..

ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA

NGUYỄN VĨNH HUẾ

XÂY DỰNG HỆ THỐNG GIÁM SÁT
VÀ CẢNH BÁO NGUY CƠ XÂM NHẬP MẠNG TẠI
TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH

Chun ngành: Khoa học máy tính
Mã số: 8480101

LUẬN VĂN THẠC SĨ KỸ THUẬT

Người hướng dẫn khoa học: PGS.TS. NGUYỄN TẤN KHÔI

Đà Nẵng - Năm 2018


LỜI CAM ĐOAN

Tơi cam đoan đây là cơng trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai cơng bố
trong bất kỳ cơng trình nào khác.

Tác giả luận văn

NGUYỄN VĨNH HUẾ

TRANG TÓM TẮT LUẬN VĂN
Tên đề tài: XÂY DỰNG HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO NGUY CƠ XÂM
NHẬP MẠNG TẠI TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH
Học viên: Nguyễn Vĩnh Huế
Mã số: 8480101 - Khóa: 34

Chuyên ngành: Khoa học máy tính
Trường Đại học Bách khoa - ĐHĐN

Tóm tắt – Chúng ta đang sống trong thời đại của cuộc cách mạng Internet kết nối toàn cầu. Mạng
Internet đã mở ra những cơ hội vô cùng to lớn cho con người trong cơng cuộc tìm kiếm tri thức, nhưng
đồng thời cũng phát sinh một vấn đề quan trọng đó là đảm bảo sự an toàn của người sử dụng trên khơng
gian mạng cơng khai đó. Mọi tài ngun của các tổ chức, cá nhân khi tham gia vào Internet đều có nhiều
nguy cơ tiềm ẩn khả năng mất an tồn thơng tin (ATTT). Vấn đề cấp thiết là đảm bảo ATTT cho tài
nguyên thông tin của các tổ chức, cá nhân, doanh nghiệp khi tham gia vào môi trường Internet. Hiện nay,
các chương trình bảo mật, phịng chống virus, giám sát bảo vệ hệ thống đều có giá thành cao và được
phát triển ở nước ngoài và hầu hết được tích hợp trên các thiết bị phần cứng nên việc khai thác các chức
năng, hoặc người dùng tự phát triển mở rộng thêm chức năng của các chương trình này nhằm phục vụ
cho công việc quản trị mạng bị hạn chế. Hệ thống phát hiện xâm nhập mã nguồn mở Snort là một cơng cụ
có khả năng phát hiện được các xâm nhập trái phép và đưa ra những cảnh báo vào hệ thống, từ đó giúp
cho các quản trị mạng có thể đưa ra được các phương pháp phòng, chống mất ATTT vào hệ thống.

Project title: DEVELOP A SYSTEM FOR MONITORING AND WARNING OF NETWORK
INTRUSION RISK AT ELECTRONIC DATA CENTER IN QUANG BINH PROVINCE

Abstract - We are living in an Internet revolution connectting the world. Internet brings people
lots of great opptunities in searching knowledge. All sources of organizations and individuals that take
part in the Internet can take risks of losing Information security. The imperative problem thing is ensuring
Information security for organizations and businessess using the internet. Today, security programmes,

virus prevention, and system protection cost highly and have been developing in foreign countries and are
integrated in hardware devices, therefore exploittation of programmes’ function or the users develop and
extend there programmes’ function for Internet management. Snort open code intrusion detection system
is a tool that can detect illegal intrusion and give out alert so that internet manager can put sollutions of
protection and prevention of losing information security into the system.


MỤC LỤC
TRANG BÌA
LỜI CAM ĐOAN
TRANG TĨM TẮT LUẬN VĂN
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT
DANH MỤC CÁC HÌNH
MỞ ĐẦU ............................................................................................................................. 1
1. Tổng quan về đề tài ................................................................................................. 1
2. Mục tiêu đề tài ........................................................................................................ 2
3. Phương pháp thực hiện ........................................................................................... 2
4. Cấu trúc của luận văn.............................................................................................. 2
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT .................................................................................... 3
1.1. Hệ thống phát hiện xâm nhập IDS ............................................................................... 3
1.1.1. Giới thiệu .......................................................................................................... 3
1.1.2. Hệ thống phát hiện xâm nhập. .......................................................................... 3
1.1.3. Cấu trúc bên trong của một IDS ....................................................................... 7
1.1.4. Đặt IDS trong hệ thống mạng ......................................................................... 12
1.2. Hệ thống Snort . .......................................................................................................... 13
1.2.1. Giới thiệu ........................................................................................................ 13
1.2.2. Luật trong Snort. ............................................................................................. 14
1.3. Ngôn ngữ C# .............................................................................................................. 20
1.3.1. Giới thiệu: ....................................................................................................... 20

1.3.2. Đặc trưng của ngôn ngữ C# ............................................................................ 20
1.3.3. Các loại ứng dụng C# ..................................................................................... 21
1.4. Kết chương ................................................................................................................. 22
CHƯƠNG 2: PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG .................................................. 23
2.1. Phân tích một số phương pháp tấn công..................................................................... 23
2.1.1. Scanning(Quét mạng) ..................................................................................... 23
2.1.2. Tấn công ARP (ARP attack)........................................................................... 25
2.1.3. Sniffer ............................................................................................................. 30


