Báo Cáo Đồ án Snort IDSIPS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.06 MB, 41 trang )
ĐẠI HỌC QUỐC GIA TP HCM
TRƯỜNG ĐH CÔNG NGHỆ THÔNG TIN
BÁO CÁO LAB 3
SNORT
Lớp NT302.F21
GVHD: Ths Nguyễn Duy
Snort
- Snort là NIDS.
- Phát triển bởi Martin Roesh.
- Mã nguồn mở.
- Được phát triển theo dạng Module. Người
dùng có thể tự tăng cường tính năng cho hệ
thống Snort bằng cách cài đặt hay viết thêm
mới các module.
- Cơ sở dữ liệu lớn và cập nhật thường xuyên
bởi cộng đồng người sữ dụng.
- Snort có thể chạy trên nhiều hệ điều hành
khác nhau : Windows , Linux, MacOS….
Sniffer mode: snort bắt lấy các gói tin và
hiển thị nội dung của chúng.
Network Intrusion Detection System
mode: Phát hiện các bất thường trong gói
tin và luồng dữ liệu
Inline mode: ngoài việc phát hiện con
ngăn chặn các gói tin và các luồng dữ liệu
bất thường.
Các cơ chế hoạt động của Snort
Các cơ chế hoạt động của Snort
Network Intrusion Detection System
mode:
Ở chế độ IDS, snort không ghi lại từng
gói tin bắt được như trong chế độ sniffer
mode. Thay vào đó, nó so sánh các rules
vào tất cả các gói tin bắt được. Nếu 1 gói
tin phù hợp với rules, thì nó sẽ được ghi
lại và một cảnh báo sẽ được phát ra.
Thành phần của SNORT
Gồm 4 thành phần chính:
Packet sniffer
Preprocessor
Detection engine
Thành phần Alerting/logging
Thành phần của SNORT
Packet Sniffer
Packet sniffer: thành phần dùng để lắng
nghe các gói tin trên mạng
Có thể sử dụng Packet sniffer để:
-
Phân tích và sử lý sự cố mạng.
-
Phân tích hiệu suất mạng.
-
Lắng nghe dữ liệu trên mạng
(password, các dữ liệu nhạy cảm )
Packet Sniffer
Bộ tiền xử lý (Preprocessor)
Preprocessor là những thành phần
hay những plug-in được sử dụng cùng
với Snort để xem xét, sắp xếp và thay
đổi những gói dữ liệu trước khi giao
các gói này cho detection engine. Một
vài preprocessor còn có thể thực hiện
tìm ra những dấu hiệu bất thường
trong tiêu đề gói và sinh ra cảnh báo.
Bộ tiền xử lý (Preprocessor)
2 chức năng chính của Bộ tiền xử lý:
-
Xem xét (kiểm tra) các gói tin đáng ngờ
-
Chuẩn bị các gói tin để giao cho Detection
engine: các gói tin cụ thể và các thành phần
của gói tin được chuẩn hóa (nomalized) để
cho Detection engine có thể so sánh các
dấu hiệu tấn công một cách chính xác.
Bộ tiền xử lý (Preprocessor)
Các preprocessor chính:
Frag2
Stream4
HTTP Inspect
RPC_Decode
Telnet_Decode
ARPSpoof, SfPortscan
Flow, Performance Monitor
Bộ tiền xử lý (Preprocessor)
Bộ máy phát hiện
(Detection Engines)
Detection engine là thành phần
quan trọng nhất trong snort. Nó chịu
trách nhiệm phát hiện các hành vi bất
thường trong các gói tin dựa trên các
rule của snort.
Nếu gói tin nào khớp với rule, thì
hành động thích hợp sẽ được thực
hiện.
IDS/IPS có thể xem xét các gói tin và áp
dụng các rules vào các phần khác nhau
của gói tin. Các phần của gói tin:
-
IP header.
-
Header của lớp transport (TCP, UDP).
-
Header của lớp application (DNS
header, FTP header, SNMP header ).
-
Phần tải của gói tin (packet payload).
Bộ máy phát hiện
(Detection Engines)
Bộ máy phát hiện
(Detection Engines)
Các thành phần Alerting/Logging
Nếu dữ liệu phù hợp với 1 rule trong
detection engine, thì 1 cảnh báo sẽ
được phát sinh. Cảnh báo sẽ được gửi
tới 1 tập tin log thông qua kết nối mạng,
UNIX socket hay Window Popup hay
SNMP traps.
Các cảnh báo có thể được lưu trong
CSDL SQL như là MySQL và Postgres
Các thành phần Alerting/Logging
Snort Rules
Snort rules hoạt động trên lớp
mang (network (IP)) và vận chuyển
(transport (TCP/UPD)). Tuy nhiên
có các phương pháp để phát hiện
sự bất thường ở lớp liên kết (data
link) và các giao thức lớp ứng dụng
(application).
Snort Rules
Rule được chia làm 2 phần:
Rule Header
Rule Option
Snort Rules
Rule Header: chứa thông tin về
hành động được thực hiện (log hay
alert), loại gói tin (TCP, UDP,
ICMP ), địa chỉ nguồn và đích và
cổng.
Rule Option: hành động trong rule
header chỉ được thực hiện khi tất cả
các tiêu chí trong rule option là
đúng.
Snort Rules
Cấu trúc Rule Option:
-
Theo sau rule header.
-
Nằm trong cặp dấu ().
-
Nếu có nhiều option, thì các option
sẽ kết hợp với nhau theo thuật toán
AND.
-
Rule Option bao gồm 2 phần: từ
khóa (keyword) và tham số
(argument)
Snort Rules
Ví dụ 1: tất cả gói IP bị phát hiện và
phát cảnh báo:
alert icmp any any -> any any (msg:
"ICMP Packet found";)
Ví dụ 2: phát cảnh báo khi gặp gói
ICMP:
Alert icmp any any ->
192.168.1.113/32 any \
(msg: "Ping with TTL=100"; ttl:100;)
Snor t Rules
DEMO
Mô Hình Triển Khai - IDS
