Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
1
Các cơ chế hoạt động của Snort
Sniffer mode: snort bắt lấy các gói tin và
hiển thị nội dung của chúng.
Network Intrusion Detection System
mode: làm việc như là hệ thống NIDS
Inline mode: kết hợp với iptables
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
2
Các cơ chế hoạt động của Snort
Network Intrusion Detection System
mode:
Ở chế độ IDS, snort không ghi lại từng
gói tin bắt được như trong chế độ sniffer
mode. Thay vào đó, nó so sánh các rules
vào tất cả các gói tin bắt được. Nếu 1 gói
tin phù hợp với rules, thì nó sẽ được ghi lại
và một cảnh báo sẽ được phát ra.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
3
Thành phần của snort

4 thành phần chính:
Packet sniffer
Preprocessor
Detection engine
Thành phần Alerting/logging
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
4
Packet sniffer
Packet sniffer: thành phần dùng để lắng
nghe các gói tin trên mạng
Có thể sử dụng Packet sniffer để:
- Phân tích và sử lý sự cố mạng.
- Phân tích hiệu suất mạng.
- Lắng nghe dữ liệu trên mạng (password,
các dữ liệu nhạy cảm )
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
5
Packet sniffer (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
6
Bộ tiền xử lý (Preprocessor)

Preprocessor là những thành phần hay
những plug-in được sử dụng cùng với Snort để
xem xét, sắp xếp và thay đổi những gói dữ liệu
trước khi giao các gói này cho detection engine
Một vài preprocessor còn có thể thực hiện
tìm ra những dấu hiệu bất thường trong tiêu đề
gói và sinh ra cảnh báo.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
7
Bộ tiền xử lý (Preprocessor) (tt)
2 chức năng chính của Bộ tiền xử lý:
- Xem xét (kiểm tra) các gói tin đáng ngờ
- Chuẩn bị các gói tin để giao cho Detection
engine: các gói tin cụ thể và các thành phần của
gói tin được chuẩn hóa (nomalized) để cho
Detection engine có thể so sánh các dấu hiệu
tấn công một cách chính xác.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
8
Bộ tiền xử lý (Preprocessor) (tt)
Các preprocessor chính:
Frag2
 Stream4
 HTTP Inspect

 RPC_Decode
 Telnet_Decode
 ARPSpoof
 ASN1_Decode
 Flow
 SfPortscan
 Performance Monitor
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
9
Bộ tiền xử lý (Preprocessor) (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
10
Bộ máy phát hiện
(Detection Engines)
Detection engine là thành phần quan trọng
nhất trong snort. Nó chịu trách nhiệm phát
hiện các hành vi bất thường trong các gói
tin dựa trên các rule của snort.
Nếu gói tin nào khớp với rule, thì hành
động thích hợp sẽ được thực hiện.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

11
Bộ máy phát hiện
(Detection Engines) (tt)
Lưu ý: IDS/IPS có thể xem xét các gói tin
và áp dụng các rules vào các phần khác
nhau của gói tin. Các phần của gói tin:
- IP header.
- Header của lớp transport (TCP, UDP).
- Header của lớp application (DNS header,
FTP header, SNMP header ).
- Phần tải của gói tin (packet payload).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
12
Bộ máy phát hiện
(Detection Engines) (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
13
Các thành phần Alerting/Logging
Nếu dữ liệu phù hợp với 1 rule trong
detection engine, thì 1 cảnh báo sẽ được
phát sinh. Cảnh báo sẽ được gửi tới 1 tập tin
log thông qua kết nối mạng, UNIX socket
hay Window Popup hay SNMP traps.
Các cảnh báo có thể được lưu trong

CSDL SQL như là MySQL và Postgres
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
14
Các thành phần Alerting/Logging (tt)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
15
Kiến trúc Snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
16
Snort Rules
Snort rules hoạt động trên lớp mang
(network (IP)) và vận chuyển (transport
(TCP/UPD)). Tuy nhiên có các phương
pháp để phát hiện sự bất thường ở lớp liên
kết (data link) và các giao thức lớp ứng
dụng (application).
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
17

Snort Rules (tt)
Rule được chia làm 2 phần:
Rule Header
Rule Option
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
18
Các platform hỗ trợ:
Linux
OpenBSD
FreeBSD
NetBSD
Solaris (both Sparc and i386)
HP-UX
AIX
IRIX
MacOS
Windows
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
19
Snort Rules (tt)
Rule Header: chứa thông tin về hành động
được thực hiện (log hay alert), loại gói tin
(TCP, UDP, ICMP ), địa chỉ nguồn và đích
và cổng.

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
20
Snort Rules (tt)
Rule Option: hành động trong rule header
chỉ được thực hiện khi tất cả các tiêu chí
trong rule option là đúng.
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
21
Snort Rules (tt)
Cấu trúc Rule Option:
- Theo sau rule header.
- Nằm trong cặp dấu ().
- Nếu có nhiều option, thì các option sẽ kết
hợp với nhau theo thuật toán AND.
- Rule Option bao gồm 2 phần: từ khóa
(keyword) và tham số (argument)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
22
Rule đầu tiên
Ví dụ 1: tất cả gói IP bị phát hiện và phát cảnh
báo

alert icmp any any -> any any (msg: "ICMP
Packet found";)
Ví dụ 2: phát cảnh báo khi gặp gói ICMP
alert icmp any any -> 192.168.1.113/32 any \
(msg: "Ping with TTL=100"; ttl:100;)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
23
Một số từ khóa phổ biến
content
content-list
flags
logto
msg
priority
session
ttl

Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
24
Từ khóa: content
1 đặt tính quan trọng của snort là có khả năng tìm
ra dạng thức (pattern) dữ liệu bên trong 1 gói. Dạng
thức này có thể ở dạng ASCII hoặc binary.
Ví dụ:

alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \
(content: "GET"; msg: "GET matched";)
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any \
(content: "|47 45 54|"; msg: "GET matched";)
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
ThS. Hồ Hải
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
25
Từ khóa: content-list
Từ khóa content-list được sử dụng với 1 tên tập
tin làm tham số. Tập tin này sẽ chứa danh sách các
chuỗi được tìm bên trong gói dữ liệu. Mỗi chuỗi sẽ nằm
trên các dòng riêng biệt trong nội dung tập tin.
Ví dụ: tập tin có tên là porn với nội dung sau:
“porn”
“hardcore”
“under 18”
alert ip any any -> 192.168.1.0/24 any (content-list: \
"porn"; msg: "Porn word matched";)