2.1.4. Tấn công từ chối dịch vụ (DoS attack) ........................................................... 33
2.1.5. Tắt kết nối TCP (TCP Kill) ............................................................................ 40
2.1.6. SQL Injection .................................................................................................. 43
2.2. Cài đặt và cấu hình Snort............................................................................................ 48
2.2.1. Sơ đồ hệ thống ................................................................................................ 48
2.2.2. Cài đặt Snort ................................................................................................... 49
2.2.3. Cài đặt và cấu hình PHP ................................................................................. 53
2.2.4. Cấu hình MySQL để chạy Snort ..................................................................... 55
2.2.5. Cài đặt và cấu hình Barnyard2........................................................................ 56
2.2.6. Cài đặt và cấu hình BASE .............................................................................. 56
2.2.7. Kiểm tra cài đặt ............................................................................................... 58
2.3. Xây dựng ứng dụng quản lí Snort .............................................................................. 61
2.3.1. App-BASE : Quản lí dữ liệu Snort ................................................................. 61
2.3.2. AppRules : Quản lí Rules Snort...................................................................... 61
CHƯƠNG 3: TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC...................................................... 63
3.1. Quét cổng (port scan) ................................................................................................. 63
3.2. Ping of Death .............................................................................................................. 64
3.3. DDOS UDP ................................................................................................................ 64
3.4. SYN attack .................................................................................................................. 65
3.5. SQL Injection ............................................................................................................. 66

3.6. Kết chương ................................................................................................................. 66
KẾT LUẬN ....................................................................................................................... 67
TÀI LIỆU THAM KHẢO ................................................................................................. 68
QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN THẠC SĨ (BẢN SAO)
BẢN SAO KẾT LUẬN CỦA HỘI ĐỒNG, BẢN SAO NHẬN XÉT CỦA CÁC
PHẢN BIỆN


DANH SÁCH CÁC KÝ HIỆU, CHỮ VIẾT TẮT

ARP

Address Resolution Protocol

BASE

Basic Analysis and Security Engine

DoS

Denial-of-Service

DDoS

Distributed Denial-of-Service

IDS

Intrusion Detection System


HIDS

Host-based IDS

NIDS

Netword-base IDS

HTTPS

Hyper Text Transfer Protocol Secure

ICMP

Internet Control Message Protocol

TCP

Transmission Control Protocol

UDP

User Datagram Protocol

IP

Interner Protocol

LAN


Local Area Network

SYN

Synchronize

URL

Uniform Resource Locator


DANH MỤC CÁC HÌNH
Hình 1.1. Cấu trúc bên trong của một IDS ................................................................ 7
Hình 1.2. Mơ hình máy tính được sử dụng như một Packet Sniffer .......................... 7
Hình 1.3. Một số Preprocessor trong Snort................................................................ 8
Hình 1.4. Sơ đồ hoạt động của Detection Engine ...................................................10
Hình 1.5. Một số dạng Output phát sinh bởi IDS .................................................... 12
Hình 1.6. Một số vị trí đặt IDS trong hệ thống mạng ..............................................13
Hình 1.7. Cấu trúc của Rule Header ........................................................................16
Hình 2.1. Mơ hình hoạt động của giao thức ARP .................................................... 26
Hình 2.2. Mơ hình hoạt động của kỹ thuật ARP Spoofing ......................................28
Hình 2.3. ARP Spoofing sử dụng nemesis .............................................................. 29
Hình 2.4. Phịng chống ARP Spoofing với WinARP Watch ...................................29
Hình 2.5. Sniffs username và password logon ......................................................... 31
Hình 2.6. Giải mã password logon với Cracker của Cain .......................................31
Hình 2.7. Arp spoofing với Cain..............................................................................32
Hình 2.8. Sniffs username và password trên ứng dụng Web với Cain .................... 32
Hình 2.9. Sniffs username và passwdord trên ứng dụng Web với Ettercap ............33
Hình 2.10. Màn hình làm việc của Nemesy ............................................................. 35
Hình 2.11. SYN attack với hping3 ...........................................................................36

Hình 2.12. Quan sát các gói tin UDP flooding bằng Ethereal .................................36
Hình 2.13. Sơ đồ minh họa DDoS ...........................................................................37
Hình 2.14. Sơ đồ minh họa DRDoS.........................................................................39
Hình 2.15. Mơ hình bắt tay 3 bước ..........................................................................40
Hình 2.16. Mơ hình tắt kết nối TCP với TCP Kill ...................................................42
Hình 2.17. Quan sát TCP kill bằng Ettercap ............................................................ 42
Hình 2.18. Sơ đồ hệ thống ....................................................................................... 48
Hình 2.19. Mơ hình xử lí.......................................................................................... 49
Hình 2.20. Chạy file cài đặt Snort............................................................................50
Hình 2.21. File Rules của Snort ...............................................................................51
Hình 2.22. File preproc_rules của Snort ..................................................................51
Hình 2.23. Cài đặt dịch vụ IISServer .......................................................................53


Hình 2.24. Cấu hình PHP trên IIS............................................................................54
Hình 2.25. Test cấu hình PHP ..................................................................................55
Hình 2.26. Màn hình khởi động snort thành cơng ...................................................59
Hình 2.27. Màn hình khởi động Barnyard2 thành cơng ..........................................60
Hình 2.28. Giao diện Web Base ...............................................................................60
Hình 2.29. Giao diện App-BASE ............................................................................61
Hình 2.30. Giao diện AppRules ...............................................................................62
Hình 3.1 Port scan bằng Zenmap .............................................................................63
Hình 3.2 Đáp ứng của hệ thống với Port scan ......................................................... 64
Hình 3.3 Đáp ứng của hệ thống với Ping of Death ..................................................64
Hình 3.4 DDOS UDP bằng UDP – Unicorn ............................................................ 65
Hình 3.5 Đáp ứng của hệ thống với DDOS UDP .................................................... 65
Hình 3.6 Đáp ứng của hệ thống với SYN attack ..................................................... 66
Hình 3.7 Đáp ứng của IDS với một kiểu SQL Injection..........................................66



