AN NINH MẠNG
ĐỀ TÀI :CÔNG
CỤ SNORT – MODULE
SCAN PORT
NỘI DUNG TRÌNH BÀY
PHẦN 1: Công cụ Snort – Tìm hiểu , Cài đặt
1.1 : Giới thiệu chung về Snort
1.2 : Triển khai hệ thống
PHẦN 2: Cơ sở lý thuyết Scan port
2.1 : Nguyên tắc và phương thức Scan Port
2.2 : Công cụ Nmap
PHẦN 3 : xây dựng kịch bản – triển khai thử nghiệm
Kịch bản 1
Kịch bản 2
Kịch bản 3
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Snort được phát triển năm 1998 bởi Sourcefire và CTO
Martin Roesch
Phần mềm miễn phí mã nguồn mở
Khả năng phát hiện và phòng chống xâm nhập trái phép,
phân tích thời gian thực lưu lượng mạng, và ghi log gói
tin trên nền mạng IP.
Công nghệ phát hiện và phòng chống xâm nhập được sử
dụng rộng rãi nhất hiện nay
Snort có thể thực hiện phân tích giao thức và tìm kiếm nội
dung, từ đó phát hiện nhiều kiểu thăm dò và tấn công
PHẦN 1: CÔNG CỤ SNORT
Snort có thể sử dụng với 4 kiểu chính :
-Packet sniffer
-Packet logger
-Hệ thống phát hiện và phòng chống xâm nhập hoàn
chỉnh.
- Inline (trong Linux)
PHẦN 1: CÔNG CỤ SNORT
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 1: Packet Decoder
Packet Decoder là một thiết bị được gắn vào trong hệ
thống mạng
Chức năng lắng nghe tất cả các dữ liệu được trao đổi
trên hệ thống mạng, phân tích gói dữ liệu thô bắt
được trên mạng và phục hồi thành gói dữ liệu hoàn
chỉnh
Dữ liệu sau khi xử lý sẽ là input cho hệ thống
dectection engine
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 2: Preprocessors
chuẩn bị những gói dữ liệu để phân tích cho việc thiết
lập rule trong detection engine.
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 3: Detection Engine:
Là thành phần quan trọng nhất trong hệ thống IDS
Chịu trách nhiệm phát hiện nếu có hành vi xâm nhập
trong một gói.
Áp dụng các rules cho gói tin
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 4. Logging và Alerting System:
Thông báo cho quản trị mạng và ghi nhận lại các
hành động xâm nhập hệ thống
Hiện tại có 3 dạng logging và 5 kiểu alerting.
PHẦN 1: CÔNG CỤ SNORT
GiỚI THIỆU CHUNG VỀ SNORT
Thành phần 5. Output Modules:
modules này điều khiển loại kết quả sinh ra bởi hệ thống
logging và cảnh báo
Output modules có thể làm những việc sau:
• Ghi vào file /log hay những file khác
• Gửi thông điệp đến syslog
• Ghi vào cơ sở dữ liệu như MySQL hay Oracle
• Sinh ra dẫn xuất eXtensible Markup Language (XML)
• Bổ sung cấu hình trên router và firewall.
PHẦN 1 : GiỚI THIỆU SNORT
TRIỂN KHAI HỆ THỐNG SNORT
Môi trường : Linux – Centos
Các bước cài đặt:
• Cài đặt Mysql
• Cài đặt thư viện libpcap
• Cài đặt pcre
• Cài đặt và cấu hình gói Snort
• Cài đặt gói Snort rules
• Cài đặt các gói đồ họa.
• Cài đặt và cấu hình Base
• Viết tập lệnh cho snort
CHƯƠNG 2: SCAN PORT
CÁC NGUYÊN TẮC VÀ PHƯƠNG THỨC SCAN PORT
Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có
nghĩa nó sẽ có từ 1 – 65535 cổng. Các cổng cổng thường chia
thành 3 phạm Vi
Well Known Ports (0 – 1023): các cổng phổ biến, đã biết, nó
thường đi kèm với các chuẩn dịch vụ trên hệ thống. Ví dụ:
telnet (23/tcp), www-http (80/tcp), ftp (21), ssh (22/tcp)…
Registered Ports (1024 – 49151): Các cổng được sử dụng
riêng cho từng chương trình, dịch vụ cụ thể. Radius - RADIUS
Authentication Protocol (1812), Microsoft Internet Name Server
Dynamic and/or Private Ports (49152 – 65535): Các cổng
động hoặc không công khai.
