Tìm hiểu và xây dựng hệ thống phát hiện xâm nhập trên mạng IP
Tìm hiểu và xây dựng hệ thống phát hiện xâm nhập trên mạng IP - pdf 21
Download miễn phí Đồ án Tìm hiểu và xây dựng hệ thống phát hiện xâm nhập trên mạng IP
Mục lục
Lời nói đầu 5 Chương 1 7 Các kiến thức về mô hình mạng TCP/IP 7 1.Kiến thức chung về mạng máy tính 7 1.1. Mô hình OSI 7 1.1.1. Tầng vật lý. 8 1.1.2. Tầng liên kết dữ liệu. 8 1.1.3. Tầng mạng 9 1.1.4. Tầng giao vận 9 1.1.5. Tầng phiên 9 1.1.6. Tầng trình diễn 10 1.1.7. Tầng ứng dụng 10 1.2. Cấu trúc phân tầng trong giao thức TCP/IP 11 1.2.1. Tầng truy nhập mạng 13 1.2.2. Tầng liên mạng 13 1.2.3. Tầng giao vận 13 1.2.4. Tầng ứng dụng 14 2. Giao thức IP 14 2.1. Cấu trúc khối dữ liệu IP 15 2.2. Cấu trúc địa chỉ IP 17 2.3. Phân đoạn các khối dữ liệu 19 3. Giao thức TCP 19 3.1. Cấu trúc đoạn dữ liệu TCP 20 3.2. Mô hình hoạt động của TCP 22 4. Khuôn dạng dữ liệu của frame ethernet. 23 Chương 2 25 Tổng quan về an ninh mạng, các nguy cơ bị tấn công, và một số biện pháp phòng tránh. 25 1. Tổng quan về an ninh mạng 25 1.1. Đặt vấn đề 25 1.2. Tình hình thực tế 25 1.3. Các hình thức xâm phạm an toàn mạng và nhu cầu bảo vệ dữ liệu. 26 1.3.1. Bảo vệ dữ liệu 27 1.3.2. Bảo vệ các tài nguyên sử dụng trên mạng 27 1.3.3. Bảo vệ danh tiếng 27 2. Các mối đe dọa vào an ninh hệ thống: 27 2.1. Các tấn công vào phần cứng: 28 2.2. Tấn công trực tiếp 28 2.3. Các truy nhập không được phép 29 2.4. Quan hệ xã hội: 29 2.5. Lỗi hệ thống và các chương trình ẩn: 29 2.5.1. Lỗi của cơ chế xác thực 30 2.5.2. Lỗi trong các giao thức 30 2.5.4. Từ chối dịch vụ 30 3. Một số loại tấn công trên mạng 31 3.1. Ping of Death 31 3.2. Giả mạo IP (IP spoofing) 32 3.3. Giả mạo TCP (TCP spoofing) 32 3.4. Bắt cóc phiên (Session hijacking) 33 3.5. Tấn công bằng hàng loạt các gói SYN (SYN flood attack) 33 3.6. Tấn công bằng IP phân đoạn (IP frags attack) 33 3.7. LAND attack 34 4. Các mối đe dọa đối với dịch vụ thông tin 34 4.1. Tấn công từ chối dịch vụ (Denial of sevice) 34 4.2. Tấn công các giao thức dùng số tuần tự TCP 34 4.3. Tấn công các giao thức không xác thực 35 5. Một số các biện pháp phòng tránh 35 5.1. Các chiến lược bảo mật chung nhất 35 5.1.1. Quyền hạn tối thiểu 35 5.1.2. Bảo vệ theo chiều sâu 35 5.1.3. Điểm thắt 36 5.1.4. Điểm yếu nhất 36 5.1.5. Phối hợp chung 36 5.1.6. Phòng thủ đa dạng 36 5.1.7. Tính đơn giản 36 5.2. Một số biện pháp bảo mật bằng giao thức 37 NAT (Network Address Translation) 37 IPSec 38 5.3. Một số biện pháp bảo mật bằng hệ thống 38 5.3.1. Firewall 38 5.3.2. IDS (Intrusion Detection System) 39 5.3.3. VPN (Vitual Private Network) 40 Chương 3 45 Tổng quan về các hệ thống Intrusion Detection Systems 45 1. Phát hiện sự xâm phạm là gì 45 2. Tại sao phải sử dụng IDS. 45 2.1. Phát hiện các cuộc tấn công và các hành vi vi phạm an ninh mà không ngăn cản được bằng các biện pháp khác. 45 2.2. Phát hiện sớm dấu hiệu các cuộc tấn công khi nó mới mới bắt đầu xảy ra, nhằm có biện pháp ngăn chặn kịp thời. 46 2.3. Tăng độ mạo hiểm cho