1

MỞ ĐẦU

1. Tổng quan về đề tài
Xã hội ngày càng phát triển, Internet trở thành một phần không thể thiếu đối với
từng cá nhân, doanh nghiệp, các tổ chức, trường học. Internet đã trở thành công cụ,
phương thức giúp cho các doanh nghiệp tiếp cận với khách hàng, cung cấp dịch vụ,
quản lý dữ liệu của tổ chức một cách hiệu quả và nhanh chóng.
Cùng với sự phát triển theo chiều hướng tốt, các cuộc tấn công và xâm nhập
mạng của những kẻ xấu cũng phát triển theo. Không chỉ trên thế giới mà ở Việt Nam
vấn đề “An toàn thơng tin” đã và đang trở thành vấn đề nóng bỏng. Sự đa dạng và
phức tạp trong các loại hình tấn cơng đã gây ra nhiều khó khăn cho việc ngăn chặn và
phòng chống.
Một hệ thống phòng chống và phát hiện xâm nhập sẽ giúp người quản trị có thể
ln luôn theo dõi và thu thập nhiều thông tin đáng giá cho q trình chống lại các
hình thức tấn cơng và xâm nhập đó.
Hiện nay, các chương trình bảo mật, phịng chống virus, giám sát bảo vệ hệ
thống đều có giá thành cao và được phát triển ở nước ngoài. Ngồi ra, các chương
trình giám sát hầu hết được tích hợp trên các thiết bị phần cứng nên việc khai thác
chức năng, hoặc người dùng tự phát triển mở rộng thêm chức năng của các chương
trình này nhằm phục vụ cho cơng việc quản trị mạng bị hạn chế.
Vì thế, nhu cầu có được một hệ thống hỗ trợ giám sát và bảo vệ hệ thống mạng
trực quan nhằm giúp cho công việc quản trị mạng được tập trung và đạt hiệu quả cao
là rất cần thiết. Đó là lý do mà tôi chọn nghiên cứu và thực hiện đề tài:
“Xây dựng hệ thống giám sát và cảnh báo nguy cơ xâm nhập
mạng tại Trung tâm dữ liệu điện tử tỉnh Quảng Bình”


2


2. Mục tiêu đề tài
Nghiên cứu chung về hệ thống phát hiện xâm nhập, các đặc điểm, kiến trúc của
một hệ thống phát hiện xâm nhập, đặc biệt là các kỹ thuật phát hiện xâm nhập đang
được áp dụng.
Nghiên cứu về hệ thống phát hiện xâm nhập Snort, cách cài đặt, cấu hình, triển
khai trong hệ thống mạng.
Phân tích các dấu hiệu của các hình thức tấn cơng, hình thành nên các luật tương
ứng với đặc điểm của các dạng tấn cơng và xâm nhập đó.

3. Phương pháp thực hiện
Nghiên cứu về lý thuyết phát hiện xâm nhập thông qua các tài liệu các bài báo cáo.
Nghiên cứu lý thuyết về Snort thông qua tài liệu từ trang chủ của Snort, tài liệu
hướng dẫn cho người sử dụng từ Sourcefire và các nguồn tài liệu khác.
Triển khai hệ thống trên máy ảo VMware Workstation, xây dựng hệ thống mạng
đơn giản mô tả một hệ thống mạng nhỏ trong thực tế. Triển khai các dịch vụ như trong
mơ hình mạng cỡ nhỏ.
Tìm hiểu về các phương thức xâm nhập, tấn cơng và khai thác lỗ hổng, công cụ và
cách thức thực hiện.
Triển khai tấn công, xâm nhập, khai thác lỗ hổng. Sau đó đọc log, phân tích gói tin
bắt được, chuyển hóa thành các luật nhằm phát hiện và ngăn chặn.

4. Cấu trúc của luận văn
Ngoài phần mở đầu, kết luận và tài liệu tham khảo trong luận văn gồm có các
chương dưới đây.
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
CHƯƠNG 2: PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG
CHƯƠNG 3: TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC



3

Chương 1: CƠ SỞ LÝ THUYẾT
1.1. Hệ thống phát hiện xâm nhập IDS
1.1.1. Giới thiệu
Kỹ thuật phát hiện xâm nhập khơng phải là một kỹ thuật mới. Vì nó đã được áp
dụng nhiều trong các lĩnh vực khác nhau chứ khơng chỉ riêng lĩnh vực an tồn thơng
tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện xâm
nhập đó là hệ thống cảnh báo bằng chuông trên ô tô. Nguyên lý hoạt động rất đơn
giản, hệ thống được bật lên và nếu có ai đó chạm vào chiếc ơ tơ thì cịi sẽ hú để cảnh
báo rằng có kẻ đang xâm nhập.
Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng
để bảo vệ các tài nguyên của hệ thống mạng trước những hacker không mong muốn.
Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Như ta đã biết
rằng giống như trong thế giới thực tường lửa được dựng lên giống như con người xây
tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của
mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có thể
biết hết các phương pháp mà kẻ trộm có thể tấn cơng được. Vì vậy ngồi hệ thống
ngăn chặn kẻ xâm nhập ra (tường lửa) cịn có thể triển khai các hệ thống cảnh báo như
chuông báo động, camera quan sát, hệ thống cảnh báo...
Tương tự như vậy trong hệ thống mạng, khơng ai có thể chắc chắn rằng các phần
cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn cơng cũng như biết
được hết các phương pháp của hacker. Chính vì vậy mà cần xây dựng một hệ thống
IDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và
giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời.
1.1.2. Hệ thống phát hiện xâm nhập.
Theo định nghĩa trong tài liệu CNSSI-4009 của Ủy ban An ninh Quốc gia của Hoa
Kỳ thì “intrusion” nghĩa là “hành động truy cập trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống”.
“Computer Intrusion” là hành động cố tình truy cập vào một máy tính mặc dù

khơng có sự cho phép hoặc tìm cách vượt qua quyền truy cập (đã có) để có thêm
quyền truy cập vào các tài nguyên khác và thu thập thông tin.


