BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC ĐÀ NẴNG

TRẦN HỮU PHỤNG

XÂY DỰNG HỆ THỐNG CẢNH BÁO CHỐNG
XÂM NHẬP IDS SNORT BẢO VỆ WEB SERVER
TRƯỜNG ĐẠI HỌC KINH TẾ

Chuyên ngành: HỆ THỐNG THÔNG TIN
Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Đà Nẵng – Năm 2016


Công trình được hoàn thành tại
ĐẠI HỌC ĐÀ NẴNG

Người hướng dẫn khoa học: PTS. Võ Trung Hùng

Phản biện 1: TS. Huỳnh Hữu Hưng
Phản biện 2: TS. Nguyễn Quang Thanh

Luận văn đã được bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp
thạc sĩ Kỹ thuật họp tại Đại học Đà Nẵng vào ngày 31 tháng 8 năm
2016.

* Có thể tìm hiểu luận văn tại:
Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng

Thư viện trường Đại học Sư phạm Đà Nẵng


1
MỞ ĐẦU
1. Tính cấp thiết của đề tài
- Sự phát triển và bùng nổ thông tin trên toàn cầu dựa vào
Internet đã kết nối các cơ quan chính phủ, tập đoàn, doanh nghiệp,
bệnh viện, trường học,… Một cơ quan, tổ chức, cá nhân,... phát triển
thông tin và kết nối để cùng chia sẻ công việc thì nhu cầu kết nối
Internet rất cần thiết trong giai đoạn hiện nay. Do đó, việc đảm bảo
an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao
giờ hết. Ngày nay, có nhiều biện pháp an toàn thông tin cho các hệ
thống mạng, đặc biệt là Internet được nghiên cứu và triển khai. Tuy
nhiên, hệ thống này vẫn bị tấn công, đánh cắp thông tin hoặc bị phá
hoại gây nên những hậu quả nghiêm trọng.
- Các vụ tấn công này nhằm vào tất cả các máy tính có mặt
trên Internet, các máy tính của các công ty lớn, các trường đại học,
các cơ quan nhà nước, các tổ chức quân sự, ngân hàng với quy mô
lớn và ngày càng tinh vi hơn [12]. Hơn nữa những con số thống kê
và các vụ tấn công chỉ là phần nổi của tảng băng. Phần lớn các vụ
tấn công không được thông báo vì nhiều lý do, trong đó có thể kể
đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị mạng
không hề hay biết những vụ tấn công nhằm vào hệ thống của họ.
- Không chỉ các vụ tấn công tăng lên nhanh chóng mà các
phương pháp tấn công cũng liên tục được hoàn thiện và khó phát
hiện. Điều đó một phần do các nhân viên quản trị hệ thống ngày
càng đề cao cảnh giác, các hệ thống tường lửa được phát triển dựa
vào nhu cầu sử dụng. Vì vậy, việc kết nối vào mạng Internet mà
không có các biện pháp đảm bảo an ninh thì hệ thống dễ dàng trở

thành đối tượng tấn công của các hacker.


2
- Các cơ quan, tổ chức, cá nhân phải kết nối mạng Internet vì
nhu cầu trao đổi thông tin và đồng thời phải đảm bảo an toàn thông
tin trong quá trình tham gia vào hệ thống. Hệ thống Web Service
trường Đại học Kinh tế có đến hàng nghìn lượt truy cập mỗi ngày;
chưa kể những thời điểm đăng ký tín chỉ, hệ thống tiếp nhận hàng
chục nghìn lượt. Vì vậy, đây là địa chỉ dễ lọt vào tầm ngắm của
những hacker. Vì vậy, việc chọn đề tài “Xây dựng hệ thống cảnh báo
chống xâm nhập IDS Snort trên Web Server tại trường Đại học Kinh
tế - ĐHĐN” là hướng nghiên cứu hợp lý đối với hệ thống Web
Service tại trường Đại học Kinh tế - ĐHĐN trong giai đoạn hiện nay.
Mục đích của đề tài là nghiên cứu giám sát luồng thông tin vào/ra và
bảo vệ các hệ thống mạng khỏi sự tấn công từ Internet. Thông qua đề
tài nghiên cứu, hệ thống tập trung giải pháp phát hiện xâm nhập IDS
thông qua công cụ Snort, cách phòng chống qua công cụ tường lửa..
2. Mục tiêu nghiên cứu
Mục tiêu của đề tài là nghiên cứu hệ thống cảnh báo xâm nhập
IDS SNORT trên Web Server, từ đó nghiên cứu giải pháp phòng,
chống nhằm đảm bảo an toàn cho hệ thống thông tin của trường Đại
học Kinh tế - ĐHĐN.
3. Đối tượng và phạm vi nghiên cứu
3.1. Đối tượng nghiên cứu
- Các cơ chế an toàn thông tin mạng.
- Các bộ luật Snort.
- Các cơ chế hoạt động của Snort và giải pháp phòng, chống
cho hệ thống Server của trường đại học Kinh tế - ĐHĐN.