CHƯƠNG 2: SCAN PORT
Dựa vào các nguyên tắc truyền thông tin của TCP
SYN Scan
FIN Scan
NULL Scan Sure
XMAS Scan Sorry
TCP Connect
ACK Scan
CHƯƠNG 2: SCAN PORT
UDP Scan
Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn
vẹn của gói tin sẽ luôn được truyền tới đích. Gói tin
truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữ
liệu nhanh với các gói tin nhỏ
UDP không chứa các thông số Flag, cho nên không
thể sử dụng các phương thức Scan port của TCP sử
dụng cho UDP được
CHƯƠNG 2: SCAN PORT
2.2 CÔNG CỤ NMAP
Nmap là một tool scan port rất mạnh và đã nổi danh
từ lâu được giới hacker tin dùng
hỗ trợ toàn bộ các phương thức scan port, ngoài ra
nó còn hỗ trợ các phương thức scan hostname,
service chạy trên hệ thống đó….
CHƯƠNG 2: SCAN PORT
Các dạng Scan nmap hỗ trợ.
Nmap –sT: trong đó chữ s – là Scan, còn chữ T là dạng TCP
scan
Nmap –sU: đó là sử dụng UDP Scan
Nmap –sP: sử dụng Ping để scan
Nmap –sF: sử dụng FIN Scan
Nmap –sX: sử dụng phương thức XMAS Scan
Nmap –sN: sử dụng phương thức NULL Scan
Nmap –sV: sử dụng để Scan tên các ứng dụng và version của
nó
Nmap –SR /I RPC sử dụng để scan RPC
CHƯƠNG 2: SCAN PORT
Các option cao cấp kết hợp với các dạng Scan trong
Nmap
O: sử dụng để biết hệ điều hành chạy trên máy chủ ví
như ta dùng Nmap sử dụng phương thức scan là
XMAS Scan và đoán biết hệ điều hành
P: giải port sử dụng để scan
F: Chỉ những port trong danh sách scan của Nmap
V: Sử dụng Scan hai lần nhằm tăng độ tin cậy và hiệu
quả của phương thức scan nào ta sử dụng.
6: Scan IPv6
CHƯƠNG 2: SCAN PORT
Scan port là một trong những bước đầu tiên để tấn công
vào một hệ thống, để hiểu được các phương thức scan
chúng ta có thể dùng nmap để thực hiện. Sau đó cách
chúng ta cấm Scan đó là sử dụng các thiết bị chuyên
dụng như IPS, IDS để detect và ngăn chặn tấn công
Ngoài ra nmap còn cho chúng ta những options để
output kết quả ra nhiều định dạng file khác nhau.
CHƯƠNG 3: THỬ NGHIỆM
3.1 XÂY DỰNG KỊCH BẢN
Kịch bản 1 : Sử dụng ping các gói tin
Ping từ một máy trong mạng Lan đến máy cài snort
Từ máy 192.168.192.1: ping 192.168.192.128
Từ máy 192.168.192.1 ping các gói tin có kích thước lớn
hơn 50byte
CHƯƠNG 3: THỬ NGHIỆM
CHƯƠNG 3: THỬ NGHIỆM
Kết quả Snort bắt được các gói tin, sau khi áp dụng các
rules vào gói tin thì đưa kết quả ra base
CHƯƠNG 3: THỬ NGHIỆM
Kịch bản 2 : Sử dụng tool Dos tấn công vào hệ thống
Snort để kiểm tra
Tool sử dụng: LOIC
CHƯƠNG 3: THỬ NGHIỆM
Kết quả Snort bắt được gói tin và đưa ra phản hồi
CHƯƠNG 3: THỬ NGHIỆM
Kịch bản 3: Sử dụng Nmap để quét cổng