Luận văn: Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập mạng với Snort - Lương Tuấn Cường

Luận văn hướng dẫn xây dựng hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) trái phép trong mạng máy tính bằng phần mềm mã nguồn mở Snort.

Chuyên ngành

Kỹ thuật máy tính

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ kỹ thuật

2017

75
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tổng quan về hệ thống IDS IPS và Snort

Hệ thống IDS/IPS (Intrusion Detection System/Intrusion Prevention System) là các công cụ thiết yếu trong bảo mật mạng hiện đại. IDS phát hiện các hoạt động xâm nhập trái phép, trong khi IPS không chỉ phát hiện mà còn ngăn chặn các cuộc tấn công. Snort là một phần mềm mã nguồn mở nổi tiếng, được phát triển bởi Sourcefire, có khả năng hoạt động như cả IDS và IPS. Với hơn hai mươi năm phát triển, Snort trở thành lựa chọn hàng đầu cho các tổ chức muốn bảo vệ hệ thống mạng của mình. Công cụ này sử dụng phân tích lưu lượng mạng để phát hiện các mẫu tấn công, cho phép các quản trị viên giám sát và bảo vệ cơ sở hạ tầng CNTT một cách hiệu quả.

1.1. Khái niệm IDS và IPS

IDS là hệ thống phát hiện xâm nhập, hoạt động ở chế độ passive bằng cách theo dõi lưu lượng mạng. IPS hoạt động ở chế độ active, có khả năng chặn và loại bỏ các gói tin nguy hiểm. Cả hai hệ thống đều sử dụng luật phát hiện để nhận diện các mẫu tấn công, bao gồm SQL Injection, Denial of Service (DoS), Buffer Overflow, và nhiều kỹ thuật xâm nhập khác.

1.2. Tại sao chọn Snort

Snort nổi bật vì chi phí thấp, linh hoạt caocộng đồng người dùng lớn. Phần mềm này hỗ trợ kiểm tra giao thức, quét nội dung, phát hiện dị thường và có thể mở rộng thông qua plugin. Đối với các tổ chức muốn xây dựng hệ thống bảo mật mạnh mẽ mà không tốn chi phí lớn, Snort là lựa chọn tối ưu.

II. Kiến trúc và nguyên lý hoạt động của Snort

Snort hoạt động dựa trên kiến trúc phân lớp gồm các thành phần chính: Packet Decoder, Preprocessor, Detection EngineOutput Module. Packet Decoder nhận gói tin từ mạng, Preprocessor chuẩn bị dữ liệu, Detection Engine so sánh với tập luật (Rules), và Output Module ghi lại kết quả. Snort có ba chế độ hoạt động: Sniffer (chỉ theo dõi), Packet Logger (ghi gói tin), và IDS/IPS (phát hiện và ngăn chặn). Nguyên lý hoạt động của Snort dựa trên phân tích mẫu (Pattern Matching)phát hiện dị thường (Anomaly Detection), cho phép phát hiện cả tấn công đã biết và chưa biết.

2.1. Các thành phần chính của Snort

Packet Decoder giải mã gói tin từ các giao thức khác nhau như TCP/IP, UDP, ICMP. Preprocessor chuẩn hóa dữ liệu, loại bỏ nhiễu và phát hiện các kỹ thuật né tránh. Detection Engine là trung tâm so sánh dữ liệu với hàng ngàn luật phát hiện. Output Module xuất báo cáo chi tiết về các cuộc tấn công phát hiện được, hỗ trợ định dạng syslog, databasefile log.

2.2. Ba chế độ hoạt động của Snort

Chế độ Sniffer giúp giám sát lưu lượng mạng mà không lưu trữ dữ liệu. Chế độ Packet Logger ghi lại các gói tin để phân tích sau. Chế độ IDS/IPS kích hoạt phát hiện xâm nhập theo luật, cho phép hệ thống ngăn chặn tấn công ngay lập tức. Mỗi chế độ phục vụ nhu cầu bảo mật khác nhau tùy vào yêu cầu của tổ chức.

III. Cài đặt và cấu hình Snort trên Linux

Để cài đặt Snort, trước hết cần chuẩn bị môi trường Linux với các thư viện cần thiết như libdaqlibpcap. Tải mã nguồn từ trang chính thức, biên dịch từ source code và cài đặt vào hệ thống. Cấu hình Snort bao gồm chỉnh sửa file snort.conf, xác định giao diện mạng, thiết lập đường dẫn luật, và cấu hình output format. Tạo thư mục logs để lưu trữ dữ liệu phát hiện được. Kiểm tra cấu hình bằng lệnh snort -c để đảm bảo không có lỗi trước khi chạy hệ thống. Snort inline mode yêu cầu cấu hình iptables để cho phép chặn gói tin một cách hiệu quả.

3.1. Các bước cài đặt Snort chi tiết

Bước 1: Cài đặt thư viện phụ thuộc với apt-get install. Bước 2: Tải source code Snort từ github hoặc trang chính thức. Bước 3: Giải nén và chạy configure script với các tùy chọn phù hợp. Bước 4: Biên dịch bằng makemake install. Bước 5: Tạo cấu trúc thư mục cho logs, rules, và configuration files.

3.2. Cấu hình file snort.conf

File cấu hình snort.conf định nghĩa giao diện mạng, đường dẫn luật, preprocessor, và output module. Cần xác định đúng subnet để giám sát, bật/tắt preprocessor theo nhu cầu, chỉ định format xuất dữ liệu. Tối ưu hóa cấu hình giúp tăng hiệu suất phát hiện và giảm tài nguyên tiêu thụ.

IV. Xây dựng và quản lý tập luật Rules trong Snort

Tập luật (Rules) là yếu tố quan trọng nhất của Snort, quyết định khả năng phát hiện tấn công. Mỗi luật bao gồm header (định nghĩa loại gói tin) và options (điều kiện phát hiện). Header chứa action (alert, drop, log), protocol (TCP, UDP), IP nguồn/đích, port. Options chứa nội dung cần tìm kiếm (content), biểu thức chính quy (regex), metadata. Snort cung cấp hàng ngàn luật có sẵn nhưng xây dựng luật tùy chỉnh giúp phát hiện tấn công cụ thể của tổ chức. Quản lý luật bao gồm cập nhật định kