I.

Bộ luật của Snort:

1. Giới thiệu:

Cũng giống như virus, hầu hết các hoạt động tấn công hay xâm nhập đều có các dấu hiệu
riêng. Các thông tin về các dấu hiệu này sẽ được sử dụng để tạo nên các luật cho Snort.
Thông thường, các bẫy (honey pots) được tạo ra để tìm hiểu xem các kẻ tấn công làm gì
cũng như các thông tin về công cụ và công nghệ chúng sử dụng. Và ngược lại, cũng có
các cơ sở dữ liệu về các lỗ hổng bảo mật mà những kẻ tấn công muốn khai thác. Các
dạng tấn công đã biết này được dùng như các dấu hiệu để phát hiện tấn công xâm nhập.
Các dấu hiệu đó có thể xuất hiện trong phần header của các gói tin hoặc nằm trong phần
nội dung của chúng. Hệ thống phát hiện của Snort hoạt động dựa trên các luật (rules) và
các luật này lại được dựa trên các dấu hiệu nhận dạng tấn công. Các luật có thể được áp
dụng cho tất cả các phần khác nhau của một gói tin dữ liệu . Một luật có thể được sử
dụng để tạo nên một thông điệp cảnh báo, log một thông điệp hay có thể bỏ qua một
gói tin.
2. Cấu trúc luật của Snort:

Hãy xem xét một ví dụ đơn giản :

alert tcp 192.168.2.0/24 23 -> any any (content:”confidential”; msg: “Detected
confidential”)
Ta thấy cấu trúc của một luật có dạng như sau:

Hình 1: cấu trúc luật của snort

Diễn giải:
Tất cả các Luật của Snort về logic đều gồm 2 phần: Phần header và phần Option.
• Phần Header chứa thông tin vềhành động mà luật đó sẽ thực hiện khi phát hiện ra có
xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật với gói tin
đó.
• Phần Option chứa một thông điệp cảnh báo và các thông tin về các phần của gói tin
dùng để tạo nên cảnh báo. Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh luật
với gói tin. Một luật có thể phát hiện được một hay nhiều hoạt động thăm dò hay tấn
công. Các luật thông minh có khả năng áp dụng cho nhiều dấu hiệu xâm nhập. Dưới đây
là cấu trúc chung của phần Header của một luật Snort:
 Hình 2: Header của snort

• Action: là phần qui định loại hành động nào được thực thi khi các dấu hiệu của gói tin
được nhận dạng chính xác bằng luật đó. Thông thường, các hành động tạo ra một cảnh
báo hoặc log thông điệp hoặc kích hoạt một luật khác.
• Protocol: là phần qui định việc áp dụng luật cho các packet chỉ thuộc một giao thức cụ
thể nào đó. Ví dụ như: IP, TCP, UDP …
• Address: là phần địa chỉ nguồn và địa chỉ đích. Các địa chỉ có thể là một máy đơn,
nhiều máy hoặc của một mạng nào đó. Trong hai phần địa chỉ trên thì một sẽ là địa chỉ
nguồn, một sẽ là địa chỉ đích và địa chỉ nào thuộc loại nào sẽ do phần Direction “->” qui
định.
• Port: xác định các cổng nguồn và đích của một gói tin mà trên đó luật được áp dụng.
• Direction: phần này sẽ chỉ ra đâu là địa chỉ nguồn, đâu là địa chỉ đích.
Ví dụ: alert icmp any any -> any any (msg: “Ping with TTL=100”;ttl: 100;) Phần đứng
trước dấu mở ngoặc là phần Header của luật còn phần còn lại là phần Option. Chi tiết
của phần Header như sau:
• Hành động của luật ở đây là “alert” : một cảnh báo sẽ được tạo ra nếu như các điều
kiện của gói tin là phù hợp với luật (gói tin luôn được log lại mỗi khi cảnh báo được tạo
ra).
• Protocol của luật ở đây là ICMP tức là luật chỉ áp dụng cho các gói tin thuộc loại ICMP.
Bởi vậy, nếu như một gói tin không thuộc loại ICMP thì phần còn lại của luật sẽ không
cần đối chiếu.
• Địa chỉ nguồn ở đây là “any”: tức là luật sẽ áp dụng cho tất cả các gói tin đến từ mọi
nguồn còn cổng thì cũng là “any” vì đối với loại gói tin ICMP thì cổng không có ý nghĩa.
Số hiệu cổng chỉ có ý nghĩa với các gói tin thuộc loại TCP hoặc UDP thôi.
• Còn phần Option trong dấu đóng ngoặc chỉ ra một cảnh báo chứa dòng “Ping with
TTL=100” sẽ được tạo khi tìm thấy điều kiện TTL=100. TTL là Time To Live là một trường
trong Header IP.
II. Ưu nhược điểm:
a. Ưu điểm:

- Quản lý được một phân đoạn mạng

- Trong suốt với người sử dụng và kẻ tấn công

- Cài đặt và bảo trì đơn giản không làm ảnh hưởng đến mạng

- Tránh được việc bị tấn công từ chối dịch vụ DoS đến một host cụ thể

- Có khả năng xác định được lỗi ở tần Network

- Độc lập với hệ điều hành

b. Nhược điểm

- Có thể xảy ra trường hợp báo động giả, tức là không có dấu hiệu bất thường mà
IDS vẫn cảnh báo

- Không thể phân tích được các lưu lượng đã mã hóa như SSH, IP Sec, SSL..

- NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để hoạt
động hiệu quả

- Không thể cho biết việc mạng bị tấn công có thành công hay không, để người
quản trị tiến hành bảo trì hệ thống

- Một trong những hạn chế là giới hạn băng thông, những bộ thu thập dữ liệu phải
thu thập tất cả lưu lượng mạng, sắp xếp và phân tích. Khi tốc độ mạng tăng cao
mà khả năng của bộ thu thập thông tin vẫn vậy. Một giải pháp là phải đảm bảo
cho mạng hoạt động chính xác.

Ngoài ra nó còn một số ưu điểm như:

- Snort là phần mềm mã nguồn mở

- Có thể chạy trên nhiều nền tảng khác nhau Linux, Windows, Salaris..

- Snort thường xuyên được cập nhật. Các luật của snort thường xuyên được
update, người dùng có thể tải về tại địa chỉ https://www.snort.org/.

- Có khả năng phát hiện được số lượng lớn các kiểu thăm dò Scan, TCMP, viruss,
buffer oveflow..

- Snort theo dõi 24/7 với thời gian thật, giúp phát hiện liên tục các xâm nhập vào
hệ thống.

- Có một cộng đồng người dùng và nhà phát triển

 - Có rất nhiều add-on mà không phải là thành phần của Snort nhưng cung cấp
thêm các tính năng và dễ sử dụng.

- Snort không cần phải thay thế bất kỳ cơ sở an ninh hiện có.

3 kịch bản tấn công Dos Snort

Công cụ : phần mềm tạo và phân tích các gói tin hping3
Kịch bản 1: Land Attack
Mô tả: tấn công bằng cách gửi các gói tin SYN ( yêu cầu khởi tạo kết nối)
trong đó địa chỉ nguồn và đích đều là địa chỉ IP của máy nạn nhân. Việc này khiến
máy nạn nhân rơi vào tình trạng liên tục phản hồi với chính nó.
Câu lệnh hping3: hping3 -S -a (sourceIP) (desIP)
Luật phát hiện: alert tcp any any -> any any (msg:"Land attack detected";
flags:S; sameip; sid:5000000;rev:1;)
Kịch bản 2: Smuft Attack
Mô tả: tấn công bằng cách gửi các gói tin ICMP (ping request) trong đó địa
chỉ nguồn là địa chỉ IP nạn nhân, địa chỉ đích là địa chỉ broadcast của một mạng
nào đó. Khi đó, tất cả máy trong hệ thống mạng cùng nhận được request và gửi
phản hồi tới địa chỉ IP nạn nhân.
Câu lệnh hping3: hping3 -1 -a (victim’s IP) (broadcast IP)
Luật phát hiện: alert icmp 192.168.1.3 any -> 192.168.1.0/24 any
(msg:"Smuft attack detected"; itype:8; sid:5000002; rev:1;)
Kịch bản 3: SYN Flood Att
Mô tả: tấn công bằng cách gửi hàng loạt các gói tin SYN ( yêu cầu khởi tạo
kết nối) từ địa chỉ IP giả đến địa chỉ IP của máy nạn nhân. Khi đó, máy nạn nhân sẽ
gửi lại gói SYN/ACK và chờ IP giả phản hồi. Hệ thống cứ chờ mòn mỏi làm tiêu
tốn tài nguyên, dẫn đến treo máy
Câu lệnh hping3: hping3 -S --flood -a (fake IP) (victim’s IP)
Luật phát hiện: alert tcp any any -> 192.168.1.3 any (msg:"TCP SYN flood
attacck detected"; flags:S; threshold: type threshold, track by_dst, count 20,
seconds 60; sid:5000001; rev:1;)
 Kiến trúc và cấu hình Snort
I. Kiến trúc của Snort
Snort bao gồm nhiều thành phần, được chia thành các module. Với mỗi phần có một chứ năng
riêng. Các phần đó là:
1. Modun giải mã gói tin (packet decoder)
2. Modun tiền xử lý (Preprocessors)
3. Modun phát hiện (Detection Engine)
4. Modun log và cảnh báo (Logging and Alerting System)
5. Modun kết xuất thông tin (Out module)
Kiến trúc của Snort được mô tả trong hình sau:

Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin nào di chuyển
qua nó. Các gói tin sau khi bị bắt được đưa vào Modun Giải mã gói tin. Tếp theo gói tin sẽ
được đưa vào Modun Tiền xử lý, rồi Modun Phát hiện. Tại đây tùy theo việc có phát hiện được
xâm nhập hay không mà gói tin có được bỏ qua để lưu thông tiếp hoặc đưa vào Modun Log và
cảnh báo để xử lý. Khi các cảnh báo được xác định Modun kết xuất thông tin sẽ thực hiện
việc đưa cảnh báo ra theo đúng định dạng mong muốn.
a. Cơ chế hoạt động và chức năng của từng thành phần:
o Modun giải mã gói tin
Snort sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thông qua hệ thống. Hình sau mô
tả việc một gói tin Enthernet sẽ được giải mã thế nào:
Một gói tin sau khi được giải mã sẽ được đưa vào Modun Tiền xử lý.
o Modun tiền xử lý
Modun tiền xử lý là một modun quan trọng đối với bất kỳ một hệ thống IDS nào để có thể
chuẩn bị gói dữ liệu đưa vào cho Modun Phát hiện phân tích. Ba nhiệm cụ chính của các
modun loại này là:
Kết hợp lại các gói tin: Khi một lược dữ liệu lớn được gửi đi, thông tin sẽ không đóng gói
toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia gói tin ban đầu thành nhiều gói
tin rồi mới gửi đi. Khi Snort nhận được các gói tin này nó phải thực hiện việc ghép nối lại để có
dữ liệu gốc và từ đó xử lý tiếp. Khi một phiên làm việc của hệ thống diễn ra sẽ có rất nhiều gói
tin được trao đổi. Một gói tin riêng lẻ sẽ không có trạng thái và nếu công việc phát hiện xâm
nhập chỉ dựa hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao. Modun tiền xử lý giúp
Snort có thể hiểu được các phiên làm việc khác nhau từ đó giúp đạt hiệu quả cao hơn trong việc
phát hiện xâm nhập.
Giải mã và chuẩn hóa giao thức(decode/normalize): công việc phát hiện xâm nhập dựa
trên dấu hiệu nhận dạng nhiều khi bị thất bại khi kiểm tra các giao thực có dữ liệu có thể được
thực hiện dưới nhiều dạng khác nhau.
Hoặc thực hiện việc mã hóa các chuỗi này dưới dạng khác. Nếu Snort chỉ thực hiện đơn thuần
việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ sót các hành vi xâm nhập. Do
vậy, một số Modun tiền xử lý của Snort phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các
thông tin đầu vào này để thông tin khi đưa đến modun phát hiện có thể phát hiện được mà
không bỏ sót. Hiện nay Snort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức:
telnet,http,rpc,arp.
Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin tiền xử lý dạng này
thường dùng để đối phó với các xâm nhập không thể hoặc rất khó phát hiện được bằng các luật
thông thường hoặc các dấu hiệu bất thường trong giao thức. Các Modun tiền xử lý dạng này có
thể thực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra từ đó tăng cường thêm
tính năng cho Snort.
o Modun phát hiện
Đây là Modun quan trọng nhất của Snort. Nó chịu trách nhiệm phát hiện các dấu hiệu xâm nhập.
Modun phát hiện sử dụng các luật được định nghĩa trước để so sánh với dữ liệu thu thập được từ
đó xác định xem có xâm nhập xảy ra hay không. Rồi tiếp theo mới có thể thực hiện một số công
việc như log, tạo thông báo và kết xuất thông tin.
Một vấn đề rất quan trọng trong Modun phát hiện là vấn đề thời gian xử lý các gói tin: một IDS
thường nhận được rất nhiều gói tin và bản thân nó cũng có rất nhiều luật xử lý. Có thể mất những
khoảng thời gian khác nhau cho việc xử lý các gói khác nhau và khi thông lượng mạng quá lớn
có thể xảy ra việc bỏ sót hoặc không phản hồi được đúng lúc. Khả năng xử lý của modun phát
hiện dựa trên một số yếu tố như sau: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải
trên mạng.
Một số Modun phát hiện cũng có khản năng tách các phần của gói tin ra và áp dụng các luật lên
từng phần của gói tin đó. Các phần đó là:
- IP header
- Header ở tầng giao vận: TCP, UDP
- Header ở tầng ứng dụng: DNS header, HTTP header, FTP header,…
- Phần tải của gói tin
Một vấn đề trong Modun phát hiện là việc xử lý thế nào khi một gói tin bị phát hiện bở nhiều
luật. Do các luật trong Snort cũng được đánh thứ tự ưu tiên nên một gói tin khi bị phát hiện bởi
nhiều luật khác nhau, cảnh báo được đưa ra sẽ cảnh báo ứng dụng với luật có mức ưu tiên lớn
nhất.
o Modun Log và cảnh báo
Tùy thuộc vào việc Modun phát hiện có nhận dạng được xâm nhập hay không mà gói tin có thể
bị ghi log hoặc đưa ra cảnh báo. Các file Log là các file text, dữ liệu trong đó có thể được ghi
dưới nhiều định dạng khác nhau, chẳng hạn là tcpdump.
o Modun kết xuất thông tin
Modun này có thể thực hiện các thao tác khác nhau tùy theo việc bạn muốn lưu kết quả xuất ra
như thế nào. Tùy theo việc cấu hình hệ thống mà nó có thể thực hiện các công việc như là:
- Ghi log file
- Ghi syslog: syslog là một chuẩn lưu trữ các file log được sử dụng rất nhiều trong Unix,
Linux
- Ghi cảnh báo vào cơ sở dữ liệu
- Tạo file log dạng xml: việc ghi log dạng xml rất tiện cho việc trao đổi và chia sẻ dữ liệu
- Cấu hình lại Routerm firawall
- Gửi các cảnh báo được gói trong gói tin sử dụng giao thức SNMP. Các gói tin dạng
SNMP này sẽ được gửi tới một SNMP server từ đó giúp cho việc quản lý các cảnh báo và
hệ thống IDS một cách tập trung và thuận tiện hơn.
- Gửi các thông điệp SMB (Server Message Block) tới các máy tính Windows
Nếu không hài lòng với các cách xuất thông tin như trên, ta có thể viết các Modun kết xuất thông
tin riêng tùy theo mục đích sử dụng.
II. Cấu hình và cài đặt Snort
A. Cài đặt
B1: tải source và đặt trên trang chủ snort.org và cài đặt