kẻ tấn công. 46 2.4. Giúp cho việc thiết kế bảo mật và quản trị có chất lượng 46 2.5. Cung cấp các thông tin hiệu quả về sự xâm nhập 46 2.6. Lập tài liệu về các nguy cơ có thể xảy ra với hệ thống 47 2.Phân loại các hệ thống IDS chính 47 3.1. Network Based IDS (NIDS ) 47 3.1.1. Ưu điểm của hệ thống NIDS 47 3.1.2. Nhược điểm của hệ thống NIDS 48 3.2. Host based IDS (HIDS) 48 3.2.1. Ưu điểm của hệ thống HIDS 49 3.2.2. Nhược điểm của Hệ thống HIDS 49 3.3. Application Based IDS (AIDS) 49 3.3.1. Ưu điểm của hệ thống AIDS 50 3.3.2. Nhược điểm của hệ thống AIDS 50 3.4. Sử dụng kết hợp HIDS và NIDS 50 2.Các kỹ thuật phân tích của các hệ thống IDS 51 2.1. Phát hiện sự lạm dụng(Misuse detection) 51 2.1.1. Ưu điểm 51 2.1.2. Nhược điểm. 51 2.2. Phát hiện sự bất thường(Anomaly Detection) 51 2.2.1. Ưu điểm 52 2.2.2. Nhược điểm 52 2.3. Giám sát (Target Monitoring ) 52 2.4. Thăm dò hành động lén lút 53 3. Hệ thống phát hiện xâm nhập dựa trên thống kê 53 3.1. Ưu điểm 53 3.2. Nhược điểm 53 Chương 4 55 Xây dựng 1 chương trình IDS 55 1. Mục đích : 55 1.1. Có khả năng ghi lại các hoạt động trên mạng 55 1.2. Dựng lại phiên làm việc giữa hai máy trên mạng 55 1.3. Phát hiện các hành vi bất thường để thông báo cho người quản trị. 55 1.4. Cho phép cấu hình một cách đơn giản 55 2. Thiết kế chương trình. 56 2.1. Cơ sở dữ liệu: 57 2.2. Module bắt các gói tin 57 2.3 Module phân tích các gói tin 58 2.3. Xây dựng lại phiên làm việc 59 2.4. So sánh với các cấu hình trong hệ thống 60 2.5. Module nhận các thông tin từ người sử dụng 61 3. Thiết kế chi tiết của chương trình 61 3.1. Cơ sở dữ liệu. 61 3.2. Thu bắt các gói tin 62 3.3. Xây dựng lại phiên làm việc 63 3.4. So sánh với các cấu hình trong hệ thống 63 4. Cài đặt chương trình 63 4.1. Các sơ đồ thuật toán của chương trình. 64 4.2. Các hàm sử dụng trong chương trình 66 4.2.1. Các hàm dùng để bắt gói tin. 66 4.2.2. Các hàm dùng để xử lý gói tin 67 4.2.3. Hàm xây dựng lại phiên làm việc 67 4.2.4. Kiểm tra Phiên 67 5. Các Form trong chương trình 68 5.1. Form Config 68 5.2. Form Packet Detail Information 69 5.3. Form Alert 70 6. Một số kết quả đạt được 70 7. Phương hướng phát triển trong tương lai 71 8. Lời kết 72 Phụ lục A 73 Phụ lục B 74
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-08-02-do_an_tim_hieu_va_xay_dung_he_thong_phat_hien_xam.jj8oOPFAJB.swf /tai-lieu/de-tai-ung-dung-tren-liketly-70815/ Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn. Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé: Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
ng hợp lệ. Khi gói này đ ược tạo ra và truyền đến đích, nó sẽ bị phân mảnh trên đ ờng truyền. Khi các gói đến đích, chúng đư ợc tái hợp lại thành gói ban đầu, với độ lớn 65.536 byte và làm tràn vùng đệm trên nhiều hệ thống.
3.2. Giả mạo IP (IP spoofing)
Trên nhiều mạng chuyên dùng, thông thư ờng có một hệ thống t ường lửa (firewall) hay bộ lọc gói dùng ngăn chặn việc trao đổi dữ liệu không đư ợc phép giữa mạng trong và mạng bên ngoài (Internet).