3
3.2. Phạm vi nghiên cứu
Đề tài tập trung nghiên cứu khả năng phát hiện cảnh báo xâm
nhập của hệ thống, xây dựng hệ thống cảnh báo xâm nhập IDS
SNORT, giải pháp tường lửa bằng phần mềm được thử nghiệm trên
hệ thống mạng trường Đại học Kinh tế - ĐHĐN.
4. Phương pháp nghiên cứu
Chúng tôi sử dụng hai phương pháp chính là phương pháp
nghiên cứu lý thuyết và phương pháp thực nghiệm.
- Phương pháp nghiên cứu lý thuyết: Với phương pháp này,
chúng tôi nghiên cứu các tài liệu về cơ sở lý thuyết: cơ chế an toàn
và bảo mật thông tin mạng, cơ chế cảnh báo xâm nhập, các bộ luật
và các tài liệu liên quan đến giải pháp phòng, chống.
- Phương pháp thực nghiệm: Với phương pháp này, chúng tôi
cài đặt và cấu hình hệ thống cảnh báo xâm nhập, phân tích và thiết
kế các chức năng của IDS SNORT, xây dựng các mô đun xử lý, phát
hiện và cảnh báo IDS SNORT, xây dựng hệ thống tường lửa phòng,
chống bằng phần mềm và đánh giá kết quả hệ thống.
5. Ý nghĩa khoa học và thực tiễn đề tài
Về khoa học.
Về thực tiễn.
6. Bố cục đề tài
Báo cáo của luận văn dự kiến tổ chức thành 3 chương chính
như sau:
Chương 1. Tổng quan về an ninh mạng
Trong chương này, chúng tôi trình bày tổng quan về bảo mật
thông tin, những nguy cơ đe dọa đối với bảo mật, các phương pháp



4
xâm nhập – biện pháp phát hiện và ngăn ngừa, các giải pháp bảo mật
an toàn cho hệ thống.
Chương 2. Hệ thống cảnh báo chống xâm nhập IDS - SNORT
Chương này giới thiệu về kiến trúc và nguyên lý hoạt động
của IDS. Phân loại, phương thức phát hiện và cơ chế hoạt động IDS.
Cách phát hiện các kiểu tấn công thông dụng của IDS.
Chương 3. Triển khai ứng dụng
Chương này trình bày về kiến trúc và bộ luật của SNORT và
giải pháp phòng, chống ứng dụng thực tế tại trường Đại học Kinh tế
- ĐHĐN.


5
CHƯƠNG 1
TỔNG QUAN VỀ AN NINH MẠNG
1.1. TẦM QUAN TRỌNG CỦA AN NINH MẠNG
1.1.1. Một số thông tin về bảo mật
Một số chuyên gia bảo mật của Mỹ đã tiết lộ một số chi tiết về
một nhóm hacker Trung Quốc đã tiến hành nhiều cuộc tấn công vào
các cơ quan chính phủ Mỹ nhằm thu nhập thông tin tình báo.
Trước “Hồ sơ Panama”, thế giới từng rúng động trước những
thông tin của “người lộ mật” Edward Snowden hay các tài liệu về
chính phủ do WikiLeaks tung ra. Hàng loạt vụ rò rỉ thông tin diễn ra
thời gian cho thấy những khối lượng dữ liệu khổng lồ có thể bị can
thiệp, đánh cắp như thế nào nhờ công nghệ hiện đại.
Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh
chóng, hai công ty, McDonal Corp và Walgreen Co cho biết họ đã bị
tấn công. Sau báo cáo MasterCard và Visa, hệ thống bị tấn công bởi
một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô

