TRẦN

TUẤN

ANH

HỆ

THỐNG

THÔNG

TIN

2012

–

2013

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


HÀ NỘI

2014
HÀ NỘI - 2014

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. HOÀNG XUÂN DẬU
HÀ NỘI - 2014

i
LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi dưới sự hướng
dẫn của TS. Hoàng Xuân Dậu, kết quả đạt được trong luận văn là sản phẩm của
riêng cá nhân, không sao chép lại của người khác. Trong toàn bộ nội dung của luận
văn, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiều
nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích
dẫn hợp pháp. Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng
được ai công bố trong bất kỳ công trình nào khác.



LỜI CAM ĐOAN 1
MỤC LỤC ii
DANH MỤC TỪ VIẾT TẮT iv
DANH SÁCH HÌNH VẼ vi
DANH SÁCH CÁC BẢNG vi
MỞ ĐẦU 1
CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 2
1.1. Khái niệm tấn công đột nhập mạng 2
1.2. Các dạng tấn công 2
1.2.1. Tấn công bằng mã độc 2
1.2.2. Tấn công vào mật khẩu 2
1.2.3. Tấn công từ chối dịch vụ 3
1.2.4. Tấn công giả mạo địa chỉ, nghe trộm 3
1.2.5. Tấn công kiểu phát lại và người đứng giữa 3
1.2.6. Tấn công bằng bom thư và thư rác 3
1.2.7. Tấn công sử dụng cổng hậu 4
1.2.8. Tấn công kiểu Social Engineering 4
1.2.9. Tấn công Pharming 4
1.3. Các phương pháp phát hiện tấn công đột nhập mạng 5
1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu 5
1.3.2. Phương pháp phát hiện dựa trên bất thường 6
1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức 7
1.4. Các hệ thống phát hiện tấn công đột nhập mạng 8
1.4.1. Khái niệm hệ thống phát hiện xâm nhập 8
1.4.2. Chức năng của IDS 8
1.4.3. Phân loại IDS 9
1.4.4. Giới thiệu một số hệ thống IDS 13
1.5. Kết chương 15
CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP

3.2.4. Các công cụ sử dụng trong hệ thống Snort 51
3.3. Thử nghiệm một số kịch bản phát hiện xâm nhập 54
3.3.1. Mô hình thử nghiệm 54
3.3.2. Kịch bản 1 55
3.3.3. Kịch bản 2 56
3.4. Kết chương 59
KẾT LUẬN 60
TÀI LIỆU THAM KHẢO 61 iv

DANH MỤC TỪ VIẾT TẮT

Viết tắt

Tiếng Anh Tiếng Việt
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
NIDS Network Intrusion Detection System

Hệ thống phát hiện xâm nhập cho mạng
HIDS Host Intrusion Detection System
Hệ thống phát hiện xâm nhập cho máy
trạm
SMTP
Simple Network Management
Protocol
Giao thức quản lý mạng đơn giản
DNS Domain Name System Hệ thống tên miền
FPT File Transfer Protocol Giao thức truyền tải file

v

HDLC High-Level Data Link Control Giao thức điều khiển liên kết dữ liệu
SLIP
Serial Line Internet Protocol
Giao thức Internet qua đường moderm

PPP Point to Point Protocol Giao thức điểm điểm
PF Packet Filter
Lọc gói tin
RB Reserved Bit
Bít dự phòng
DF Don’t Fragment Bit
Bit không bị phân mảnh
MF More Fragments Bit
Bít bị phân mảnh
MTU Maximum Transmission Unit
Đơn vị truyền tối đa
TTL Time To Live
Thời gian sống
vi

DANH SÁCH HÌNH VẼ
Hình 1.1: Mô hình chức năng IDS 9
Hình 1.2: Các HIDS trong hệ thống mạng 12
Hình 1.3: Các NIDS trong hệ thống mạng 13
Hình 1.5: Các bước xử lý của Cisco IDS 14

