1. Home
  2. Luận văn tổng hợp
  3. Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ - Pdf 32

MỤC LỤC

DANH MỤC CÁC HÌNH VẼ TRONG BÁO CÁO ..................................................... 5
CÁC THUẬT NGỮ VIẾT TẮT .................................................................................... 6
LỜI GIỚI THIỆU .......................................................................................................... 8
PHẦN 1 : TỔNG QUAN ............................................................................................... 9
1.1 Lý do chọn đề tài ..................................................................................................... 10
1.2 Phân tích hiện trạng ................................................................................................. 10
1.3 Xác định yêu cầu .................................................................................................... 11
1.4 Giới hạn và phạm vi nghiên cứu ............................................................................. 12
1.5 Ý nghĩa thực tiễn của đề tài ..................................................................................... 12

PHẦN 2 : TÌM HIỂU IDS ........................................................................................... 13
2.1 Khái niệm ................................................................................................................ 14
2.2 Các thành phần và chức năng của IDS ..................................................................... 14
2.2.1 Thành phần thu thập gói tin ............................................................................... 14
2.2.2 Thành phần phát hiện gói tin.............................................................................. 15
2.2.3 Thành phần phản hồi ......................................................................................... 15
2.3 Phân loại IDS ........................................................................................................... 15
2.3.1 Network Base IDS (NIDS) ................................................................................ 15
2.3.1.1 Lợi thế của Network-Based IDS .................................................................. 16
2.3.1.2 Hạn chế của Network-Based IDS ................................................................ 16
2.3.2 Host Base IDS (HIDS)....................................................................................... 17
2.3.2.1 Lợi thế của Host IDS .................................................................................. 17


2.4.3 Phát hiện nhờ quá trình tự học ........................................................................... 21
2.5 Các ứng dụng IDS phổ biến hiện nay ....................................................................... 21

PHẦN 3 : CÁC PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG ....... 22
3.1 Các phương thức tấn công ....................................................................................... 23
3.1.1 ARP Spoofing ................................................................................................... 23
3.1.2 Syn Flood .......................................................................................................... 23
3.1.3 Zero Day Attacks ............................................................................................... 23
3.1.4 DOS - Ping Of Death ......................................................................................... 24
3.2 Các phương thức phòng chống ................................................................................. 24
3.2.1 ARP Spoofing : mã hóa ARP Cache .................................................................. 24
3.2.2 Syn Flood ......................................................................................................... 25
3.2.3 Zero Day Attacks ............................................................................................... 25
3.2.4 DOS – Ping Of Death ........................................................................................ 25

PHẦN 4 : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP ........................... 26
4.1 Các bước thực hiện .................................................................................................. 27
4.1.1 Mô hình mạng tổng quan ................................................................................... 27
4.1.2 Máy Client ......................................................................................................... 27
4.2.2.2 Truy cập Web trái phép theo IP và tên miền ................................................ 29
4.2.2.3 Truy cập Website vào giờ cấm. ................................................................... 29
4.2.2.4 Truy cập theo phương thức FTP .................................................................. 30
4.2.2.5 Tấn công theo phương thức Ping Of Death .................................................. 30
4.2.2.6 Hành động chat với các máy ip lạ. ............................................................... 30
4.2.2.7 Hành động chống sniff sử dụng phương pháp ARP Spoofing. ..................... 30
4.2.3 Cài đặt webmin quản lý Snort ............................................................................ 31
4.2.4 Tạo CSDL Snort với MySQL ............................................................................ 31
4.2.5 Cài đặt BASE .................................................................................................... 31

PHẦN 5 : XÂY DỰNG ỨNG DỤNG DEMO THÀNH PHẦN SENSOR VÀ ALERT
CỦA MỘT IDS ............................................................................................................ 32
5.1 Inotify ...................................................................................................................... 33
5.2 Lập trình API kết hợp với Inotify ............................................................................ 33
5.3 Sản phẩm ................................................................................................................. 34

7.3.1.1 Cảnh báo ping. ............................................................................................ 41
7.3.1.2 Cảnh báo truy cập website. .......................................................................... 41
7.3.1.3 Cảnh báo truy cập FTP. ............................................................................... 41
7.3.1.4 Cảnh báo truy cập Telnet. ............................................................................ 41
7.3.1.5 Cảnh báo gói tin ICMP có kích thước lớn. ................................................... 42
7.3.1.6 Cảnh báo Dos lỗi SMB 2.0 .......................................................................... 42
7.3.1.7 Cảnh báo chat với các máy có IP lạ ............................................................. 42
7.3.1.8 Ngăn chặn các trang Web có nội dung xấu .................................................. 42
7.3.2 Rules Iptables .................................................................................................... 42
7.3.2.1 Ngăn chặn ping. .......................................................................................... 42
7.3.2.2 NAT inbound và NAT outbound ................................................................. 43




 Host: Host là không gian trên ổ cứng để lưu dữ liệu dạng web và có thể truy
cập từ xa.
 Protocol: Giao thức
 Payload: Độ tải của một gói tin trên mạng.
 Attacker: Kẻ tấn công.