danh”, McDonal cho biết hệ thống của mình đã bị tấn công và các
thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh và
thông tin chi tiết khác đã bị đánh cắp.
Google trở thành đối tượng của chiến dịch lừa đảo khởi nguồn
từ Trung Quốc, và nhắm tới các tài khoản cấp cao của cơ quan tại
Mỹ, Nhật và chính phủ các nước khác cũng như của Trung Quốc
[16]. Hacker tấn công bằng cách gửi đến nạn nhân những thư điện tử


6
lừa đảo, thường từ những tài khoản trông giống với đối tác làm việc,
gia đình, bạn bè. Những thư điện tử này chứa những đường dẫn đến
trang Gmail giả mạo và chiếm lấy tên tài khoản và mật khẩu bất cứ
ai bị dính bẫy.
Tin tặc đã đột nhập vào trang Web của NewYork Tour
Company và khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã
phá vỡ bằng cách sử dụng một cuộc tấn công SQL Injection trên
trang này. Trong cuộc tấn công SQL Injection, tin tặc tìm cách để
chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng
Web, họ làm điều này bằng cách thêm vào văn bản thiết kế đặc biệt
vào các hình thức Webbase hoặc các hộp tìm kiếm được sử dụng để
truy vấn cơ sở dữ liệu.
1.1.2. Các Website và hệ thống Server liên tục bị tấn công
1.1.3. Tình hình về an ninh mạng
1.2. GIỚI THIỆU VỀ AN NINH MẠNG
1.2.1. Các khái niệm về an ninh mạng
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý,
đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp
được nối mạng Lan và Internet. Các hacker có thể tấn công vào máy
tính hoặc cả hệ thống của chúng ta bất cứ lúc nào.

Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng máy tính
khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà
không được sự cho phép từ những người cố ý hay vô tình. An toàn
mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống
mạng để làm cho những người dùng trái phép, cũng như các phần


7
mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống
mạng của chúng ta.
1.2.2. Các thành phần cần được bảo vệ trong hệ thống
mạng
- Dữ liệu
- Tài nguyên hệ thống
- Danh tiếng
1.2.3. Các thành phần đảm bảo an toàn thông tin
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe
dọa tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo
nhiều cách khác nhau, vì vậy các thành phần cần để đảm bảo an toàn
thông tin như sau:
- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử
dụng đúng đối tượng.
- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn
về cấu trúc, không mâu thuẫn.
- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để
phục vụ theo đúng mục đích và đúng cách.
- Tính chính xác: Thông tin phải chính xác, tin cậy.
- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm
chứng được nguồn gốc hoặc người đưa tin.
Quá trình đánh giá nguy cơ của hệ thống:

- Xác định các lỗ hổng
- Xác định các mối đe dọa
- Các biện pháp an toàn hệ thống


8
1.3. CÁC LỖ HỔNG BẢO MẬT
1.3.1. Lỗ hổng C
1.3.2. Lỗ hổng B
1.3.3. Lỗ hổng C
1.4. CÁC KIỂU TẤN CÔNG CỦA HACKER
1.4.1. Tấn công trực tiếp
1.4.2. Kỹ thuật đánh lừa Social Engineering
1.4.3. Kỹ thuật tấn công vào vùng ẩn
1.4.4. Tấn công vào các lỗ hổng bảo mật
1.4.5. Khai thác tình trạng tràn bộ đệm
1.4.6. Nghe trộm
1.4.7. Kỹ thuật giả mạo địa chỉ
1.4.8. Kỹ thuật chèn mã lệnh
1.4.9. Tấn công vào hệ thống có cấu hình không an toàn
1.4.10. Tấn công dùng cookies
1.4.11. Can thiệp vào tham số URL
1.4.12. Vô hiệu hóa dịch vụ
1.4.13. Một số tấn công khác
1.5. CÁC BIỆN PHÁP BẢO MẬT
1.5.1. Mã hóa
1.5.2. Bảo mật máy trạm
1.5.3. Bảo mật truyền thông
1.5.4. Các công nghệ và kỹ thuật bảo mật