4
“Intrusion Detection” là quá trình theo dõi các sự kiện xảy ra trong một hệ thống
máy tính hoặc trong một hệ thống mạng. Sau đó phân tích các dấu hiệu của các sự cố
có thể xảy ra. Các sự cố đó có thể là hành động vi phạm các chính sách bảo mật hoặc
các tiêu chuẩn về an ninh của hệ thống hoặc cũng có thể là các mối đe dọa đến hệ
thống của doanh nghiệp. Nguyên nhân xảy ra các sự cố này có thể là do các phần mềm
độc hại như virus, worm, trojan, spyware... cũng có thể là hành động cố ý xâm nhập từ
Internet hoặc vượt q quyền truy cập thơng thường. Tuy vậy cũng có những nguyên
nhân khách quan như người sử dụng gõ nhầm địa chỉ của một máy tính và cố gắng
truy cập vào một hệ thống mà mình khơng được phép.
Intrusion Detection Systems (IDS) có thể là một thiết bị phần cứng (các thiết bị
phát hiện xâm nhập của Cisco (Cisco IDSM-2 hoặc Cisco IPS 4200 Series Sensors))
hoặc cũng có thể là một ứng dụng phần mềm giúp giám sát máy tính, hệ thống mạng
trước các hành động đe dọa đến hệ thống hoặc vi phạm chính sách an ninh và báo cáo
lại cho người quản trị hệ thống. Một hệ thống phát hiện xâm nhập cài đặt trên hệ thống
mạng giống như một hệ thống cảnh báo chống trộm (burglaralarm) trong một ngơi
nhà.
Một số hệ thống phát hiện xâm nhập cịn kiêm luôn cả chức năng ngăn chặn các
mối đe dọa đó tuy nhiên điều đó có thể khơng cần thiết và cũng khơng phải là chức
năng chính của của một hệ thống giám sát.
Một hệ thống phát hiện xâm nhập cơ bản sẽ “xác định” các mối nguy hại, “ghi” lại
thơng tin về chúng và sau đó “báo cáo” lại các thơng tin đó.
Nói ngắn gọn về chức năng của một hệ thống phát hiện xâm nhập đó là “giám sát”
(lưu lượng mạng), “cảnh báo” (báo cáo tình trạng mạng cho hệ thống và người quản
trị), “bảo vệ” (dùng các thiết lập mặc định và cấu hình từ người quản trị mà có những
hành động chống lại sự xâm nhập).

IDS có thể được phân loại theo chức năng thành 2 loại là Network-based IDS và
Host-based IDS. Mỗi loại có một cách tiếp cận riêng biệt để theo dõi và bảo vệ dữ liệu
và mỗi loại cũng có những ưu nhược điểm riêng.
Network-based IDS
Hệ thống phát hiện xâm nhập dựa trên mạng hoạt động như một thiết bị độc lập
trên mạng. Nó thường được đặt ở các segment mạng hoặc các điểm kết nối giữa các


5
vùng mạng khác nhau. Nhờ đó nó có thể giám sát lưu lượng mạng từ nhiều host khác
nhau trong vùng mạng đó. NIDS có thể là một thiết bị phần cứng hoặc phần mềm.
Về cấu trúc thì NIDS thường bao gồm một tập hợp các cảm biến (sensors) được đặt
ở các điểm khác nhau trong hệ thống mạng. Các cảm biến này sẽ thực hiện giám sát
lưu lượng mạng, thực hiện phân tích cục bộ lưu lượng mạng đó và báo cáo về cho
trung tâm quản lý (Center Management Console).
Một số NIDS: Snort, Suricata, các NIDS của Cisco, Juniper...
Ưu điểm của NIDS:
Quản lý được cả một network segment (gồm nhiều host). Chi phí thấp vì có thể
giám sát cả một hệ thống mạng lớn với chỉ vài thiết bị (mạng được thiết kế tốt).
“Trong suốt” đối với cả người dùng và các attacker.
Cài đặt và bảo trì đơn giản, khơng ảnh hưởng tới mạng.
Nhược điểm của NIDS:
NIDS có thể gặp khó khăn trong việc xử lý tất cả các gói tin trên một mạng có
kích thước lớn và mật độ lưu thơng cao. Điều này dẫn đến NIDS có thể sẽ không
thể phát hiện ra một cuộc tấn công khi mạng đang ở trạng thái over-whelming (quá
tải)
Bị hạn chế bởi switch. Trên các mạng chuyển mạch hiện đại, các switch được
sử dụng nhiều để chia mạng lớn thành các segment nhỏ để dễ quản lý.
Vì thế dẫn đến NIDS khơng thể thu thập được thơng tin trong tồn hệ thống
mạng. Do chỉ kiểm tra trên segment mà nó kết nối trực tiếp nên nó khơng thể phát

hiện tấn cơng trên một segment khác. Vấn đề này dẫn đến việc doanh nghiệp phải
mua một số lượng lớn cảm biến nếu muốn bao phủ toàn hệ thống mạng của họ,
làm tăng chi phí.
NIDS khơng thể phân tích được các thơng tin đã bị mã hóa (SSL, SSH...)
Một số hệ thống NIDS có thể gặp khó khăn với dạng tấn cơng phân mãnh gói
dữ liệu (fragmenting packets)
NIDS khơng thể phân biệt được một cuộc tấn cơng thành cơng hay thất bại. Nó
chỉ có thể phân biệt được có một cuộc tấn cơng đã được khởi xướng. Điều này
nghĩa là để biết được cuộc tấn cơng đó thành cơng hay thất bại người quản trị phải
điều tra các máy chủ và xác định nó có bị xâm nhập hay khơng?


