HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Văn Phú
GIẢI PHÁP
PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH
LUẬN VĂN THẠC SĨ KỸ THUẬT
HÀ NỘI – 2013
1
LỜI MỞ ĐẦU
Không
phát n p trái phép nào
-
- nghiê
.
-
pháp.
-
-
-
2
-
Snort .
- L
3
CHƢƠNG 1: VẤN ĐỀ AN NINH, AN TOÀN HẾ THỐNG
THÔNG TIN
1.1 Hệ thống thông tin và nguy cơ truy cập bất hợp pháp
1.1.1 Hệ thống thông tin
-
-
1.1.2 Các nguy cơ mất an toàn
-
-
-
-
-
1.1.2.1
4
- - ng
Intentional Threat):
ng trái phép (Intentional
Unauthorized use of corporate network).
H
thông tin:
(
Lý do
n (
(
-
-
-
1.2 Các kỹ thuật tấn công mạng cơ bản
1.2.1 Các kỹ thuật bắt thông tin
Sniffers
5
:
- (
(
-
- u l
u l
Sniffing
Hình 1.1: Sniffing thụ động
:
sau:
(Frame).
6
Hình 1.2: Sniffing chủ động
1.2.2 Kỹ thuật tấn công từ chối dịch vụ DoS và DDoS
-
- Smurf.
- Buffer Overflow Attack
- Ping of Death
- Teardrop
- SYN Attack
quá
các ng
Hình 1.3: Tấn công DDoS
7
1.3 Kết luận
nghiên
qua
và phát tri
áp dCNTT còn
8
CHƢƠNG 2: PHƢƠNG PHÁP PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP
2.1 Hệ thống phát hiện và ngăn chặn xâm nhập
2.1.1 Giới thiệu về IDS
th
2.1.2 Chức năng của IDS
- Giám sát: Giám sát các lu l
-
-
9
Hình 2.1: Nơi đặt IDS
+) Network Based IDS (NIDS):
Fire
t
Th
nh
u l
Hình 2.2: Hệ thống phát hiện xâm nhập NIDS
+) Host Based IDS (HIDS):
Phát
10
tính,
Hình 2.3: Hệ thống phát hiện xâm nhập HIDS
2.3 Hệ thống IPS (so sánh IDS và IPS)
2.4 Các phƣơng pháp phát hiện và ngăn chặn xâm nhập
2.4.1 Phát hiện dựa trên dấu hiệu
2.4.1.1 Nguyên lý chung
(signature-based detection)
11
2.4.1.2
ung và
2.4.1.3
p thì xác
:
-
- :
.
2.4.2 Phát hiện sự bất thường
12
2.4.2.1 Nguyên lý chung
2.4.2.2
-
-
-
-
2.5 Phƣơng pháp phát hiện bất thƣờng dựa trên khai phá dữ liệu
13
Hình 2.4: Mô hình hệ thống phát hiện bất thƣờng sử dụng kỹ thuật KPDL
2.5.
2.5.2 Môđun trích xuất thông tin
address, Destination address, Protocol.
ce address, Destination address,
Header length, TOS, Packet size, IP Fragment ID, IP Flag & Pointer, TTL, Checksum.
length, Window size, Checksum.
2.5.3 Môđun phát hiện phân tử di biệt
- DoS (Denial of Service -of-death, teardrop, smurf,
- .
-
.
- -scan, ping-sweep, vv
2.5.4 Môđun phản ứng
14
kênh , drop attack dùng
Modify
firewall polices
Real-time Alerting
thông tin các gói tin trong các file log.
2.5.5 Môđun tổng hợp
2.6 Kết luận
g.
t
15
CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN
XÂM NHẬP MẠNG MÁY TÍNH THỬ NGHIỆM
3.1 Hệ thống phát hiện xâm nhập mạng dựa trên mã nguồn mở: snort
3.1.1 Giới thiệu về Snort
-
-Packet logger
-
- Inline (trong Linux)
3.1.2 Các thành phần cơ bản của Snort:
-weight
-
-
-
buffer overflow, CGI-
-
-
Hình 3.1: Mô hình các thành phần của Snort
ng IDS:
16
Hình 3.2: Cơ chế hoạt động của Snort
3.1.2.1 Packet Decoder:
3.1.2.2 Preprocessors:
-
detection engine.
Hình 3.3: Preprocessor
3.1.2.3 Detection Engine:
Detection Engine -
17
- S
-
-
-
-
-
Hình 3. 4 Detection engine
3.1.2.4 Logging và Alerting System:
-
-
-
Hình 3.5: Logging và Alerting System
3.1.2.5 Output Modules:
18
- Ghi vào file /log
-
-
- SQL hay Oracle.
-
-
-
3.1.3 File cấu hình
tên snort.conf. File này :
-
-
-
-
-
- C
3.1.3.1
HOME_NET
-
var HOME_NET 192.168.0.X
-
var HOME_NET [10.0.0.1,192.168.0.2,172.16.0.3]
- bnet mask:
var HOME_NET 192.168.0.0/24
3.1.3.2
19
hông
# config disable_decode_alerts
# config disable_tcpopt_experimental_alerts
# config disable_tcpopt_obsolete_alerts
# config disable_tcpopt_ttcp_alerts
# config disable_tcpopt_alerts
# config disable_ipopt_alerts
3.1.4 Tập luật (rulesets) trong Snort
pass
theo cú phá
\
snort.conf
nh
rules:
-
-
-
ule
header và rule options.
20
Hình 3.6: Cấu trúc Rule
header
3.2 Triển khai hệ thống ids bằng Snort
3.2.1. Những điều cần lưu ý:
NIDS
3.2.2. Cài đặt và cấu hình
7
Hình 3.8: Màn hình cài đặt Snort
Hình 3.7: Rule Header
21
cd c:\snort\bin
snort –W
Hình 3.9: Lệnh Snort -W xem thông số card mạng
snort –c c:\snort\etc\snort.conf –i4 (i4 cho
sniffer)
3.3 Mô hình triển khai
3.3.1 Mô hình bài toán 1: Sử dụng snort để phát hiện máy trạm tấn công vào máy
chủ
Hình 3.10: Mô hình bài toán
-
-
-
22
-
-
3.3.2. Mô hình bài toán 2: Xây dựng phần mềm quản lý các IP từ bên ngoài truy
cập vào hệ thống
Hình 3.11: Thuật toán
Hình 3.12: Sơ đồ giải thuật
-
2013_01_02_LOG.log.
23
Hình 3.13: Màn hình hiển thị các IP truy cập vào mạng
Giao din hin th các IP hin tp vào h thng.
Hình 3.14: File log đƣợc mở lại
3.4 Kết luận
3.
khai IDS,
.
24
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
.
h IDS.
!
[1]