9
CHƯƠNG 2
HỆ THỐNG CẢNH BÁO XÂM NHẬP IDS - SNORT
2.1. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
IDS
2.1.1. Tổng quan
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của
James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và
nghiên cứu các hành vi bất thường và thái độ của người sử dụng
trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài
sản hệ thống mạng.
2.1.2. Định nghĩa IDS
Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc
phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám
sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà
quản trị.
2.1.3. Lợi ích của IDS
Lợi thế của hệ thống này là có thể phát hiện được những kiểu
tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều
cảnh bảo sai do định nghĩa quá chung về cuộc tấn công.
2.1.4. Thành phần và nguyên lý hoạt động của IDS
a. Thành phần IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
thành phần thu thập gói tin (information collection), thành phần
phân tích gói tin (dectection), thành phần phản hồi (respontion) nếu
gói tin đó được phát hiện là một tấn công của tin tặc.


10

b. Nguyên lý hoạt động
- Thu thập thông tin (information source): Kiểm tra tất cả các
gói tin trên mạng (Intrustion Monitorring).
- Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu
thập để cho biết hành động nào là tấn công(Intruction detection).
- Xuất thông tin cảnh báo (response): hành động cảnh báo cho
sự tấn công được phân tích ở trên nhờ bộ phận thông
báo(Notification).
2.1.5. Chức năng của IDS
- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ.
- Chức năng mở rộng: phân biệt – phát hiện
2.2. PHÂN LOẠI IDS
2.2.1. Network-base IDS – NIDS

Hình 2.4. Mô hình Network based IDS – NIDS


11
2.2.2. Host-based IDS – HIDS

Hình 2.5. Mô hình hoạt động Host based IDS - HIDS
2.2.3. Cơ chế hoạt động của IDS
a. Mô hình phát triển lạm dụng
b. Mô hình phát triển sự bất thường
2.2.4. Cách phát hiện tấn công thông dụng IDS
a. Tấn công từ chối dịch vụ DDoS (Denial of Service
Attacks)
b. Quét và thăm dò (Scanning and Probe)
c. Chiếm đặc quyền (Privilege grabbing)
d. Cài đặt mã nguy hiểm (Hostile code insertion)

e. Tấn công hạ tầng bảo mật


12
2.3. HỆ THỐNG IDS SNORT
2.3.1. Giới thiệu về IDS Snort
Snort là một kiểu IDS, nếu một cuộc tấn công được phát hiện
bởi snort
Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input
plug-in cũng tồn tại để phát hiện sự bất thường trong các header của
giao thức.
2.3.2. Kiến trúc IDS Snort
Snort bao gồm nhiều thành phần, với mỗi phần có một chức
năng riêng. Các phần chính đó là:
- Module giải mã gói tin (Packet Decoder)
- Module tiền xử lý (Preprocessors)
- Module phát hiện (Detection Engine)
- Module log và cảnh báo (Logging and Alerting System)
- Module kết xuất thông tin (Output Module)
a. Module giải mã gói tin (Packet decoder)
b. Module tiền xử lý (Preprocessor)
c. Module phát hiện (Detecion Engine)
2.3.3. Module log và cảnh báo (Logging and Alerting
System)
2.3.4. Bộ luật của Snort
a. Cấu trúc luật Snort

Hình 2.12.Cấu trúc luật Snort



13
- Phần Header: chứa thông tin về hành động mà luật đó sẽ
thực hiện khi phát hiện ra có sự xâm nhập nằm trong gói tin và nó
cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó.
- Phần Option: chứa một thông điệp cảnh báo và các thông tin
về các phần của gói tin dùng để tạo nên cảnh báo. Phần Option chứa
các tiêu chuẩn phụ thêm để đối sánh luật với gói tin.
b. Các cơ chế hoạt động của Snort
- iffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói
tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị.
- Packet Logger mode: lưu trữ các gói tin trong các tập tin
log.
- Network instruction detect system(NIDS) : đây là chế dộ
họat động mạnh mẽ và được áp dụng nhiều nhất, khi họat động ở
NIDS mode Snort sẽ phân tích các gói tin luân chuyển trên mạng và
so sánh với các thông tin được định nghĩa của người dùng để từ đó
có những hành động tương ứng như thông báo cho quản trị mạng khi
xảy ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh
báo virus..
- Inline mode: khi triển khai snort trên linux thì chúng ta có
thể cấu hình snort để phân tích các gói tin từ iptables thay vì libpcap
do đó iptable có thể drop hoặc pass các gói tin theo snort rule.