6
Host-based IDS
Hệ thống phát hiện xâm nhập dựa trên máy chủ hoạt động trên một máy trạm đơn.
HIDS sẽ sử dụng các tài nguyên của máy chủ đó để theo dõi lưu lượng truy cập và
phát hiện các cuộc tấn cơng nếu có. Bằng cách này HIDS có thể theo dõi được tất cả
các hoạt động trên host đó như tập tin log và những lưu lượng mạng ra vào host đó.
Ngồi ra nó cịn theo dõi hệ điều hành, lịch sử sổ sách, các thông điệp báo lỗi của máy
chủ.
Không phải hầu hết các cuộc tấn công đều thông qua hệ thống mạng, nên không
phải lúc nào NIDS cũng có thể phát hiện được cuộc tấn cơng trên một host. Ví dụ, kẻ
tấn cơng có quyền physical access, từ đó có thể xâm nhập vào host đó mà khơng cần
tạo ra bất cứ network traffic nào.
Một ưu điểm của HIDS so với NIDS đó là nó có thể ngăn chặn các cuộc tấn công
phân mãnh (Fragmentation Attacks). Bởi vậy nên HIDS thường được cài đặt trên các
máy chủ xung yếu của tổ chức, các server trong vùng DMZ (do là mục tiêu tấn cơng
chính).
HIDS cũng thường theo dõi những gì thay đổi trên hệ thống như các thuộc tính của
hệ thống tập tin, các thuộc tính (kích thước, vị trí, quyền…) của tập tin, phát hiện tập

tin mới được tạo ra hay xóa đi.
Một số HIDS: Symantec ESM, OSSEC, Tripwire ..
Ưu điểm của HIDS:
Phát hiện các cuộc tấn công nên các máy chủ mà NIDS không thể phát hiện ra
Có thể giám sát các luồng traffic đã bị mã hóa
Khơng bị ảnh hưởng bởi các thiết bị chuyển mạch (switch)
Nhược điểm của NIDS:
Khó quản lý hơn do phải cài lên tất cả các host cần bảo vệ nên việc cấu hình,
quản lý, cập nhật là một khối lượng lớn công việc cần thực hiện
HIDS không thể phát hiện việc quét mạng (network scan bằng nmap) do chỉ
giám sát trên host mà nó được cài đặt
Có thể bị vơ hiệu hóa bởi tấn cơng từ chối dịch vụ (DoS)
Chiếm tài nguyên hệ thống: Do cài đặt trên máy cần bảo vệ nên nó sẽ sử dụng
tài nguyên của hệ thống như RAM, CPU, Hard Disk dẫn đến có thể làm giảm
hiệu suất của việc giám sát


7
HIDS sẽ “chết” khi hệ điều hành của host đó bị “chết”
1.1.3. Cấu trúc bên trong của một IDS

Hình 1.1 Cấu trúc bên trong của một IDS
Mỗi IDS đều bao gồm các thành phần cơ bản sau:
Sensor (là một packet sniffer)
Preprocessors
Detection Engine
Output (Alerting System và Longging System)
Mỗi thành phần này làm việc với nhau để phát hiện các tấn công cụ thể và tạo ra
các output đã được quy định trước.
1.1.3.1. Packet Sniffer

Packet Sniffer là một thiết bị (có thể là phần cứng hoặc là phần mềm) được gắn vào
trong hệ thống mạng, có chức năng lắng nghe tất cả các dữ liệu được trao đổi trên hệ
thống mạng. Các dữ liệu này sẽ được IDS dùng để phân tích nhằm phát hiện nguy cơ
tấn cơng.

Hình 1.2 Mơ hình máy tính được sử dụng như một Packet Sniffer


8
Sơ đồ trên mơ tả một máy tính được sử dụng làm một Packet Sniffer. Một điểm cần
lưu ý là các máy tính này thường gắn 2 interface, đối với interface dùng để lắng nghe
dữ liệu trên mạng sẽ được đưa về promiscuous mode (hay còn gọi là trạng thái
passsive), khi ở trạng thái này, card mạng sẽ lắng nghe tất cả các dữ liệu trao đổi trên
mạng. Interface còn lại được người quản trị sử dụng để theo dõi hoạt động của IDS.
1.1.3.2. Preprocessors
Thành phần này bao gồm các bộ phận hoặc các plug-ins được gọi là “tiền xử lý”.
Các Preprocessor có nhiệm vụ sắp xếp hoặc chỉnh sửa gói dữ liệu trước khi chuyển
cho bộ phận Detection Engine thực hiện tìm kiếm dấu hiện tấn cơng trong các gói tin
này. Một vài Preprocessor cũng thực thi việc phát hiện bằng cách tìm các dấu hiệu bất
thường trong header của các gói tin và tạo ra các cảnh báo. Bộ phận “tiền xử lý” là rất
quan trọng trong bất kỳ IDS nào, chúng chuẩn bị các gói dữ liệu để Detection Engine
phân tích dựa trên các luật (rule) được định nghĩa trước.

Hình 1.3 Một số Preprocessor trong Snort
Hacker có thể sử dụng nhiều kỹ thuật khác nhau để đánh lừa IDS, do đó
Preprocessors ra đời có thể hạn chế những nguy cơ này. Lấy một ví dụ, người quản trị
thiết lập một luật tìm kiếm dấu hiệu (signature) “scripts/iisadmin” trong gói tin HTTP.
Nếu thực hiện so sánh chính xác chuỗi trên để nhận dạng tấn cơng thì người quản trị
có thể bị đánh lừa khi hacker thay đổi chuổi trên thành một số dạng như sau:
“scripts/./iisadmin”

“scripts/example/../iisadmin”


9
“scripts\iisadmin”
“scripts/.\iisadmin”
Để làm phức tạp hơn hacker có thể chèn vào trong URI các ký tự dạng hexa hoặc
ký tự Unicode đã được chuyển đổi hợp lệ từ chuỗi trên.
Lưu ý: Sở dĩ hacker có thể làm như trên là do hầu hết các web server có thể hiểu
được tất cả các chuỗi trên và có khả năng xử lý để trích ra chuỗi “scripts/iisadmin”.
Do đó nếu IDS thực hiện tìm kiếm bằng cách so sánh chính xác thì nó khơng thể
phát hiện được tấn cơng. Một Preprocessor có thể sắp xếp lại chuỗi để IDS có khả
năng phát hiện được.
Preprocessors cịn thực hiện chức năng lắp ghép (defragmentation) các gói tin.