đột nhập cho host, phát hiện đột nhập mạng thường sử dụng nguồn thông tin từ
mạng, chẳng hạn chặn bắt các gói tin truyền qua nút mạng, như bộ định tuyến hoặc
cầu nối. Do lưu lượng mạng thường lớn và tính phức tạp của các dạng tấn công, đột
nhập nên các hệ thống phát hiện đột nhập mạng gặp nhiều thách thức.
Đề tài luận văn "Nghiên cứu các kỹ thuật phát hiện đột nhập mạng và xây
dựng mô hình ứng dụng dựa trên Snort" tập trung nghiên cứu về các các kỹ thuật
phát hiện đột nhập mạng và xây dựng mô hình ứng dụng phát hiện đột nhập cho hệ
thống mạng của công ty PAMA dựa trên hệ thống Snort. Snort là một hệ thống phát
hiện và ngăn chặn đột nhập mạng mã mở được sử dụng rộng rãi. Do Snort được
cung cấp theo dạng mã mở nên người sử dụng có thể tự do sửa đổi và cải tiến theo
yêu cầu. Ngoài ra, Snort hoàn toàn miễn phí nên sẽ tiết kiệm được chi phí triển khai
ban đầu.
Luận văn gồm 3 chương chính với các nội dung sau:
Chương 1 – Tổng quan về phát hiện đột nhập mạng giới thiệu khái quát tấn
công đột nhập mạng, các phương pháp phát hiện tấn công đột nhập mạng và hệ
thống phát hiện đột nhập mạng.
Chương 2 – Kiến trúc hệ thống và kỹ thuật phát hiện đột nhập mạng trình
bày kiến trúc hệ thống phát hiện đột nhập mạng, các kỹ thuật thu thập dữ liệu và
các kỹ thuật phát hiện đột nhập mạng.
Chương 3 – Xây dựng mô hình ứng dụng dựa trên Snort sẽ giới thiệu về
hệ thống

phát hiện xâm nhập mạng Snort, phân tích các yêu cầu xây dựng hệ
thống từ đó đó

xuất mô hình hệ thống phát hiện xâm nhập mạng dựa trên Snort
cho công ty Pama.

Luận văn cũng tiến hành cài mô hình phát hiện xâm nhập
Snort và xây dựng thử

Các hacker tấn công vào mật khẩu (password) bằng một số phương pháp
như: tấn công brute-force, sử dụng chương trình Trojan Horse, IP spoofing, và
packet sniffer. Tấn công brute-force có thể được thực hiện bằng cách dùng một
chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng
phương pháp “thử và sai” password.
3

1.2.3. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS – Denial of Service Attacks ) là dạng tấn
công cản trở người dùng hợp pháp truy cập các tài nguyên hệ thống. Tấn công từ
chối dịch vụ được chia thành hai loại:
 Tấn công Logic (Logic attacks): tấn công dựa vào lỗi phần mềm làm dịch vụ
ngừng hoạt động hoặc làm giảm hiệu năng của hệ thống.
 Tấn công gây ngập lụt (Flooding attacks): Kẻ tấn công gửi một lượng lớn yêu
cầu gây cạn kiệt tài nguyên hệ thống nạn nhân hoặc chiếm hết băng thông đường
truyền mạng.
1.2.4. Tấn công giả mạo địa chỉ, nghe trộm
Tấn công giả mạo địa chỉ là dạng tấn công trong đó kẻ tấn công sử dụng địa
chỉ IP giả, thường để đánh lừa máy nạn nhân để vượt qua các hàng rào kiểm soát an
ninh.
Tấn công nghe trộm là dạng tấn công sử dụng các thiết bị phần cứng hoặc
phần mềm lắng nghe trên card mạng, hub hoặc router để bắt các gói tin dùng cho
phân tích về sau.
1.2.5. Tấn công kiểu phát lại và người đứng giữa
Tấn công kiểu người đứng giữa (Man in the middle attack) là kiểu tấn công
lợi dụng quá trình truyền gói tin qua nhiều trạm (hop) thuộc các mạng khác nhau.
Kẻ tấn công chặn bắt các thông điệp giữa hai bên tham gia truyền thông và chuyển
thông điệp lại cho bên kia. Tấn công kiểu người đứng giữa có thể giúp tin tặc đánh
cắp thông tin trao đổi, hoặc thay đổi nội dung thông điệp truyền theo hướng có lợi
cho mình mà hai bên tham gia quá trình truyền thông không hay biết.

