Mô tả: snort phát sinh thông báo được log lại là: “Possible TCP Dos” từ any IP và any

port thuộc giao thức tcp đến dãy địa chỉ IP HOME_NET khi có dấu hiệu tấn công Dos. Khi
có quá 120 gói tin từ nguồn trong 15 giây sẽ kích hoạt rule.
Cách Bypass: ta có thể giảm số lượng gói tin tới đích trong 15 giây xuống dưới 120 gói,
chẳng hạn như 119, 118…
Cách khắc phục: ta cần xác định số lượng gói tin tối đa có thể chịu đựng được của hệ
thống trong một khoảng thời gian nhất định, từ đó đưa ra rule hợp lý. Giả sử hệ thống
có thể chịu được tối đa 150 gói trong 15s thì rule của chúng ta sẽ là 149 chẳng hạn, để
có thể hacker muốn Dos dưới 149 gói thì cũng không ảnh hưởng đến hệ thống, mà Dos
trên 149 gói sẽ gặp phải rule ngăn chặn.
Mô tả: Chúng ta có 2 rule ngăn chặn SQL Injection Attack lấy username password. Snort
sẽ kiểm tra nội dung gói tin tcp từ bất kì đâu đến địa chỉ HOME_NET port 80 xem có nội
dung “--” hay là “#” hay không, nếu có snort sẽ sinh ra thông báo “Comment SQL
Injection Detected” và được log lại.
Cách Bypass: Ngoài việc vượt quả xác thực người dùng thì kẻ tấn công vẫn có thể đánh
cắp dữ liệu cơ sở dữ liệu theo một số cách khác.
+ Không sử dụng các mẫu câu SQL inject liên quan đến “--” hay “#” hacker có thể dùng
các mẫu câu liên quan đến ORDER BY, UNION SELECT, METADATA…

Cách khắc phục:

Kiểm tra tất cả các dữ liệu đầu vào, đặc biệt dữ liệu nhập từ người dùng và từ các nguồn
không tin cậy;

Kiểm tra kích thước và định dạng dữ liệu đầu vào;

Tạo các bộ lọc để lọc bỏ các ký tự đặc biệt (như *, ‘, =, --) và các từ khóa của ngôn ngữ
SQL (AND, OR, SELECT, INSERT, UPDATE, DELETE, DROP,....) mà kẻ tấn công có
thể sử dụng;

Sử dụng các công cụ rà quét lỗ hổng chèn mã SQL, như SQLMap, hoặc Acunetix
Vulnerability Scanner để chủ động rà quét, tìm các lỗ hổng chèn mã SQL và có biện pháp
khắc phục phù hợp.
Mô tả rule: rule phát hiện và thông báo “MS15-034 Range Header HTTP.sys Exploit” các
gói tin tcp từ External network tới Home network port 80. Khi các gói tin mang content
“Range: byte=0-18446744073709551615” và không quan tâm đến chữ hoa chữ thường.
Tấn công này nhằm mục đích kiểm tra xem hệ thống có dễ bị tấn công bằng lỗ hổng
MS15-034 hay không. Nếu kẻ tấn công nhận được thông điệp phản hồi từ server
“Requested Header Range Not Satisfitable” thì máy tính có khả năng bị tấn công bằng lỗ
hổng này.
Cách bypass:
+ Thêm khoảng trắng một cách hợp lệ
“Range: byte = 0 - 18446744073709551615”
+ Thêm 0 vào đầu các số
“Range: byte=0-018446744073709551615” (Thêm 0 trước 18446744073709551615)
+ Thêm range kiểm tra
“Range: byte=0-10,11-18446744073709551615”
Cách khắc phục:
+ Lỗ hổng này thường xảy ra đối với các phiên bản cũ của windows như window7/8/8.1,
window server 2008R2.. -> nâng cấp máy chủ window lên mới nhất.
+ Nâng cấp rule snort:
alert tcp $EXTERNL_NET any -> $HOME_NET 80 (msg: " MS15-034 Range Header
HTTP.sys Exploit"; content: "|0d 0a|Range: bytes="; nocase; content: "-"; within: 20 ;
byte_test: 10,>,1000000000,0,relative,string,dec ; sid: 1000001;)