Các cơ chế hoạt động của snort
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các cơ chế hoạt động của Snort
Sniffer mode: snort bắt lấy các gói tin và
hiển thị nội dung của chúng.
Network Intrusion Detection System
mode: làm việc như là hệ thống NIDS
Inline mode: kết hợp với iptables
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
1
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các cơ chế hoạt động của Snort
Network Intrusion Detection System
mode:
Ở chế độ IDS, snort không ghi lại từng
gói tin bắt được như trong chế độ sniffer
mode. Thay vào đó, nó so sánh các rules
vào tất cả các gói tin bắt được. Nếu 1 gói
tin phù hợp với rules, thì nó sẽ được ghi lại
và một cảnh báo sẽ được phát ra.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
2
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Thành phần của snort
4 thành phần chính:
Packet sniffer
Preprocessor
Detection engine
Thành phần Alerting/logging
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
3
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Packet sniffer
Packet sniffer: thành phần dùng để lắng
nghe các gói tin trên mạng
Có thể sử dụng Packet sniffer để:
- Phân tích và sử lý sự cố mạng.
- Phân tích hiệu suất mạng.
- Lắng nghe dữ liệu trên mạng (password,
các dữ liệu nhạy cảm..)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
4
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Packet sniffer (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
5
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ tiền xử lý (Preprocessor)
Preprocessor là những thành phần hay
những plug-in được sử dụng cùng với Snort để
xem xét, sắp xếp và thay đổi những gói dữ liệu
trước khi giao các gói này cho detection engine
Một vài preprocessor còn có thể thực hiện
tìm ra những dấu hiệu bất thường trong tiêu đề
gói và sinh ra cảnh báo.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
6
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ tiền xử lý (Preprocessor) (tt)
2 chức năng chính của Bộ tiền xử lý:
- Xem xét (kiểm tra) các gói tin đáng ngờ
- Chuẩn bị các gói tin để giao cho Detection
engine: các gói tin cụ thể và các thành phần của
gói tin được chuẩn hóa (nomalized) để cho
Detection engine có thể so sánh các dấu hiệu
tấn công một cách chính xác.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
7
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ tiền xử lý (Preprocessor) (tt)
Các preprocessor chính:
Frag2
Stream4
HTTP Inspect
RPC_Decode
Telnet_Decode
ARPSpoof
ASN1_Decode
Flow
SfPortscan
Performance Monitor
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
8
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ tiền xử lý (Preprocessor) (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
9
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ máy phát hiện
(Detection Engines)
Detection engine là thành phần quan trọng
nhất trong snort. Nó chịu trách nhiệm phát
hiện các hành vi bất thường trong các gói
tin dựa trên các rule của snort.
Nếu gói tin nào khớp với rule, thì hành
động thích hợp sẽ được thực hiện.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
10
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ máy phát hiện
(Detection Engines) (tt)
Lưu ý: IDS/IPS có thể xem xét các gói tin
và áp dụng các rules vào các phần khác
nhau của gói tin. Các phần của gói tin:
- IP header.
- Header của lớp transport (TCP, UDP).
- Header của lớp application (DNS header,
FTP header, SNMP header...).
- Phần tải của gói tin (packet payload).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
11
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Bộ máy phát hiện
(Detection Engines) (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
12
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các thành phần Alerting/Logging
Nếu dữ liệu phù hợp với 1 rule trong
detection engine, thì 1 cảnh báo sẽ được
phát sinh. Cảnh báo sẽ được gửi tới 1 tập tin
log thông qua kết nối mạng, UNIX socket
hay Window Popup hay SNMP traps.
Các cảnh báo có thể được lưu trong
CSDL SQL như là MySQL và Postgres
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
13
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các thành phần Alerting/Logging (tt)
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
14
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Kiến trúc Snort
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
15
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort Rules
Snort rules hoạt động trên lớp mang
(network (IP)) và vận chuyển (transport
(TCP/UPD)). Tuy nhiên có các phương
pháp để phát hiện sự bất thường ở lớp liên
kết (data link) và các giao thức lớp ứng
dụng (application).
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
16
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort Rules (tt)
Rule được chia làm 2 phần:
Rule Header
Rule Option
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
17
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Các platform hỗ trợ:
Linux
OpenBSD
FreeBSD
NetBSD
Solaris (both Sparc and i386)
HP-UX
AIX
IRIX
MacOS
Windows
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
18
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort Rules (tt)
Rule Header: chứa thông tin về hành động
được thực hiện (log hay alert), loại gói tin
(TCP, UDP, ICMP...), địa chỉ nguồn và đích
và cổng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
19
Đại học Công nghệ thông tin
Khoa Mạng máy tính và truyền thông
Snort Rules (tt)
Rule Option: hành động trong rule header
chỉ được thực hiện khi tất cả các tiêu chí
trong rule option là đúng.
Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
ThS. Hồ Hải
20