thông tin tài khoản, thẻ tín dụng…
Phishing là một dạng tấn công Social Engineering, lừa người dùng để lấy
thông tin cá nhân, thông tin tài khoản, hoặc thẻ tín dụng. Một trong các dạng tấn
công phishing nổi tiếng là trò lừa đảo 4-1-9 xuất phát từ Nigeria, lợi dụng sự ngây
thơ và lòng tham của nhiều người.
1.2.9. Tấn công Pharming
Pharming là kiểu tấn công vào trình duyệt của người dùng. Kẻ tấn công
thường sử dụng sâu, virus hoặc các phần mềm độc hại cài vào hệ thống để điều
khiển trình duyệt người dùng. Kẻ tấn công cũng có thể tấn công vào hệ thống DNS
để thay đổi kết quả truy vấn địa chỉ IP, thay địa chỉ IP của website hợp lệ thành IP
của website độc hại.
5

1.3. Các phương pháp phát hiện tấn công đột nhập mạng
Phát hiện tấn công, đột nhập là quá trình giám sát và phân tích các sự kiện
xảy ra trên mạng hoặc hệ thống để tìm các dấu hiệu của các tấn công, đột nhập. Dựa
trên kỹ thuật phát hiện, có thể chia các phương pháp phát hiện tấn công, đột nhập
thành các loại: phát hiện dựa trên các dấu hiệu hoặc chữ ký (Signature-based
Intrusion Detection [2]), phát hiện dựa trên bất thường (Anomaly-based Intrusion
Detection [2]) và phát triện dựa trên phân tích trạng thái giao thức [2].
1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu
Phát hiện tấn công dựa trên dấu hiệu [2] là quá trình so sánh các sự kiện
giám sát với các dấu hiệu để xác định các nguy cơ có thể là một tấn công. Trong đó
dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa được biết đến. Ví
dụ:
 Một hành động cố gắng truy cập vào hệ thống với username “root” là hành động
vi phạm tới chính sách bảo mật của công ty, tổ chức.
 Một e-mail với tiêu đề “ Free picture!” và file đính kèm là “freepics.exe” có các
đặc điểm được biết đến thường là của phần mềm độc hại.
 Mục ghi log hệ điều hành với mã trạng thái là 645 được biết đến là sự kiểm tra

một hồ sơ cho một mạng có thể chỉ ra hoạt động dịch vụ Web sử dụng trung bình
13% băng thông mạng trong suốt một ngày làm việc. Hệ thống phát hiện đột nhập
sau đó sử dụng phương pháp thống kê để so sánh các đặc trưng của các hành vi hiện
tại với một ngưỡng liên quan đến hồ sơ, như phát hiện khi dịch vụ Web sử dụng
băng thông lớn hơn đáng kể so với mức sử dụng bình thường ghi trong hồ sơ và
cảnh báo người quản trị về bất thường đã phát hiện. Hồ sơ có thể được phát triển
cho nhiều thuộc tính hành vi, như số lượng email được gửi bởi một người, số lần
đăng nhập sai cho một máy trạm, và mức sử dụng bộ xử lý trên một máy trạm trong
một khoảng thời gian.
Lợi ích lớn nhất của phương pháp phát hiện dựa trên sự bất thường là có thể
nhận biết những tấn công, đột nhập mới hoặc chưa biết. Ví dụ: giả sử một máy tính
bị nhiễm một loại phần mềm độc hại mới và phần mềm độc hại này có khả năng sử
dụng nhiều tài nguyên của máy tính, gửi một lượng lớn e-mail, thiết lập nhiều kết
nối mạng, và thực hiện các hành vi khác, tạo ra sự khác biệt đáng kể với các hồ sơ
về các hành vi đã được thiết lập cho máy tính đó.
Một hồ sơ ban đầu được sinh ra trong một khoảng thời gian được gọi là giai
đoạn huấn luyện. Hồ sơ cho phát hiện dựa trên sự bất thường có thể tĩnh hoặc động.
7