hi

một gói dữ liệu lớn được truyền đến một host trên mạng thì nó thường được phân
mảnh (fragmentation). Ngun nhân của vấn đề này là do mỗi công nghệ mạng đều có
một con số quy định chiều dài tối đa mặc định của một gói dữ liệu được truyền tải trên
mạng được gọi là Maximum Transfer Unit (MTU). Ví dụ như MTU của mạng
thernet là 15

bytes, do đó nếu gởi gói dữ liệu lớn hơn 15

bytes thì nó sẽ được

chia thành nhiều gói tin sao cho mỗi gói tin nhỏ hơn hoặc bằng 15

bytes. Những hệ


thống nhận các gói tin này đều phải khơi phục lại gói tin gốc. Trong IDS, trước khi đối
chiếu các luật để tìm dấu hiệu nhận dạng trong gói tin, cần phải ráp các gói tin lại.
Phân mảnh (fragmentation) gói tin là một kỹ thuật được hacker sử dụng để tấn công
IDS.
Preprocessors được sử dụng để bảo vệ IDS khỏi các cuộc tấn công vô chính nó.
Preprocessors của Snort IDS được đề cập trong đề tài có thể thực hiện lắp ghép gói tin,
giải mã HTTP URI, … Những chức năng này là một phần rất quan trọng trong IDS.
1.1.3.3. Detection Engine
Đây là thành phần quan trọng nhất trong IDS. Trách nhiệm của nó là phát hiện có
hành vi xâm nhập tồn tại trong gói tin hay không. Bộ phận này sử dụng một trong hai
phương pháp phân tích là Statistical Analysis và Signature Matching.
Phương pháp Statistical Analysis không dựa trên các dấu hiệu được định nghĩa
trước để phát hiện tấn cơng mà nó sẽ tự xây dựng một cơ sở dữ liệu các dấu hiện bất
thường, trong phương pháp này sử dụng một số lý thuyết về Data Mining để phát hiện
tấn công, đây cũng là nền tảng để xây dựng anomaly-based IDS.


10
Phương pháp Signature Matching là phương pháp phổ biến nhất hiện nay để xây
dựng một IDS. Snort IDS được đề cập trong đề tài sử dụng phương pháp Signature
Matching. Detection ngine sử dụng cơ sở dữ liệu các rule đã được định nghĩa cho
mục đích này, nếu một gói tin trùng với dấu hiệu tấn cơng trong một rule thì một hành
động phản ứng của IDS sẽ được thực hiện, hành động đó có thể là log gói tin hoặc phát
sinh cảnh báo, ngược lại nếu gói tin khơng chứa nguy cơ tấn cơng thì sẽ bị loại bỏ
(discard).

Hình 1.4 Sơ đồ hoạt động của Detection Engine
Detection


ngine là thành phần then chốt ảnh hưởng đến thời gian thực thi của

IDS. Phụ thuộc vào sức mạnh của máy tính cài IDS và bao nhiêu luật đã được định
nghĩa, nó có thể tốn những khoảng thời gian khác nhau đối với các gói tin khác nhau.
Nếu lưu lượng mạng (traffic network) quá lớn khi một NIDS hoạt động, ta có thể mất
vài gói tin và có phản ứng thời gian thực (real-time response) khơng chính xác. Như
vậy khi triển khai một NIDS người quản trị cần phải quan tâm đến các yếu tố như số
lượng các luật, sức mạnh của máy tính đang chạy IDS, lưu lượng trên mạng.
Lưu ý : Hệ thống phát hiện có thể đối chiếu các luật trên các phần khác nhau của
gói tin. Snort IDS có thể làm việc với các thành phần sau:
IP header của gói tin


11
Header ở lớp Transport. Header này bao gồm TCP, UDP header và các loại
khác của lớp Transport. Nó cũng có thể làm việc với ICMP Header
Header của gói ở tầng Application. Một số ví dụ như DNS header, TP header,
SMTP header và SNMP heade
Packet payload. Điều này có nghĩa là người quản trị có thể tạo các luật dùng
cho Detection ngine tìm một chuỗi bên trong dữ liệu của một gói tin
Trong Snort IDS, bộ phận Detection ngine hoạt động theo những cách khác nhau
trên các phiên bản khác nhau của Snort. Trong tất cả các phiên bản 1.x của Snort,
Detection ngine dừng việc xử lý một gói tin khi nó đã phù hợp với một luật. Điều này
có nghĩa là nếu một gói tin phù hợp với nhiều luật, chỉ có luật đầu tiên được áp dụng
mà khơng xem xét các luật còn lại. Điều này làm nảy sinh một vấn đề, một luật có độ
ưu tiên thấp sẽ phát sinh một cảnh báo có độ ưu tiên thấp, cho dù những dấu hiệu cần
thiết được phát hiện để phát sinh cảnh báo có độ ưu tiên cao nằm trong phần sau của
gói tin. Vấn đề này được điều chỉnh từ phiên bản 2.x trở đi, tất cả các luật đều được so
sánh trên gói tin trước khi phát sinh cảnh báo. Sau khi so sánh tất cả, luật có độ ưu tiên
cao nhất sẽ được chọn để phát sinh cảnh báo. Trong các phiên bản 2.x, Detection

ngine cũng được viết lại để hoạt động nhanh hơn rất nhiều so với các phiên bản
trước.
1.1.3.4. Output (Alerting System và Logging System )
Phụ thuộc vào kết quả xử lý gói tin của Detection ngine, gói tin có thể được sử
dụng để ghi lại các hành vi xâm nhập hoặc phát sinh cảnh báo. Các thơng tin được ghi
lại có thể được lưu trong file text, file binary theo định dạng của chương trình tcpdump
(là một packet sniffer), hoặc được lưu trong database.
Trong thành phần này có một bộ phận gọi là Output module làm nhiệm vụ điều
khiển kiểu output được phát sinh bởi Logging và Alerting System. Phụ thuộc vào cấu
hình, Output module có thể thực hiện một số việc như sau :
Tạo file log
Gởi một SNMP traps
Gởi các thông báo đến syslog
Ghi vào một database như MySQL, Oracle, …
Tạo Output dạng ML


12
Gởi thông báo Server Message Block (SMB) đến các hệ thống

indows

Có thể kết hợp với một số cơng cụ khác để gởi các cảnh báo qua email hoặc kết
xuất ra giao diện web.

