Scribd Logo
Upload

Welcome to Scribd!

  • Snort

    Uploaded by

    Trung Hậu Đặng
    3 views18 pages
    nmj

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    nmj

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    3 views18 pages

    Snort

    Uploaded by

    Trung Hậu Đặng
    nmj

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 18

    ĐỀ TÀI: TRIỂN KHAI SNORT

    Các thành viên trong nhóm 02:


    Lê Quốc Khánh – 21520978

    Trần Trọng Hiếu – 21520859

    Trần Nguyễn Quốc Bảo – 21521865


    1. Giới thiệu
    1.1. Snort là gì?
     Snort là một phần mềm IDS (Intrusion Detection System) phát triển bởi Martin Roesch
    dưới dạng mã nguồn mở, hoàn toàn miễn phí và hoạt động trên nhiều hệ điều hành.
     Chức năng chính của Snort là phát hiện các xâm nhập bất thường từ mạng và đưa ra cảnh
    báo cho người dùng. Ngoài ra, Snort cũng có thể hoạt động với chức năng của một IPS
    (Intrusion Prevention System).

    Martin Roesch – cha đẻ của Snort Biểu tượng của Snort


    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

    Mô hình kiến trúc của Snort


    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

    Snort sử dụng thư viện pcap để bắt


    các gói tin lưu thông trên mạng đi
    qua hệ thống qua các giao thức
    Ethernet, Token Ring, …
    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

     Kết hợp các gói tin đã phân mảnh thành


    gói tin ban đầu.
     Giải mã, sắp xếp lại thứ tự các gói tin đến.
     Phát hiện các xâm nhập bất thường.
    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

     Tách gói tin nhận được thành các thành phần:


    • IP header.  Áp dụng các luật (rule) lên từng
    • Header tầng Transport (TCP, UDP). thành phần, so sánh với gói tin gốc để
    • Header tầng Application (HTTP, FTP, …). đưa ra cảnh báo có phát hiện xâm
    • Payload. nhập hay không.
    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

    Quyết định gói tin có bị ghi vào


    log hoặc đưa ra cảnh báo khác.
    1. Giới thiệu
    1.2. Kiến trúc của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

    Cung cấp các lựa chọn về việc lưu kết


    quả xuất ra dưới hình thức nào, phụ
    thuộc vào cách ta cấu hình hệ thống
    Snort (ghi log file; ghi syslog; …)
    1. Giới thiệu
    1.3. Tóm tắt hoạt động của Snort

    Packet Detection Logging and Output


    Preprocessors
    Decoder Engine Alert System Modules

     Packet Decoder: giải mã gói tin đến.


     Preprocessors: xử lý lại gói tin.
     Detection Engine: kiểm tra dấu hiệu xâm nhập từ gói tin.
     Alerts/Logging: đưa ra cảnh báo nếu phát hiện gói tin xâm nhập.
     Output: lưu lại kết quả.
    1. Giới thiệu
    1.4. Cấu trúc luật của Snort

    Rule Header Rule Option

    Chứa thông tin về hành động mà luật Chứa một thông điệp cảnh báo và các
    đó sẽ thực hiện khi phát hiện dấu hiệu thông tin về các phần của gói tin dùng
    xâm nhập từ gói tin. để tạo nên cảnh báo.
    1. Giới thiệu
    1.4. Cấu trúc luật của Snort
    Ví dụ về một luật trong Snort
    Action
    Protocol
    Source AddressDestination Address
    Source Port Destination Port
    Direction Thông điệp cảnh báo Số định danh

    alert tcp 192.168.1.10 21 -> 192.168.1.20 any (msg: “Phat hien xam nhap”; sid: 1000010)

    Rule Header Rule Option


    2. Triển khai
    2.1. Topology

    Máy Kali Linux: thực hiện các


    phương pháp tấn công lên máy
    Ubuntu thông qua DVWA.

    Máy Ubuntu: sử dụng Snort


    phát hiện các xâm nhập mạng
    trái phép từ máy Kali Linux và
    xuất ra cảnh báo.
    2. Triển khai
    2.2. Cài đặt Snort, LAMP và DVWA
    Demo hướng dẫn cài đặt Snort, LAMP và DVWA
    2. Triển khai
    2.3. Phát hiện tấn công SQL Injection
     SQL Injection là một kỹ thuật tấn công vào cơ sở dữ liệu của một ứng dụng web, mà
    người tấn công có thể thực thi các câu lệnh SQL không mong muốn và có thể gây ra thiệt
    hại nghiêm trọng cho hệ thống.
    Ví dụ
    • Một trang web được sử dụng để thanh toán hóa đơn trực tuyến, ví dụ như đặt vé xem
    phim, đặt vé tàu, …:
    SELECT * from customers WHERE account = “123456”;

    • Người tấn công sử dụng SQL Injection để có thể đánh cắp toàn bộ thông tin khách
    hàng một cách dễ dàng bằng cách chèn vào câu truy vấn:
    SELECT * from customers WHERE account = “” OR “1” = “1”;
    2. Triển khai
    2.3. Phát hiện tấn công SQL Injection
    Demo sử dụng Snort để cảnh báo tấn công SQL Injection qua DVWA
    2. Triển khai
    2.4. Phát hiện tấn công Command Injection
     Command Injection là một phương pháp tấn công mạng cho phép kẻ tấn công chèn thêm
    các lệnh ngầm vào phần input ứng dụng và thực thi được các câu lệnh đó ngoài phạm vi
    kiểm soát của ứng dụng.
    2. Triển khai
    2.4. Phát hiện tấn công Command Injection
    Demo sử dụng Snort để cảnh báo tấn công Command Injection
    qua DVWA
    CẢM ƠN CÔ VÀ CÁC BẠN ĐÃ LẮNG NGHE!

    You might also like