Sau khi được tạo ra, một hồ sơ tĩnh không thay đổi được trừ khi hệ thống phát hiện
tấn công chỉ định tạo ra một hồ sơ mới. Do hệ thống và mạng thay đổi theo thời
gian, tập các hành vi bình thường cũng thay đổi, một hồ sơ tĩnh sẽ trở lên không
chính xác, do đó hồ sơ tĩnh cần được tái sinh định kỳ. Hồ sơ động không có vấn đề
này do hồ sơ động có thể được cập nhật sử dụng các sự kiện được giám sát. Tuy
nhiên, chúng nhạy cảm với sự lẩn tránh của những kẻ tấn công. Chẳng hạn, một kẻ
tấn công có thể thực hiện số lượng nhỏ các hành vi độc hại, sau đó tăng dần tần suất
và số lượng các hoạt động. Nếu tốc độ thay đổi là đủ chậm, hệ thống có thể nghĩ các
hành vi phá hoại này là các hành vi bình thường và đưa vào hồ sơ bình thường.
1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức [2] là một quá

1.4.1. Khái niệm hệ thống phát hiện xâm nhập
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) [3] là hệ
thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu lượng mạng,
các hoạt động khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị. IDS cũng có
thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người dùng
nội bộ) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu
hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa
vào các dấu hiệu đặc biệt để phát hiện và diệt virus), hay dựa trên so sánh lưu lượng
mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu
hiệu bất thường.
1.4.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ
khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông
tin. Các IDS được xem như lớp phòng vệ bổ sung, đảm bảo an toàn cho thông tin và
hệ thống. Một số yêu cầu đối với IDS:
 Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
 Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
 Bảo vệ tính khả dụng, tức là đảm bảo cho hệ thống luôn sẵn sàng thực hiện yêu
cầu truy nhập thông tin của người dùng hợp pháp.
9

 Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy cập thông tin bất hợp pháp.
 Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục, sửa chữa…
Hệ thống IDS có một số chức năng chính như sau:
- Chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo vệ:

Chính sách
phản ứng
Chính sách
phát hiện
Hệ thống
thông tin
Hệ thống đáp
trả
Hệ thống
phân tích
10

 Host-Based IDS (HIDS): Sử dụng dữ liệu giám sát từ một máy đơn để phát hiện
xâm nhập.
 Network-based IDS (NIDS): Sử dụng dữ liệu giám sát trên toàn bộ lưu lượng
mạng, hoặc phân đoạn mạng để phát hiện xâm nhập.
1.4.3.1. Host-Based IDS
Host-based IDS [3] tìm kiếm dấu hiệu của xâm nhập trên một host cục bộ.
HIDS thường sử dụng các cơ chế giám sát và phân tích và các thông tin được ghi
log. Nó tìm kiếm các hoạt động bất thường như đăng nhập, truy nhập các file hệ
thống, các cố gắng nâng cấp đặc quyền truy nhập nhưng không được chấp nhận.
Kiến trúc HIDS thường dựa trên các luật (Rule-based) để phân tích các hoạt
động của hệ thống. Ví dụ, đặc quyền của người sử dụng cấp cao có thể đạt được
thông qua lệnh su-select user, như vậy những cố gắng liên tục để đăng nhập sử dụng
tài khoản root có thể được coi là một cuộc tấn công.
Các ưu điểm của HIDS:
 Xác định chính xác các thông tin của cuộc tấn công: Do HIDS sử dụng dữ liệu
log lưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay
thất bại với độ chính xác cao hơn NIDS. Vì thế, HIDS có thể bổ sung thông tin
tiếp theo khi cuộc tấn công được sớm phát hiện.

