Tài liệu Packet sniffer

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Snort: - Được phát triển bởi Sourcefire. - Được triển khai rộng rãi trên thế giới. - Mã nguồn mở - Hỗ trợ nhiều OS Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các cơ chế hoạt động của Snort Sniffer mode: snort bắt lấy các gói tin và hiển thị nội dung của chúng. Network Intrusion Detection System mode: làm việc như là hệ thống NIDS Inline mode: kết hợp với iptables Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các cơ chế hoạt động của Snort Network Intrusion Detection System mode: Ở chế độ IDS, snort không ghi lại từng gói tin bắt được như trong chế độ sniffer mode. Thay vào đó, nó so sánh các rules vào tất cả các gói tin bắt được. Nếu 1 gói tin phù hợp với rules, thì nó sẽ được ghi lại và một cảnh báo sẽ được phát ra. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Thành phần của snort 4 thành phần chính: Packet sniffer Preprocessor Detection engine Thành phần Alerting/logging Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Packet sniffer Packet sniffer: thành phần dùng để lắng nghe các gói tin trên mạng Có thể sử dụng Packet sniffer để: - Phân tích và sử lý sự cố mạng. - Phân tích hiệu suất mạng. - Lắng nghe dữ liệu trên mạng (password, các dữ liệu nhạy cảm..) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Packet sniffer (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ tiền xử lý (Preprocessor) Preprocessor là những thành phần hay những plug-in được sử dụng cùng với Snort để xem xét, sắp xếp và thay đổi những gói dữ liệu trước khi giao các gói này cho detection engine Một vài preprocessor còn có thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và sinh ra cảnh báo. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ tiền xử lý (Preprocessor) (tt) 2 chức năng chính của Bộ tiền xử lý: - Xem xét (kiểm tra) các gói tin đáng ngờ - Chuẩn bị các gói tin để giao cho Detection engine: các gói tin cụ thể và các thành phần của gói tin được chuẩn hóa (nomalized) để cho Detection engine có thể so sánh các dấu hiệu tấn công một cách chính xác. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ tiền xử lý (Preprocessor) (tt) Các preprocessor chính: Frag2  Stream4  HTTP Inspect  RPC_Decode  Telnet_Decode  ARPSpoof  ASN1_Decode  Flow  SfPortscan  Performance Monitor Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ tiền xử lý (Preprocessor) (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ máy phát hiện (Detection Engines) Detection engine là thành phần quan trọng nhất trong snort. Nó chịu trách nhiệm phát hiện các hành vi bất thường trong các gói tin dựa trên các rule của snort. Nếu gói tin nào khớp với rule, thì hành động thích hợp sẽ được thực hiện. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ máy phát hiện (Detection Engines) (tt) Lưu ý: IDS/IPS có thể xem xét các gói tin và áp dụng các rules vào các phần khác nhau của gói tin. Các phần của gói tin: - IP header. - Header của lớp transport (TCP, UDP). - Header của lớp application (DNS header, FTP header, SNMP header...). - Phần tải của gói tin (packet payload). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Bộ máy phát hiện (Detection Engines) (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các thành phần Alerting/Logging Nếu dữ liệu phù hợp với 1 rule trong detection engine, thì 1 cảnh báo sẽ được phát sinh. Cảnh báo sẽ được gửi tới 1 tập tin log thông qua kết nối mạng, UNIX socket hay Window Popup hay SNMP traps. Các cảnh báo có thể được lưu trong CSDL SQL như là MySQL và Postgres Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các thành phần Alerting/Logging (tt) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Kiến trúc Snort Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Rules Snort rules hoạt động trên lớp mang (network (IP)) và vận chuyển (transport (TCP/UPD)). Tuy nhiên có các phương pháp để phát hiện sự bất thường ở lớp liên kết (data link) và các giao thức lớp ứng dụng (application). Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Snort Rules (tt) Rule được chia làm 2 phần: Rule Header Rule Option Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các platform hỗ trợ: Linux OpenBSD FreeBSD NetBSD Solaris (both Sparc and i386) HP-UX AIX IRIX MacOS Windows Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20