Hình 1.5 Một số dạng Output phát sinh bởi IDS
1.1.4. Đặt IDS trong hệ thống mạng
Vấn đề cần quan tâm khi sử dụng IDS đó là đặt nó ở đâu trong hệ thống mạng sao
cho các cảm biến được đặt có thể nhìn thấy tất cả các lưu lượng di chuyển trên hệ
thống mạng.

Điều này phụ thuộc vào mơ hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí. Tùy
thuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngồi, hoặc cả hai.
Ví dụ, nếu cần phát hiện một tấn cơng từ bên ngồi, có một router kết nối ra Internet,
thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa. Nếu bạn có nhiều
đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kết nối đó. Tuy nhiên nếu cần
phát hiện các nguy cơ từ bên trong, tốt nhất cần đặt IDS tại mỗi phân đoạn mạng
(network segment).
Có một số trường hợp khơng cần có IDS trên tất cả các phân đoạn mạng và chỉ cần
giới hạn tại một số vùng “nhạy cảm”. Một điểm lưu ý khi triển khai thêm nhiều IDS là
đồng nghĩa với việc chấp nhận hệ thống chậm hơn và tốn chi phí bảo trì. Do đó chiến


13
lược triển khai IDS phụ thuộc vào chính sách bảo mật và mức độ quan trọng của tài
nguyên cần bảo vệ.
IDS

Local
Network

IDS

Local
Network

Firewall

Internet

Router


Hình 1.6 Một số vị trí đặt IDS trong hệ thống mạng
1.2. Hệ thống Snort .
1.2.1. Giới thiệu
Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu hết
các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần cứng đã
được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO. Đối với các hệ
thống ngân hàng lớn như Sacombank, ximbank … thường sử dụng dòng sản phẩm
ISS Proventia, đây là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần
cứng. Tuy nhiên đối với các tổ chức có mơ hình mạng nhỏ thì đây khơng phải là một
giải pháp thực sự kinh tế, vì chi phí cho các sản phẩm này khá cao.
Theo Insecure.org ( [2] Snort là một số hệ thống phát
hiện xâm nhập hàng đầu bằng phần mềm. Snort là một sản phẩm IDS Open source của
công ty SourceFire, họat động dựa trên một tập luật linh họat, thông qua phân tích các
protocol, tìm kiếm nội dung và các bộ tiền xử lý (pre-processor) để phát hiện ra hàng
ngàn lọai sâu (worm), các kiểu tấn công, quét cổng và những hành động đáng ngờ
khác trên mạng.
Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm IDS phần
mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn mở Snort.
Bởi vì, có hai u cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng


14
đáp ứng linh họat của nó trước sự phát triển nhanh chóng của cơng nghệ thơng tin và
Snort có thể đáp ứng rất tốt cả hai yêu cầu này. Đó là một phần mềm mà ta có thể tải
về và sử dụng miễn phí theo các qui tắc GPL (GNU Genneral Public Lisene), cho nên
yếu tố về chi phí hồn tồn có thể n tâm. Ngịai ra Snort cịn là một sản phẩm mã
nguồn mở và có một cộng đồng phát triển đơng đảo được quản lí chặt chẽ cho nên khi
có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển
cảnh báo và cập nhật Snort Rules một cách nhanh chóng và các doanh nghiệp có thể

thay đổi mã nguồn cho phù hợp với yêu cầu của mình. Vì vậy Snort là phần mềm IDS
mạnh mẽ và được yêu thích nhất hiện nay trên thế giới trong vấn đề phát hiện xâm
nhập. Đã có nhiều hội thảo bảo mật xoay quanh vấn đề triển khai và ứng dụng Snort
trong công tác bảo mật. Đã có một số cơng ty lớn đã triển khai thành công và chứng
minh sự hiệu quả của Snort trong bảo mật mạng như Viettel, Motorola.
Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS thành
một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp các ưu
điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng phát hiện
sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó.
Nghĩa là, IPS khơng đơn giản chỉ dị các cuộc tấn cơng, chúng có khả năng ngăn
chặn hoặc cản trở các cuộc tấn cơng đó. Chúng cho phép tổ chức ưu tiên, thực hiện các
bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng,
đủ khả năng bảo vệ tất cả các thiết bị trong mạng.
1.2.2. Luật trong Snort.
“Luật” trong Snort ta có thể hiểu một cách đơn giản nó giống như các quy tắc và
luật lệ trong thế giới thực. Nghĩa là nó sẽ có phần mơ tả một trạng thái và hành động gì
sẽ xảy ra khi trạng thái đó đúng. Một trong những điểm đáng giá nhất của Snort đó là
khả năng cho phép người sử dụng có thể tự viết các luật của riêng mình hoặc tùy biến
các luật có sẵn cho phù hợp với hệ thống mạng của mình. Ngồi một cơ sở dữ liệu lớn
mà người sử dụng có thể download từ trang chủ của Snort, người quản trị có thể tự
phát triển các luật cho hệ thống của mình. Thay vì phải phụ thuộc vào nhà cung cấp,
một cơ quan bên ngoài, hoặc phải cập nhật khi có một cuộc tấn cơng mới hay một
phương pháp khai thác lỗ hổng mới được phát hiện. Người quản trị có thể viết riêng
một luật dành cho hệ thống của mình khi nhìn thấy các lưu lượng mạng bất thường và
so sánh với bộ luật được cộng đồng phát triển. Ưu điểm của việc tự viết các luật là có


15
thể tùy biến và cập nhật một cách cực kỳ nhanh chóng khi hệ thống mạng có sự bất
thường.

