I. MỤC TIÊU

1. Khái niệm về Snort, phiên bản sử dụng, snort chạy trên những chế độ nào? Phân biệt Sniffer mode, Packet Logger mode, Network Intrusion Detection System (NIDS) mode ?

  • Khái niệm về Snort: Snort là một hệ thống ngăn chặn và phát hiện sự xâm nhập trái phép (IDS/IPS) mã nguồn mở và miễn phí nhưng có nhiều tính năng đáng mong đợi. Trong nhiều tài liệu thường định nghĩa Snort là một hệ thống IDS bởi vì xét về tính năng, Snort chủ yếu thiên về phát hiện các xâm nhập, các tính năng về phòng chống còn nhiều hạn chế so với các hệ thống IPS khác.
  • Snort có kiến trúc kiểu module, dễ dàng cho các quản trị viên tự bổ sung để tăng cường tính năng cho hệ thống của mình.
  • Snort có thể chạy trên nhiều hệ thống: Windows, Linux, OpenBSD, Solaris…và được nhiều tổ chức phát triển, biến thành sản phẩm thương mại như Sourcefire, Astaro.

– Phiên bản sử dụng: Phiên bản mới nhất của Snort tính đến thời điểm này là Snort 3.0

– Các chế độ của Snort: Snort ở chức năng IDS có 03 chế độ chính bao gồm: Sniffer mode, Packet Logger mode và Network Detection System mode. Ngoài ra còn có Inline mode thực hiện chức năng IPS.

– Phân biệt các chế độ Sniffer mode, Packet Logger mode, Network Intrusion Detection System

Chế độ

 

Đặc điểm

Sniffer mode Packet Logger mode Network Intrusion Detection System
Hoạt động chính -Tính năng cơ bản

-Chỉ đọc gói tin trên mạng và hiển thị nội dung cho người dùng thấy trên màn hình

-Lưu trữ những gói tin Sniffer được. -Snort sử dụng các rule để phát hiện và phân tích traffic mạng.

-Đây là mode phức tạp nhất.

Cú pháp câu lệnh $ ./snort  -v [-option] Các option có thể là:

-v: Kích hoạt chế độ Sniffer, hiển thị các header IP, TCP/UDP/ICMP

-d: Hiển thị payload của gói tin

-e: Hiển thị dữ liệu tầng data link

-a: Hiển thị gói tin ARP

-I <interface>:Bắt gói tin trên một interface xác định

-h:Hiển thị chỉ dẫn

$ ./snort -l <ten_thu_muc>

 

$ ./snort -c <config_file>

 

Kết quả chính Bảng tóm tắt các gói tin bắt được, gồm các thông tin về giao thức, đặc tính đóng gói của gói tin, và trạng thái lắp ráp luồng của gói tin. Lưu các gói tin bắt được vào trong thư mục. Thường lưu dưới dạng nhị phân. Phân tích traffic mạng, so sánh với tập các rule được người dùng định sẵn và thực hiện nhiều hành động dựa trên kết quả so sánh đó.

2. Những tính năng của Snort

Snort được chia làm nhiều thành phần, chúng hoạt động cùng với nhau để phát hiện các tấn công riêng biệt và đưa ra các kết quả trong một định dạng yêu cầu của hệ thống phát hiện.

  • Module giải mã gói tin – Packet Decoder module: xác định giao thức được sử dụng cho gói tin và các hành vi phù hợp với giao thức của chúng. Ngoài ra, có thể tạo ra các cảnh báo riêng của mình dựa trên phần header của giao thức, các gói tin quá dài, bất thường hoặc không chính xác các tuỳ chọn TCP được thiết lập trong header. Ngoài ra nó còn có thể kích hoạt hoặc vô hiệu hoá các cảnh báo trong tập tin conf.
  • Module tiền xử lý – Preprocessor: tái hợp gói tin và giải mã/chuẩn hoá các giao thức, giúp trình bày dữ liệu theo các định dạng chuẩn
  • Module phát hiện – Detection Engine: nhiệm phát hiện các dấu hiệu xâm nhập tồn tại trong các gói tin bằng cách sử dụng các rule để đối chiếu với thông tin trong gói tin, từ đó xác định có xâm nhập xảy ra hay không. Nó còn có thể phân chia gói tin và áp dụng rule cho các thành phần khác nhau của gói tin.
  • Module Log và cảnh báo – Logging and Alerting System: quyết định gói tin bị đưa vào log hay đưa ra các cảnh báo. Các ghi nhận, thông báo thường được lưu dưới dạng văn bản hoặc một số định dạng khác, mặc định được lưu lại tại thư mục /var/log/snort.
  • Module kết xuất thông tin – Output Module: định dạng và trình bày đẩu ra cho người quản trị hệ thống biết thông tin về tình trạng các gói tin được nó ghi nhận.