14
2.4. THIẾT KẾ HỆ THỐNG THÔNG TIN
2.4.1. Khảo sát và đặt tả yêu cầu
a. Hiện trạng hệ thống mạng trường Đại học Kinh tế ĐHĐN

Hình 2.14. Sơ đồ mạng Trường Đại học Kinh tế

2.4.2. Các phương thức có thể tấn công hệ thống mạng
hiện tại trường Đại học Kinh tế


15
CHƯƠNG 3
XÂY DỰNG HỆ THỐNG
3.1. XÂY DỰNG HỆ THỐNG
3.1.1. Mô tả kịch bản
- Hiện nay trường có hơn 20 thiết bị Access Point đặt tại các
khu giảng đường và khu làm việc. Một phòng máy chủ đặt tại tầng 3
tòa nhà A bao gồm: 1 thiết bị Router (Board 1100), 5 thiết bị Switch
Linksys (48 cổng), 10 máy chủ. Đường truyền Internet cung cấp dịch
vụ cho máy chủ và hệ thống mạng nội bộ sử dụng kết nối Leadline
với các nhà cung cấp: Viettel, Vnpt Vinaphone, CMC. Thống kê lưu
lượng sử dụng mạng nội bộ mỗi ngày là 40GB.
- Hiện tại máy chủ được trang bị qua nhiều năm khác nhau
nên cấu hình và chủng loại cũng khác nhau. Số lượng máy chủ trên
cung cấp các dịch vụ: Web Service, Mail Service, File Service, Print
Service, AD. Phần lớn máy chủ phục vụ Web Service bao gồm trang
thông tin của trường, hệ thống quản lý đào tạo, quản lý cán bộ, quản
lý thư viện điện tử và quản lý ký túc xá. Ngoài ra một số máy chủ sử
dụng các dịch vụ cho quản lý công tác tài chính, quản lý điểm đào
tạo và quản lý đăng ký tín chỉ sinh viên.
- Để mô phỏng theo mô hình thực nghiệm yêu cầu về phần
mềm phải có đủ các phần mềm để xây dựng lên hệ thống như:
Firewall, máy tính ảo, IDS, máy ảo Vmware. Chúng ta cài máy ảo
Vmware trên máy thật Windows 7 và từ máy ảo Vmware chúng ta
xây dựng một máy ảo Windows Server xây dựng Web Server và hệ
thống IDS ngay trên máy ảo,… yêu cầu cấu hình máy tính làm mô

phỏng là RAM tối thiểu 2GB.


16

Hình 3.1. Mô hình tổng quan
3.1.2. Hạ tầng mạng kịch bản

Hình 3.2. Mô hình cài đặt hệ thống


17
3.1.3. Các bước cài đặt
- Bước 1: chuẩn bị đối với hệ điều hành
- Bước 2: Cấu hình Snort
- Bước 3: Cài đặt Barayard2
- Bước 4: Cài đặt BASE
3.2. DEMO HỆ THỐNG IDS
Sử dụng phương thức tấn công bằng chế độ Tcp flooding
qua công cụ tấn công LOIC 1.0.8 DDOS Attacks theo Hình 3.16.

Hình 3.15.Phần mềm LOIC

Hình 3.16.Kết quả snort bắt gói tin tấn công


18
3.3. GIẢI PHÁP PHÒNG CHỐNG
3.3.1. Giải pháp phòng chống tự động
Giải pháp được xây dựng trên công cụ Kerio Control 7.1.2 theo Hình

3.17.

Hình 3.17. Giao diện quản lý, giám sát mạng Kerio Control

Hình 3.18. Giám sát truy cập địa chỉ các trang Web


19

Hình 3.19. Kerio Control kết hợp với các phần mềm Antivirus
3.3.2. Giải pháp phòng chống thủ công
- Luật ngăn chặn địa chỉ IP truy cập: Luật này cho phép hoặc
chặn địa chỉ, dãy địa chỉ truy cập vào máy chủ (Hình 3.20.a).