- Để cài đặt Snort, yêu cầu cần phải có 4 thành phần tiên quyết cần cài đặt trước, bao gồm
pcap (libpcap-dev), PCRE (libpcre3-dev), Libdnet (libdumbnet-dev), DAQ, trong đó
pcap, PCRE, Libdnet sẵn có câu lệnh hỗ trợ cài đặt trên Ubuntu, riêng chỉ có DAQ không
có, nên cần tải source về.

- Sử dụng WinSCP để sao chép các gói vừa tải về qua máy Ubuntu Server 16.04 có địa chỉ
IP giả định là 192.168.139.140

- Thao tác kéo thả để đưa các gói tin cần sao chép sang máy Ubuntu Server.

- Trên máy Ubuntu Server, dùng lệnh ls kiểm tra các gói đã được sao chép qua:

- Sử dụng PuTTY kết nối SSH đến máy Ubuntu Server để thực hiện thao tác cài đặt ở các
bước dưới:

B2: Cài đặt các gói hỗ trợ cần thiết trước khi cài Snort

- Cài đặt các công cụ phục vụ cho build phần mềm bằng cách sử dụng lệnh:
 sudo apt-get install -y build-essential

- Sau đó, cài các thành phần tiên quyết được hỗ trợ cài đặt bằng câu lệnh trong Ubuntu:

- Cài thành phần tiên quyết DAQ:

- Cài gói tiên quyết trước để hỗ trợ cho cài đặt DAQ:

sudo apt-get install -y bison flex

- Tạo thư mục snort_src và di chuyển vào thư mục này để tiến hành di chuyển các file đã
sao chép qua Ubuntu server (daq-2.0.6.tar.gz, snort-2.9.9.0.tar.gz và snortrules-snapshot-
2990.tar.gz) vào thư mục này

- Tiến hành giải nén và cài đặt file daq-2.0.6.tar.gz bằng câu lệnh lần lượt là:

tar -xvzf daq-2.0.6.tar.gz

cd daq-2.0.6
./configure
make
sudo make install

- Khi thực thi câu lệnh ./config, output sẽ hiển thị trạng thái các modules của DAQ.