Trong những mạng này, để giảm thiểu các quá trình xác thực khi truy nhập giữa các máy trong mạng nội bộ (mạng trong), một số máy của mạng trong có thể đ ược đặt thành các máy “tin cậy” (trusted host). Điều này cho phép các dịch vụ đi từ máy “tin cậy” đến máy đích mà không cần qua bất cứ trình xác thực nào. Nếu kẻ tấn công bên ngoài giả mạo đư ợc địa chỉ IP nguồn là địa chỉ IP của các máy như vậy để gửi các gói vào mạng bên trong, thì hệ firewall hay bộ lọc gói đều cho phép chúng đi qua, vì địa chỉ nguồn của chúng là địa chỉ mạng trong. Phư ơng pháp tấn công này đư ợc gọi là “giả địa chỉ IP”. Nhờ phư ơng pháp này, kẻ tấn công có thể đột nhập đ ược vào các máy có đặt chế độ tin cậy và các máy khác trong mạng chuyên dụng.
3.3. Giả mạo TCP (TCP spoofing)
Một kết nối TCP đ ược định nghĩa đầy đủ với 4 tham số: địa chỉ IP nguồn, số hiệu cổng TCP nguồn, địa chỉ IP đích, số hiệu cổng TCP đích. Phần đầu gói IP chứa địa chỉ IP nguồn và đích, loại giao thức vận chuyển (TCP=6, UDP=17, vv...). Phần đầu gói TCP có chứa số hiệu cổng nguồn, số hiệu cổng đích, các số tuần tự (sequence) và báo nhận (acknowledge) cũng nh ư các cờ SYN, ACK, RST, FIN, .v.v. Khi một gói IP đi qua một giao diện mạng của hệ thống, ta có thể đọc đ ược nội dung của gói đó, bao gồm cả các giá trị SEQ/ACK hiện thời của các gói trên kết nối đó.
Khi bắt đư ợc một gói, hệ thống của ng ười đột nhập (hacker) có thể tạo ra các gói dữ liệu IP giả có cùng địa chỉ IP nguồn và số hiệu cổng TCP nguồn cũng nh ư các giá trị SYN/ACK cùng các cờ của TCP đặt trong gói sao cho hệ thống đích bị đánh lừa, ngộ nhận gói dữ liệu thu đư ợc là gói dữ liệu của bên phát thật. Đồng thời với việc này, hệ thống của hacker còn gửi gói TCP cho hệ thống nguồn với cờ FIN = 1 (kết thúc kết nối) hay cờ RST = 1 (khởi tạo lại, reset) để đánh lừa là hệ thống đích muốn kết thúc kết nối với hệ thống nguồn. Thông thường như vậy thì hệ thống của hacker đã đánh lừa đư ợc cả bên phát (hệ thống nguồn) và bên nhận (hệ thống đích). Sau khi bị lừa, bên phát kết thúc kết nối TCP với bên thu, trong khi bên thu lại tư ởng hệ thống của hacker là bên phát và tiếp tục trao đổi dữ liệu.
3.4. Bắt cóc phiên (Session hijacking)
Khi bên phát S và bên thu D thiết lập kết nối cũng nh ư truyền dữ liệu, mối tin tư ởng của S và D với nhau là: địa chỉ IP nguồn, địa chỉ TCP nguồn, địa chỉ IP đích, địa chỉ TCP đích, các giá trị SEQ/ACK. Nếu một hacker làm lẫn lộn các giá trị SEQ/ACK trong các gói từ S đến D thì D sẽ không còn tin tư ởng các gói thật từ S đến nữa. Khi đó, hacker sẽ giả làm S, dùng đúng các giá trị SEQ/ACK của S để tiếp tục trao đổi dữ liệu với D.
Ph ương thức của hacker là làm lẫn lộn các giá trị SEQ/ACK từ S đến D đư ợc thực hiện bằng cách chèn các gói dữ liệu vào đúng thời điểm gói từ S đến D, làm cho D chấp nhận gói dữ liệu giả này và cập nhật giá trị ACK của nó.
3.5. Tấn công bằng hàng loạt các gói SYN (SYN flood attack)
Bình th ường, khi một client muốn thiết lập một liên kết TCP với Server nó gửi một gói TCP với cờ SYN = 1, yêu cầu thiết lập kết nối. Khi server nhận đ ược gói SYN, nó xác nhận với client bằng cách gửi gói SYN-ACK (SYN = 1 và ACK =1) cho client. Client khi nhận được gói này cũng xác nhận lại với Server bằng gói SYN-ACK và kết nối bắt đầu. Quá trình thiết lập kết nối này đư ợc gọi là bắt tay 3 b ước.