trong việc chọn các hệ thống quan trọng để bảo vệ. Nó có thể để lại các lỗ hổng
lớn trong mức độ bao phủ phát hiện xâm nhập.
 Chiếm nhiều tài nguyên hệ thống: Do được cài đặt trên các máy cần được bảo vệ
nên HIDS phải sử dụng các tài nguyên của hệ thống để hoạt động như bộ vi xử
lí, RAM và bộ nhớ ngoài.
12 Hình 1.2: Các HIDS trong hệ thống mạng 1.4.3.2. Network-Based IDS
NIDS [3] thường bao gồm có hai thành phần logic:
 Bộ cảm biến – Sensor: đặt tại một đoạn mạng, kiểm soát các thông tin lưu lượng
trên đoạn mạng đó.
 Trạm quản lý: nhận các tín hiệu cảnh báo từ một bộ cảm biến và thông báo cho
điều hành viên.
Một NIDS cũng có thể bao gồm hai hay nhiều bộ cảm biến trên các đoạn mạng khác
nhau cùng giao tiếp với một trạm quản lý.
Các ưu điểm của NIDS:
 Chi phí thấp: Do chỉ cần cài đặt NIDS ở những vị trí trọng yếu là có thể giám sát
lưu lượng toàn mạng nên hệ thống không cần phải nạp các thành phần mềm và
quản lý trên các máy toàn mạng.
 Phát hiện được các cuộc tấn công mà HIDS bỏ qua: khác với HIDS, NIDS kiểm
tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu tấn công
xuất phát từ mạng. Ví dụ: nhiều dạng tấn công DoS, như TearDrop chỉ bị phát
hiện khi phân tích header của các gói tin di chuyển trên mạng.
13

 Khó xóa bỏ dấu vết: Các thông tin lưu trong log file có thể bị kẻ đột nhập sửa

định các hành động xâm nhập.
 Nếu một hành động tấn công bị phát hiện, cảm biến ghi lại cuộc tấn công và
thông báo cho nền tảng điều khiển thông qua giao diện dòng lệnh và điều khiển.
 Nền tảng điều khiển hiển thị cảnh báo, các bản ghi dữ liệu và có các hành động
tương ứng đáp trả cuộc tấn công. Hình 1.5: Các bước xử lý của Cisco IDS
1.4.4.2. Hệ thống phát hiện tấn công ISS Proventia A201
Proventia A201 là sản phẩm của hãng Internet Security Systems. Proventia
không phải là một hệ thống phần mềm hay phần cứng đơn mà là một hệ thống các
15

thiết bị được triển khai phân tán trong mạng được bảo vệ. Một hệ thống Proventia
bao gồm các thiết bị sau:
 Intrusion Protection Appliance: Là trung tâm của toàn bộ hệ thống Proventia. Nó
lưu trữ các cấu hình mạng, các dữ liệu đối sánh cũng như các quy định về chính
sách bảo mật của hệ thống. Intrusion Protection Appliance chạy một phiên bản
hệ điều hành Linux với các driver thiết bị mạng được tối ưu hóa cũng như các
gói dịch vụ được tối thiểu hóa.
 Proventia Network Agent: Đóng vai trò như các bộ cảm biến. Nó được bố trí tại
những vị trí nhạy cảm trong mạng nhằm theo dõi toàn bộ lưu lượng trong mạng
để phát hiện những nguy cơ xâm nhập tiềm ẩn.
 Site Protector: Là trung tâm điều khiển của hệ thống Proventia. Đây là nơi người
quản trị mạng quản lý toàn bộ cấu hình cũng như điều khiển hoạt động của hệ
thống.
Với giải pháp của Proventia, các thiết bị sẽ được triển khai sao cho phù hợp
với cấu hình của từng mạng cụ thể để có thể đạt được hiệu quả phát hiện tấn công
mạng cao nhất.
1.4.4.3. Hệ thống phát hiện tấn công NFR NID-310

biến (Analyzer/Sensor) đóng vai trò quyết định khả năng phát hiện tấn công, đột
nhập.

Hình 2.1: Kiến trúc IDS
2.1.1. Thành phần thu thập gói tin (Information collection)
Thành phần thu nhập gói tin nhận các gói tin từ nhiều kiểu giao diện như
Ethernet, Slip,… và tiền xử lý gói tin thành dạng mà thiết bị phân tích có thể sử
dụng được.
2.1.2. Thành phần phân tích gói tin (Detection)
Thành phần phân tích gói tin là thành phần thực hiện tìm kiếm, đối sánh các
dấu hiệu, chữ ký đột nhập, hoặc hồ sơ các hành vi bình thường trên các gói cần
kiểm tra.