B3: Cài Đặt Snort và kiểm tra cài đặt

- Cài đặt các gói tiên quyết cho việc cài đặt Snort bằng các câu lệnh:
 - Di chuyển đến thư mục snort_src. Vì ở bước trên ta đã di chuyển tất cả các file phục vụ
cho việc cài đặt Snort vào thư mục snort_src, nên ở đây ta tiến hành giải nén file snort-
2.9.9.0.tar.gz, sau đó di chuyển vào thư mục vừa giải nén và bắt đầu cài đặt qua từng
bước như sau:

tar -xvzf snort-2.9.9.0.tar.gz

cd snort-2.9.9.0
./configure –enable-sourcefire
make
sudo make install

- Sử dụng câu lệnh sudo ldconfig để chắc chắn thư việc chia sẻ đã được cập nhật

- Để tạo một liên kết đặc trưng đến Snort binary trong /usr/sbin, dùng câu lệnh:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort

- Kiểm tra Snort, sử dụng cờ -V để xác định version của Snort và các file cấu hình trên nó:

- Sau khi đã cài đặt snort, không muốn nó chạy bằng user root, vì vậy ta cần phải tạo một
user và group có tên là snort. Để tạo một user và group mới, sử dụng hai lệnh dưới đây:

sudo groupadd snort

sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
B4: Cấu hình Snort và Kiểm tra cấu hình
Snort cần một số file và thư mục để hoạt động cùng các quyền hạn trên các thư mục này, bao
gồm các thư mục: cấu hình và các rule được lưu trong /etc/snort, các cảnh báo được xuất ra
/var/log/snort, các rule được biên dịch sẽ lưu trong /usr/local/lib/snort_dynamicrules. Tạo các thư
mục cần thiết:

- Tạo thư mục log:

- Tạo nơi lưu trữ các quy tắc động:

 - Sao chép các file cấu hình và preprocessor cần thiết cần cho hoạt động của Snort vào thư
mục /etc/snort. Danh sách các file này bao gồm:

- Với snortrule-snapshot-2990.tar.gz đã sao chép vào máy Ubuntu Server trước đó, giải nén file
này vào thư mục /etc/snort:

- Ta được danh sách các thư mục rule được định nghĩa sẵn gồm rules, preproc_rules, so_rules:

- Tạo ra các tập tin cấu hình và các tập tin chứa quy tắc cho snort bằng cách tạo 2 file
white_list.rules và black_list.rules trong thư mục /etc/snort/rules:

- Thiết lập quyền cho các thư mục và tập tin đã tạo:

- Với các thư mục này, cần thay đổi quyền sở hữu để đảm bảo Snort có thể truy xuất đến
chúng:

- Thay đổi file cấu hình của Snort:

Trong file /etc/snort/snort.conf, bạn sẽ cần phải thay đổi biến HOME_NET. Ta có thể khai báo
Internal network và các network được xem là External, các HTTP servers, DNS servers, danh
sách các port, …
HOME_NET và EXTERNAL_NET có thể là một địa chỉ IP chính xác hoặc một địa chỉ
network. Để khai báo nhiều địa chỉ IP hoặc network, bạn cần khai báo tất cả các IP hoặc network
trong cặp dấu ngoặc vuông và cách nhau bởi dấu phẩy. Ở đây, nhóm thực hiện với
EXTERNAL_NET là những IP khác mạng HOME_NET(192.168.139.0/24)

- Thay đổi các tham số PATH trong file cấu hình cho phù hợp với cấu trúc thư mục của Snort đã
tạo trên máy:

- Kiểm tra để chắc chắn cấu hình chính xác:

B.Cấu Hình

Thành phần
Snort sử dụng file cấu hình lúc khởi động. Một file cấu hình snort.conf được chứa sẵn trong
source code của Snort /etc/snort/snort.conf. Có thể đặt tên tùy ý cho file cấu hình, tuy nhiên tên
thông thường là snort.conf. Khi muốn sử dụng trong hoạt động của Snort thì kèm theo option -c
trong câu lệnh cùng với tên của file cấu hình.
File cấu hình được tổ chức thành nhiều phần khác nhau:

