Professional Documents
Culture Documents
IDS IPS
• Đặt cạnh lưu lượng • Đặt ngay trên đường đi
mạng, lưu lượng mạng lưu lượng mạng
được switch copy qua • Tăng độ trễ cho mạng
IDS
• Ngay lập tức chặn gói tin
• Không tăng độ trễ độc hại
• Không thể ngay lập tức
chặn gói tin độc hại
Cấn Thị Phượng 8
Snort
• Chạy trên các nền tảng: Windows, MAC, Linux, Unix
• Có thể phân tích lưu lượng thời gian thực
• Logging packet
• Phân tích giao thức
• Tìm và khớp nội dung
• Phát hiện tấn công và thăm dò
• Buffer Overflows
• Port scan
• CGI attacks
• SMB probes
• OS Fingerprinting attempt
•…
Cấn Thị Phượng 9
Tốc độ của snort
• Phụ thuộc vào
• Số luật phải xử lý
• Tốc độ xử lý của máy tính cài snort
• Tốc độ của Internal Bus
• Tốc độ mạng
Wind
XML file, ows
SMB machi
message ne
Sending MySql
SNMP, Datab
trap, ase
logging
Sending SYSlog
message Sever
bugtraq http://www.securityfocus.com/bid/
cve http://cve.mitre.org/cgi-bin/cvename.cgi?name=
nessus http://cgi.nessus.org/plugins/dump.php3?id=
mcafee http://vil.nai.com/vil/content/v_
osvdb http://osvdb.org/show/osvdb/
msb http://technet.microsoft.com/en-us/security/bulletin/
url http://
luật alert. Điều này cho phép thực thi passive/IDS mode.
• -process-all-events thực hiện theo thứ tự các luật