát hiện dịch vụ cho các cấu
hình khơng cổng, hỗ trợ cấu hình chia sẻ và bảng thuộc tính, hỗ trợ các thành phần có
thể cắm và cấu hình đơn giản và linh hoạt hơn.
Snort 3 cũng đi kèm với một hỗ trợ đa nền tảng tốt hơn, bằng cách cho phép người
dùng chạy nó trong nhiều mơi trường và hệ điều hành. Phiên bản mới cũng bổ sung
nhiều cải tiến cho khả năng kiểm tra HTTP / 2 và phát hiện phần mềm mạng, truy cập
vào hơn 200 plugin, khả năng tự động tạo tài liệu tham khảo, khả năng tạm dừng và
tiếp tục lệnh, hỗ trợ tận dụng CPU đa lõi, v.v.
Khi Snort hoạt động, nó sẽ lắng nghe tất cả các gói tin nào di chuyển qua nó. Các
gói tin sau khi bị bắt sẽ được đưa vào module giải mã. Tiếp theo sẽ vào module tiền xử
lý và rồi module phát hiện. Tại đây tùy vào việc có phát hiện được xâm nhập hay
khơng mà gói tin có thể bỏ qua để lưu thơng tin tiếp hoặc đưa vào module Log và cảnh
báo để


xử lý. Khi các cảnh báo được xác định, Module kết xuất thông tin sẽ thực hiện việc
đưa ra cảnh báo theo đúng định dạng mong muốn.
• Module giải mã gói tin: Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin trên mạng
lưu thơng qua hệ thống. Mỗi gói tin sau khi được giải mãi sẽ đưa tiếp vào module tiền
xử lý.
• Module tiền xử lý:
-

Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thơng tin sẽ khơng

đóng gói tồn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiều gói
tin rồi mới gửi đi. Khi Snort nhận được các gói tin này, nó phải thực hiện kết
nối lại để có gói tin ban đầu. Module tiền xử lý giúp Snort có thể hiểu được các
phiên làm việc khác nhau.

-

Giải mã và chuẩn hóa giao thức (decode/normalize): cơng việc phát hiện xâm
nhập dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức
có dữ liệu có thể được biểu diễn dưới nhiều dạng khác nhau. Ví dụ: một Web
server có thể nhận nhiều dạng URL: URL viết dưới dạng hexa/unicode hay
URL chấp nhận dấu / hay \. Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ
liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót hành vi xâm nhập. Do
vậy, 1 số Module tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa,
sắp xếp lại các thông tin đầu vào.

-

Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này
thường để xử lý với các xâm nhập khơng thể hoặc rất khó phát hiện bằng các
luật thông thường. Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát
hiện xâm nhập bất thường đó là portscan và bo (backoffice). Portscan dùng để
đưa ra cảnh báo khi kẻ tấn công thực hiện quét cổng để tìm lỗ hổng. Bo dùng để
đưa ra cảnh báo khi hệ thống nhiễm trojan backoffice.

• Module phát hiện: Đây là module quan trọng nhất của Snort. Nó chịu trách nhiệm phát
hiện các dấu hiệu xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước
để so sánh với dữ liệu thu thập được, từ đó xác định xem có xâm nhập xảy ra hay
khơng.
• Module log và cảnh báo: Tùy thuộc vào module phát hiện có nhận dạng được xâm nhập

hay khơng mà gói tin có thể bị ghi log hay đưa ra cảnh báo. Các file log là các file dữ
liệu có thể ghi dưới nhiều định dạng khác nhau như tcpdump


• Module kết xuất thông tin: Module này thực hiện các thao tác khác nhau tùy thuộc vào
việc cấu hình lưu kết quả xuất ra như thế nào.

2.2 Một số tính năng mới của snort3
• Hỗ trợ xử lý gói tin với nhiều luồng, cho đến nay Snort chỉ có thể phân tích lưu
lượng với một luồng. Điều này sẽ làm tăng hiệu suất theo cấp số nhân nhờ vào
thực tế là bộ vi xử lý ngày nay có 8 lõi và thậm chí nhiều hơn.
• Bảng thuộc tính và cấu hình được chia sẻ
• Lập trình quy tắc dễ dàng hơn nhiều so với trước đây
• Tự động phát hiện các dịch vụ mà không cần phải định cấu hình cụ thể các cổng
• Cho phép tự tạo tài liệu tham khảo
• Hỗ trợ đa nền tảng tốt hơn trên các hệ điều hành khác nhau.


CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM

3.1 Mơ hình thử nghiệm
- Môi trường giả lập: VMware Workstation Pro 16
- Thiết lập cấu hình:
Attacker: Kali Linux 2020.4 – Vmnet 11: 192.168.11.129
Snort IDS/IPS: CentOS 8 – Vmnet 11: 192.168.11.128/24
Vmnet 12: 192.168.10.129/24
WEB Server: CentOS 8 – Vmnet 12: 192.168.10.128

3.2Thử nghiệm phát hiện và ngăn chặn của snort
Ping Of Death attack prevent :

• Thêm rule phát hiện Ping Of Dead vào file: /etc/snort/rules/local.rules :
alert icmp any any -> $HOME_NET any (msg:"-->Phat hien Ping Of Dead !";
dsize:>10000; gid:1000001; sid:1000001;rev:1;)
 Phía Attacker sẽ gửi gói tin icmp có kích thước lớn hơn 50000 (Ping Of Dead
Attack Prevent):
# Ping 192.168.10.128 -s 50000
• Chạy snort IDS để kiểm tra Ping Of Dead Attack:
snort -c /etc/snort/snort.conf -i eth1:eth2 -A console



Chương trình đã bắt được gói tin từ attacker gửi vào web server.

• Thêm rule ngăn chặn tấn cơng Ping Of Dead:
drop icmp any any -> $HOME_NET any (msg:"-->Da chan Ping Of
Dead !"; dsize:>10000; gid:1000002; sid:1000002;rev:1;)
• Chạy snort IPS để kiểm tra chặn Ping Of Dead:
# snort -i ens37:ens33 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q
Chương trình đã chặn gói tin từ attacker gửi sang server.

Máy attacker hiển thị không thể ping được đến web server do đã bị chặn.



KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

Qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã biết được tình hình an ninh
mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an
tồn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và
thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các phương

pháp phát hiện và cách phòng chống tấn công một hệ thống.
Snort là một IDS/IPS thông minh vừa có khả năng phát hiện, vừa có khả năng ngăn
chặn xâm nhập đến hệ thống với bộ luật phong phú và đa dạng, dễ xây dựng và quản
lý, phù hợp với nhiều hệ thống trong các tổ chức, doanh nghiệp hiện nay.
Nhóm cũng có thể xác định được những khó khăn và hướng giải quyết khi triển
khai hệ thống phòng chống xâm nhập trên một hệ thống mạng thực tế.
Sau khi hoàn thành báo cáo, chúng em sẽ tiếp tục nghiên cứu chi tiết hơn về các
cách tấn cơng mạng một cách có hệ thống (hoặc một cách tồn diện hơn), để có thể tùy
chỉnh các chính sách riêng biệt cho từng hệ thống, cũng như các biện pháp bảo đảm an
ninh mạng có hiệu quả cao hơn. Chúng em hy vọng trong tương lai sẽ có đủ kiến thức
để có thể xây dựng, phát triển được một phần mềm IDS/IPS dựa trên mã nguồn mở
tương tự và tốt hơn Snort..


TÀI LIỆU THAM KHẢO

[1]. />[2]. />[3]. a/p/network-tim-hieu-co-che-cach-hoat-dong-cua-ids-phan-2pDljMbe5RVZn