Ví dụ: “Nếu có người cố gắng mở cửa ơ tơ thì cịi sẽ hú.”.
Phân tích ở đây ta hành động “cịi hú” sẽ được thực hiện nếu có dấu hiệu là “có
người cố gắng mở cửa ơ tơ”.
Trong hệ thống mạng cũng vậy, ta không thể sử dụng ngôn ngữ tự nhiên hằng ngày
để mô tả dấu hiệu hay trạng thái của hệ thống mạng được. Ví dụ: Nếu có một kết nối
SSH có địa chỉ IP Public kết nối tới máy chủ web thì chặn lại . Mặc dù đây là một mô
tả khá cụ thể, tuy nhiên Snort lại không thể hiểu được. Luật trong Snort sẽ giúp ta dễ
dàng mô tả dấu hiệu này theo ngôn ngữ mà Snort có thể hiểu được.
Để biết cách viết một luật từ các dữ liệu của hệ thống ta cần phải hiểu cấu trúc của
luật trong Snort như thế nào. Một luật trong Snort được chia thành hai phần đó là phần
header và options. Phần header bao gồm: rule action, protocol, địa chỉ ip nguồn, địa
chỉ ip đích, subnetmask, port nguồn, port đích. Phần options bao gồm các thơng điệp
cảnh báo, thơng tin các phần của gói tin sẽ được kiểm tra để xác định xem hành động
nào sẽ được áp dụng.
Rules được hình thành từ 02 thành phần chính là rules header và rules options.
Ví dụ:

1.2.2.1. Rule Header

Rule
Action

Protocol

Src/Des

Port


16


Hình 1.7 Cấu trúc của Rule Header
 Rule Action
Phần Header sẽ chứa các thông tin xác định ai, ở đâu, cái gì của một gói tin, cũng
như phải làm gì nếu tất cả các thuộc tính trong luật được hiện lên. Mục đầu tiên trong
một luật đó chính là phần rule action, rule action sẽ nói cho Snort biết phải làm gì khi
thấy các gói tin phù hợp với các luật đã được quy định sẵn. Có 5 hành động mặc định
trong Snort đó là: alert (cảnh báo), log (ghi lại log), pass (cho qua), active (kích hoạt),
dynamic. Ngồi ra nếu chạy Snort ở chế độ inline cịn có thêm các tùy chọn bổ sung
như drop, reject và sdrop.
alert - tạo ra cảnh báo sử dụng phương pháp đã lựa chọn trước và sau đó ghi log
lại các gói tin
log - ghi log lại các gói tin
pass - bỏ qua gói tin đó
active - cảnh báo và sau đó bật một dynamic rule khác để kiểm tra thêm điều
kiện của gói tin
dynamic - duy trì trạng thái “nhàn rỗi” cho đến khi được kích hoạt bởi một
active rule sau đó hành động như một log rule
drop - chặn gói tin đó và ghi log lại
reject - chặn gói tin, ghi log lại và gửi trả về một thông điệp
sdrop - chặn gói tin nhưng khơng ghi log lại
hành động do user tự định nghĩa
 Protocol
Trường tiếp theo trong luật đó là protocol. Có 4 giao thức mà Snort hiện đang phân
tích các hành vi bất thường đó là TCP, UDP, ICMP và IP.


17
 IP Address
Mục tiếp theo của phần header đó là địa chỉ IP. Các địa chỉ này dùng để kiểm tra

nơi đi và nơi đến của một gói tin. Địa chỉ ip đó có thể là địa chỉ của một máy đơn hoặc
cũng có thể là địa chỉ của một lớp mạng. Từ khóa “any” được sử dụng để định nghĩa
một địa chỉ bất kỳ.
Một địa chỉ ip sẽ được viết dưới dạng ip_address/netmask. Điều này có nghĩa là
nếu netmask là /24 thì lớp mạng đó là lớp mạng C, /16 là lớp mạng B hoặc /32 là chỉ
một máy đơn. Ví dụ: địa chỉ 192.168.1. /24 có nghĩa là một dải máy có địa chỉ IP từ
192.168.1.1-192.168.1.255.
Trong hai địa chỉ IP trong một luật Snort thì sẽ có một địa chỉ IP nguồn và một địa
chỉ IP đích. Việc xác định đâu là địa chỉ nguồn, đâu là địa chỉ đích phụ thuộc vào “→”.
Ngồi ra tốn tử phủ định có thể được áp dụng cho việc định địa chỉ IP. Có nghĩa là
khi sử dụng tốn tử này thì Snort sẽ bỏ qua việc kiểm tra địa chỉ của gói tin đó. Tốn
tử đó là “!”. Ngồi ra ta có thể định nghĩa một danh sách các địa chỉ IP bằng cách viết
liên tiếp chúng cách nhau bởi một dấu “,”.
Ví dụ :
alert tcp any any → ![192.168.1.0/24, 172.16.0.0/16] 80 (msg:\ “Cho phep truy cap”)

 Port
Port có thể được định nghĩa bằng nhiều cách. Với từ khóa “any” giống như địa chỉ
IP để chỉ có thể sử dụng bất kỳ port nào. Gán một port cố định ví dụ như gán kiểm tra
ở port 80 http hoặc port 22 ssh. Ngồi ra ta cũng có thể sử dụng tốn tử phủ định để bỏ
qua một port nào đó hoặc liệt kê một dải các port.
Ví dụ :
log udp any any → 192.168.1. /24 1:1 24 - port bất kỳ tới dãy port từ 1 - 1024.
log udp any any → 192.168.1. /24 :6
log udp any any → 192.168.1. /24 5
log udp any any → 192.168.1. /24 !6

- port bất kỳ tới dãy port nhỏ hơn 6
: - port bất kỳ tới dãy port lớn hơn 5


.
.

:6 1 - port bất kỳ tới bất kỳ port nào, bỏ qua

dãy port từ 6000 – 6010.

 Traffic Derection
Toán tử hướng “→” chỉ ra đâu là hướng nguồn, đâu là hướng đích. Phần địa chỉ IP
và port ở phía bên trái của toán tử được coi như là địa chỉ nguồn và port nguồn, phần