Khi tấn công sử dụng SYN, gói SYN đầu tiên đ ược gửi tới cho server đã bị giả địa chỉ IP nguồn, hay đư ợc thay thế bằng một địa chỉ IP không tồn tại trên Internet, hay là địa chỉ IP của một máy tính khác. Kẻ tấn công sẽ gửi rất nhiều gói SYN tới server để làm cạn kiệt tài nguyên TCP (vùng đệm l ưu các trạng thái kết nối).
Khi nhận đư ợc các gói đồng bộ SYN này, server sẽ cấp phát tài nguyên để xử lý và theo dõi các kết nối mới này sau đó gửi lại các gói đồng bộ SYN-ACK. Trong trường hợp này, gói SYN-ACK đư ợc gửi tới cho một địa chỉ giả hay địa chỉ IP đã bị lừa. Vì là địa chỉ giả nên server sẽ không nhận đư ợc các gói SYN-ACK (b ước 3) từ phía client để bắt đầu thiết lập kết nối. Server sẽ giả sử rằng gói SYN-ACK đã gửi đi bị thất lạc trên mạng và sẽ gửi lại vài gói SYN-ACK nữa (5 lần với Windows NT), đồng thời tăng giá trị time-out cho mỗi lần truyền lại (3, 6, 12, 24, 48 giây với Windows NT). Sau lần truyền lại gói SYN-ACK cuối cùng, server sẽ từ bỏ kết nối đó và giải phóng các tài nguyên đã cấp phát cho kết nối. Như vậy, tổng số thời gian chiếm giữ tài nguyên TCP cho kết nối đó là lớn và "vô nghĩa" (với Windows NT khoảng 189 giây). Với kiểu tấn công này, server sẽ bị cạn kiệt tài nguyên TCP và không có khả năng xử lý các kết nối TCP khác nữa.
3.6. Tấn công bằng IP phân đoạn (IP frags attack)
Các router th ường rất dễ bị tấn công (bị lừa) bởi ph ương pháp này. Thông thường, các router đều có các danh sách điều khiển truy nhập ACL (Access Control List). Danh sách này đ ược thiết lập bởi ngư ời quản trị mạng, cho phép thiết lập các luật lọc gói trong router. Các gói IP có đư ợc qua hay không đều dựa vào danh sách này.
Trong hoạt động bình thư ờng của router, nếu phân đoạn IP đầu tiên đư ợc phép đi qua dựa trên ACL thì router sẽ chuyển gói đi đúng đích. Sau đó, nó sẽ tuần tự chuyển các phân đoạn IP tiếp theo mà không kiểm tra theo ACL. Trong cách tấn công dùng Overlapping Fragments, kẻ tấn công dùng các phân đoạn IP sau ghi đè lên phần cuối của phân đoạn đầu tiên, đánh lừa router để chấp nhận
3.7. LAND attack
Kẻ tấn công gửi một gói đánh lừa đến cho một hệ thống với địa chỉ IP đích và địa chỉ IP nguồn trùng nhau, số hiệu cổng TCP đích và số hiệu cổng TCP nguồn trùng nhau. Khi nhận đ ược gói này, theo phản ứng tự nhiên của một hệ TCP/IP, hệ thống bắt đầu trao đổi dữ liệu với chính nó. Một số hệ thống sẽ trở nên chậm chạp và không có phản ứng gì với các hoạt động khác khi gặp phải loại tấn công này.
4. Các mối đe dọa đối với dịch vụ thông tin
Các dịch vụ thông tin là chỗ yếu nhất của toàn hệ thống. Chúng không được thiết kế để đảm bảo an ninh hệ thống cũng như tự bảo vệ chính nội dung thông tin mà chúng truyền tải.
Phần lớn các dịch vụ thông tin không có cơ chế mã hóa nội dung thông tin đư ợc cung cấp trong các gói dữ liệu truyền trên mạng. Do vậy, một khi đã bị nghe trộm thì toàn bộ nội dung thông tin dễ dàng hiển thị hết trên màn hình của kẻ phá hoại. Các dịch vụ thông tin có thể kể ra là: Telnet, Web, E-Mail, Gopher, IRC, .v.v. Thêm nữa, các dịch vụ thông tin, bao gồm tiến...
