banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....)  XML
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 06/06/2014 03:58:35 (+0700) | #1 | 280765
[Avatar]
hoctap016
Member

[Minus]    0    [Plus]
Joined: 13/04/2014 23:04:27
Messages: 1
Location: Việt Nam
Offline
[Profile] [PM] [Yahoo!]
Em mới gần đây gặp phải 1 đề tài làm về hệ thống IDS (Intrusion detection system) đang cần xin 1 ví dụ cụ thể để học hỏi (đã tìm google khá nhiều và khá lâu mà vẫn chưa thấy nên rất cần sự giúp đở :'( )... càng cụ thể càng tốt:
về việc bắt gói tin tấn công thế nào, decode ra sao của các gói tin đó, dấu hiệu nhận biết kiểu tấn công đó như thế nào khi so sánh với rule chuẩn, và cuối cùng là hệ thống sẽ thông báo động lại như thế nào.... Sư huynh nào đi trước có kinh nghiệm xin chỉ giáo em 1 chút nếu có hình ảnh hướng dẫn hay link đọc cụ thể thì càng tốt... xin cảm ơn mấy anh ạ!
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 07/06/2014 11:33:11 (+0700) | #2 | 280781
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Hình như bồ chưa đọc một chút xíu gì thì phải, kiếm quyền sách nào về Snort đọc nhé, có đầy đủ câu trả lời trong đó rồi.
Jazz
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 07/06/2014 15:37:24 (+0700) | #3 | 280784
[Avatar]
hoctap0168
Member

[Minus]    0    [Plus]
Joined: 28/06/2013 06:50:52
Messages: 3
Offline
[Profile] [PM] [Yahoo!]
Dạ e có tìm sách rồi ạ! Nhưng sách về snort chỉ đưa ra cách cấu hình dựng rule và alert lúc bắt dc lổi thôi chứ ko đưa ra dấu hiệu nhìn thấy dc trong gói tin 1 cách cụ thể là có dấu hiệu gì ... smilie
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 08/06/2014 18:30:23 (+0700) | #4 | 280789
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Bạn thử đọc quyển sách của bạn và trả lời vài câu thử nhé.

1. Có mấy phương pháp để Snort xác định một request là "nguy hai" hay bình thường

2. Giải thích một trường đơn giản là Ping of Death (loại tấn công này ko còn tác dụng với các OS sau này) so với Ping bt và viết một rule để detect các request PoD.
Jazz
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 09/06/2014 12:39:44 (+0700) | #5 | 280797
[Avatar]
hoctap0168
Member

[Minus]    0    [Plus]
Joined: 28/06/2013 06:50:52
Messages: 3
Offline
[Profile] [PM] [Yahoo!]
Để mình trả lời địa khái 2 câu hỏi của bạn xem đúng ý bạn chưa nhá smilie:
1. Dựa trên snort có thể xem như 1 IDS nó thường phát hiện nguy hại trên 1 số cách nhất định ví dụ ở đây mình tìm hiều nhờ đọc trên mạng và dịch dc thì mình biết dc 3 cách:
-Dựa vào sự bất thường ví dụ như là 1 máy tính thường truy cập vào 1 web site theo 1 giờ cố định đột nhiên một hôm nó liên tục truy cập vào trang web đó vào 1 thời gian như ngoài giờ làm việc chẵng hạn đó là điều bất thường...
-Phát hiện nhờ chế độ tự học
nó sẽ dc bật lên lúc bắt đầu hoạt động của hệ thống nó sẽ lưu lại các hoạt động bình thường của hệ thống để có thể so sánh và phát hiện ra lập tức nếu hệ thống xảy ra điều bất thường... và quá trình tự học này sẽ ngưng lại nếu dấu hiệu tấn công này bắt đầu cho đến khi cuộc tấn công kết thúc để ko bị ghi nhận lầm dấu hiệu tấn công là dấu hiệu bình thường của hệ thống
-Phát hiện dựa trên protocol
như ở trên câu hỏi đầu tiên tui có nói tiến trình của nó là sẽ decode->so sánh rule->alarm, decode ở đây là phân tích các gói tinh trên mạng hoặc là các file log lưu lại trên máy để tìm ra các đấu hiều mà nó so sánh với rule chuẩn mà do người dùng đặt ra hoặc hệ thống cho sẵn như trên website của snort có cung cấp 1 số gói source free sau đó từ đó mà báo động....