(a)


20

(b)
Hình 1.1. Chặn địa chỉ, dãy địa chỉ truy cập vào máy chủ
- Luật ngăn chặn tên miền truy cập: Cho phép hoặc ngăn chặn
tên miền truy cập vào bên trong hệ thống hay các máy tính từ trong
hệ thống truy cập ra bên ngoài.

Hình 3.21. Ngăn chặn tên miền truy cập
- Luật ngăn chặn dịch vụ và cổng: Luật này cho phép hoặc
ngăn chặn các dịch vụ truy cập từ ngoài vào hay từ các máy tính bên
trong truy cập ra ngoài theo Hình 3.22.



21

Hình 3.22. Chặn các dịch vụ và cổng


22
KẾT LUẬN
1. Kết quả đạt được
Đề tài cho ta thấy rõ được sự cần thiết của bảo mật, những hạn
chế của phương pháp bảo mật hiện tại, đồng thời nói lên sự quan
trọng của hệ thống phát hiện chống xâm nhập trái phép đối với công
nghệ thông tin đang phát triển hiện nay.
Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất
hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng.
IDS giúp chúng ta khám phá, phân tích những nguy cơ tấn công mới.
Từ đó vạch ra những phương án phòng chống. ở góc độ nào đó có
thể tìm được thủ phạm gây ra cuộc tấn công
Trong thời gian học tập và nghiên cứu làm luận văn, tôi đã
nhận được nhiều sự giúp đỡ nhiệt tình của thầy cô để hoàn thành đề
tài, qua quá trình làm luận văn xây dựng hệ thống IDS Snort bảo vệ
Web Server khỏi tấn công DDOS đã thu được các kết quả sau:
- Nắm bắt được những khái niệm cơ bản nhất về một hệ thống
phát hiện xâm nhập.
- Triển khai được một hệ thống phát hiện xâm nhập phỗ biến
là Snort
- Hệ thống Server
+ Thiết kế cơ sở dữ liệu.
+ Xây dựng thành công hệ thống IDS Snort phát hiện xâm
nhập.

+ Xây dựng Kerio firewall thành công cho Server và Web
Server
- Xây dựng Web Server cơ bản


23
- Hệ thống IDS Snort đã làm các phân tin gói tin trên mạng
và hệ thống để phát hiện ra các cuộc tấn công nhằm vào hệ thống và
Web Server. Đưa ra những cảnh báo kịp thời tới người dùng và
người quản trị hệ thống để ngăn chặn kịp thời các cuộc tấn công
DDOS của attacker.
2. Hạn chế
Tuy đã đạt được những kết quả nhất định, nhưng hệ thống vẫn
có những hạn chế.
- Đề tài còn một số thiếu sót. Phần lý thuyết chỉ tổng quát sơ
lược tóm tắt chứ chưa đi sâu nghiên cứu vấn đề.
- IDS thường xuyên đưa ra nhiều báo động giả, là gánh nặng
cho quản trị hệ thống bởi nó cần được theo dõi liên tục.
- Hệ thống Server đang trong quá trình xây dựng.
- Phần thử nghiệm chỉ tìm hiểu ở mức độ đơn giản
3. Hướng phát triển:
IDS được ví như một chiếc chuông cảnh báo trộm để cảnh báo
chủ nhà về những tấn công khả nghi. Vì là một giám sát thụ động nó
không thể ngăn chặn tấn công để ngăn ngừa tổn hại hệ thống do
người tấn công gây ra. Nhà quản trị mạng không chỉ đơn thuần muốn
có thông tin về những tấn công trên mạng của họ mà còn muốn có
khả năng ngăn chặn được những tấn công ấy. Cách duy nhất có thể
bảo đảm an ninh cho một mạng là ngăn chặn được những cuộc tấn
công, không cho chúng phá hoại những đích tấn công bằng cách loại
bỏ tất cả lưu lượng khả nghi ngay khi chúng bị phát hiện và trước

khi chúng ảnh hưởng đến đích.