 Các biến network và các biến cấu hình

 Cấu hình module Decoder và Detection engine của Snort

 Cấu hình tiền xử lý (Pre-processor)

 Cấu hình output

 File inclusions

Cụ thể, từng thành phần như sau:

File cấu hình được tổ chức thành nhiều phần khác nhau:

Cụ thể, từng thành phần như sau:

1.Các biến network và biến cấu hình

Các biến được định nghĩa trong file cấu hình được dùng trong các rule của Snort.
Một số biến mặc định trong snort: HOME_NET (IP hay dải IP của hệ thống cần được bảo vệ),
EXTERNAL_NET (thường là IP và dải IP không thuộc hệ thống, tức là khác
HOME_NET), HTTP_PORTS (port 80 mặc định cho HTTP, 443 cho HTTPS),
SHELLCODE_PORTS (thường được thiết lập !80), ORACLE_PORTS (mặc định là port 1521)
… Các biến được sử dụng để xác định các server đang chạy các dịch vụ như: DNS_SERVERS,
SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS, TELNET_SERVERS,
SNMP_SERVERS
2. Cấu hình Decoder và Detection Engine
Mặc định decoder của Snort sẽ cảnh báo việc sử dụng các gói TCP có option không thông dụng,
do ít gặp trên mạng nên xem như là hành động không hợp lệ. Người dùng có thể tắt các cảnh báo
này bằng cách bỏ ký tự “#” vào trước vào các dòng lệnh disable một loại cảnh báo nào đó, ví dụ
config disable_decode_alerts.
Một cách tương tự với cấu hình Detection:

3. Cấu hình load thư viện tự động

4. Cấu hình Preprocessor

Các bộ tiền xử lý và các plug-ins đầu vào hoạt động trên các gói tin nhận được trước khi các
Snort rule được áp dụng trên chúng, chạy sau khi gói tin được decode và trước khi gọi detection
engine. Cấu hình bộ tiền xử lý cung cấp các thông tin cơ bản về thêm hoặc bớt các bộ tiền xử lý
của Snort. Phần cấu hình này có định dạng:
preprocessor <tên>[: <option cấu hình>]

Mỗi pre-processor có thể chấp nhận các option hay tham số khác nhau được cung cấp phía sau
tên của nó. Ngoài những preprocessor được định nghĩa sẵn, người dùng có thể viết preprocessor
của riêng mình với hướng dẫn được cung cấp trong source code của Snort.
5. Cấu hình module output
Module output, hay còn được gọi là output plug-ins, thay đổi đầu ra từ các rule của Snort. Việc
cấu hình của module này thường có định dạng chung như sau:
output <tên module>[: <option cấu hình>]

6. Tùy chỉnh các cảnh báo Preprocessor, Decoder, các Rules và các Shared Object Snort
Rule
File cấu hình có thể chứa các file khác với từ khóa include. Những file được thêm này có thể là
những file chứa các thông tin cấu hình hay chứa các rule được Snort sử dụng (có đuôi .rules).
Ngoài ra, từ khóa include cũng có thể dùng cho các file classification.config trong trường hợp cài
đặt việc phân loại và độ ưu tiên trong Snort, hoặc reference.config chứa các liên kết đến các
trang web chứa thông tin về các cảnh báo.
 Định dạng: include <path_to_file>
Ví dụ:

7.Cấu hình bộ luật

Phần này chỉ ra các file luật được dùng, cú pháp như sau:

include RULE_PATH/RULE_FILE

Ví dụ: Yêu cầu Snort sử dụng luật phát hiện DDOS bằng dòng lệnh sau:

include $RULE_PATH/ddos.rules

Trong đó $RULE_PATH là biến chỉ đến thư mục chứa các file luật còn ddos.rules là file luật.

Tài liệu tham khảo:

https://www.btis.vn/blog/page/2?
fbclid=IwAR0o0k0xIkQOjpR1_QrTHUL9gZr8hzJGjlrtBx20jY4GvqYMNjXxaxUJ7E
Module giải mã gói tin: Bắt các gói tin trong hệ thống mạng cho snort và đó là các gói tin chưa
qua xử lý.
Module tiền xử lý:
- Kết hợp lại các gói tin
- Giải mã và chuẩn hóa giao thức
- Phát hiện xâm nhập bất thường
Module phát hiện:
Module cảnh báo và đưa ra log:
Module kết xuất thông tin (lưu trữ về các cảnh báo đó và log):