2. Câu 2 này bạn hỏi về Ping of Death cũng theo google và tìm hiểu blabblab trên mạng như đã nói ở trên thì nó theo mình dc biết cũng khá tương tự như cách ping thông thường chỉ khác là nói gửi với IPv4 rất lớn, lớn hơn khoản 65535 byte bằng chia nhỏ packet ra để gửi thành các gói nhỏ hơn...(mình tường gọi dạng này là teardrop trong DDoS có thể mình nhầm lẫn như mình thấy khá giống ko biết có đúng ko có sai chỉ giáo thêm giúp mình) gây ảnh hưởng tới việc tràn bộ nhớ đệm...
còn việc bạn kêu mình dựng lên rule cho nó thật sự là bất khả thi vì mình ko hiểu cách dựng rule như thế nào nên mới lên đây hỏi về dấu hiệu nhận biết các kiểu tấn công trong 1 gói tin cụ thể như thế nào và dựng rule lên như thế nào mà ...
Mình chỉ bik sơ sơ là cấu trúc 1 rule gồm: alarm | prototype | IP | port | -> | IP | port
trong đó IP và port đầu là IP và port của ngồn còn cái sau là IP và port của đích
mình thật sự rất muốn hiểu thật sự thì dấu hiệu và rule dc dựng thực tế như thế nào nên mới tha thiết lên đây hỏi nếu bạn có thì gửi tài liệu mà bạn đọc dc chỉ chỗ cụ thể giúp chứ thật sự mình trả lời dc cả 2 câu cũng chả lên đây lập topic hỏi làm gì... tại câu hỏi bạn y chang câu mình hỏi ở trên =_="
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 09/06/2014 20:45:08 (+0700) | #6 | 280801
[Avatar]
quangteospk
Member

[Minus]    0    [Plus]
Joined: 20/10/2009 04:05:30
Messages: 123
Offline
[Profile] [PM]
Câu trả lời của bạn tạm chấp nhận được dù nó có vài điểm chưa chính xác.

Snort có hai cách chính để detect một mối nguy hại

1. Phát hiện dựa trên sự bất thường (anomaly based ID) (thực ra cái bạn nói protocol cũng chính là thằng này). Cái này đơn giản hiểu là cái gì không bình thường -> bất thường. Vậy định nghĩa như thế nào là bất thường -> không theo chuẩn, ko theo rfc, ko theo protocol.

Ví dụ, gói tin ICMP có kích thước 65.535 bytes là bất thường, TCP Handshake req đầu tiên là cờ FIN, RST gì đó là bất thường.

2. Phát hiện dựa trên mẫu (misue/sign) hiểu đơn giản là tôi có một mẫu, cái gì giống với mẫu thì cảnh báo

Ví du: Nếu có chiếc xe nào màu đỏ đi qua cách cổng thì chuông reo

Ở đây `xe màu đỏ` là dấu hiệu dùng để nhận biết.

Nhận diện dựa theo pp này còn có thể chia làm 2 loại nhỏ

- Theo biểu thức, theo mẫu (như ví dụ trên)
- Dựa theo phân tích chuyển trạng thái (ví dụ đúng theo mẫu là a -> b -> c, bạn phát hiện nó lại là a -> b -> c, sai, cảnh báo)

Còn về câu số 2, bạn đã biết dấu hiệu là gói tin đó quá lớn thì coi như biết dấu hiệu của kiểu tấn công đó rồi, tương tự với các kiểu tấn công khác, để viết rule thì học cách viết từ đây http://manual.snort.org/node27.html


Trong thực tế thì Snort cung cấp cho bạn một bộ rule miễn phí có giới hạn, và nhiều rule hơn nếu bạn trả tiền, ngoài ra còn nhiều chỗ khác cũng có thể cung cấp rule cho bạn nhưng Snort cũng như những nơi đó không đảm bảo cho bạn là nếu bạn có bộ rule đó thì có thể chặn tất cả các loại tấn công.

Mỗi môi trường, hệ thống sẽ gặp những kiểu tấn công khác nhau, hình thức khác nhau, nhiệm vụ của bạn là tìm cách, học cách phân tích và viết rule, viết rồi điều chỉnh, điều chỉnh rồi lại phân tích. Đó là các bước để bạn phân tích và xây dựng một hệ thống IDS

Jazz
[Locked] [Up] [Print Copy]
  [Question]   Xin ví dụ về hệ thống IDS (ví dụ hệ thống snort....) 09/06/2014 22:16:52 (+0700) | #7 | 280802
[Avatar]
hoctap0168
Member

[Minus]    0    [Plus]
Joined: 28/06/2013 06:50:52
Messages: 3
Offline
[Profile] [PM] [Yahoo!]
Cảm ơn bạn nhiều, Khi có gì không hiểu mình hỏi bạn tím được không?
[Locked] [Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|