Tìm hiểu, cài đặt cấu hình

Snort
NHÓM 9:
NGUYỄN THÀNH LONG-20187255
PHẠM MINH LONG-20187258
TRẦN PHI LONG-20187260
Tìm hiểu Snort
• Snort là gì?
• Cấu trúc cơ bản Snort
• Cấu trúc Snort Rule
Snort là gì
• -Snort là một hệ thống phát
hiện và ngăn chặn xâm nhập
mạng miễn phí và nguồn mở.
Cấu trúc cơ bản Snort
• Module giải mã gói tin
• Module tiền xử lý
• Module phát hiện
• Module log và cảnh báo
• Module kết xuất thông tin
Module giải mã gói tin

• Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu
thông qua hệ thống.
• Một gói tin sau khi được giải mã sẽ đưa tiếp vào module tiền xử lý.
Module tiền xử lý

• 3 nhiệm vụ chinh
• Kết hợp lại các gói tin
• Giải mã và chuẩn hóa giao thức
• Phát hiện các xâm nhập bất thường
Module phát hiện

• Chịu trách nhiệm phát hiện các dấu hiệu xâm nhập.
• Là module quan trọng nhất của Snort
Module log và cảnh báo
• Ghi log và đưa ra cảnh báo
• File log là các file dữ liệu có thể ghi dưới nhiều định dạng khác nhau
Module kết xuất thông tin

• Ghi log file

• Ghi syslog
• Ghi cảnh báo vào cơ sở dữ liệu
• Tạo file log XML
• Cấu hình Router, firewall
• Gửi các cảnh báo
Cấu trúc cơ bản của 1 Snort Rule
Kịch bản tấn công
• Port Scanning
• Nmap TCP Scan
• Nmap UDP Scan

• DOS
• Password Guessing
Port Scanning Nmap TCP Scan
Port Scanning Nmap TCP Scan
Port Scanning Nmap TCP Scan
Port Scanning Nmap UDP Scan
Port Scanning Nmap UDP Scan
Port Scanning Nmap UDP Scan
DOS
DOS
DOS
Password Guessing
Password Guessing
Password Guessing