Sưu tầm bởi www.diendandaihoc.com

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ



Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 10 -


Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 11 -

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 12 -

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 13 -

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 14 - Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 15 - 2.2.2 Thành phần phát hiện gói tin
Ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm
biến là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt
được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các
hành động nghi ngờ.

2.2.3 Thành phần phản hồi

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 16 -
Hình 2: Network IDS
2.3.1.1 Lợi thế của Network-Based IDS
 Quản lý được cả một network segment (gồm nhiều host).
 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
 Tránh DOS ảnh hưởng tới một host nào đó.

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 17 -  Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động được phát ra, hệ thống có thể đã bị tổn hại.
 Không cho biết việc tấn công có thành công hay không.
2.3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt
động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính.

Hình 3: Host base IDS
2.3.2.1 Lợi thế của Host IDS
 Có khả năng xác định người dùng liên quan tới một sự kiện.
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra.
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat…)
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.
 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy
được trên UNIX và những hệ điều hành khác.
2.4 Cơ chế hoạt động của IDS
IDS có hai chức nǎng chính là phát hiện các cuộc tấn công và cảnh báo các cuộc tấn
công đó. Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các
vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm
IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
2.4.1 Phát hiện dựa trên sự bất thường
Công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì
một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt,
nghĩa là đã có sự xâm nhập.
Ví dụ: Một địa chỉ IP của máy tính A thông thường truy cập vào domain của công
ty trong giờ hành chính, việc truy cập vào domain công ty ngoài giờ làm việc là một
điều bất thường.
2.4.2 Phát hiện thông qua Protocol
Tương tự như việc phát hiện dựa trên dấu hiệu, nhưng nó thực hiện một sự phân
tích theo chiều sâu của các giao thức được xác định cụ thể trong gói tin.



Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 21 - 2.4.3 Phát hiện nhờ quá trình tự học
Kỹ thuật này bao gồm hai bước. Khi bắt đầu thiết lập, hệ thống phát hiện tấn công
sẽ chạy ở chế độ tự học và tạo ra một hồ sơ về cách cư xử của mạng với các hoạt động
bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ làm việc, tiến hành
theo dõi, phát hiện các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã
thiết lập. Chế độ tự học có thể chạy song song với chế độ làm việc để cập nhật hồ sơ
của mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.

2.5 Các ứng dụng IDS phổ biến hiện nay
Trong hoàn cảnh hiện nay, với tần xuất tấn công và xâm nhập ngày càng phổ biến thì

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 22 - Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 23 - 3.1 Các phương thức tấn công
3.1.1 ARP Spoofing
Đây là một hình thức tấn công Man in the middle (MITM) hiện đại có xuất sứ lâu
đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này
cho phép kẻ tấn công nằm trên cùng một subnet với các nạn nhân của nó có thể nghe
trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là loại tấn công đơn
giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn
công.
3.1.2 Syn Flood
Syn flood là 1 dạng tấn công từ chối dịch vụ, kẻ tấn công gửi các gói tin kết nối
SYN đến hệ thống. Đây là 1 loại tấn công rất phổ biến. Loại tấn công này sẽ nguy
hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công
và trước khi nhận gói ACK.

Sưu tầm bởi www.diendandaihoc.com
Đề tài: Tìm Hiểu IDS Và Triển Khai Hệ Thống Phát Hiện Xâm Nhập Trên Mạng Cục Bộ

- Trang 24 - 3.1.4 DOS - Ping Of Death
Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kích thước lớn hơn
kích thước cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment nhỏ
hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với
buffer bên nhận. Kết quả là, hệ thống không thể quản lý nổi tình trạng bất thường này
và sẽ reboot hoặc bị treo.
VD : ping 192.168.1.20 –l 65000
3.2 Các phương thức phòng chống
3.2.1 ARP Spoofing : mã hóa ARP Cache
Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP
request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy
chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào


Sưu tầm bởi www.diendandaihoc.com

Trích đoạn Cấu hình tiền xử lý (preprocessor)
Nhờ tải bản gốc

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status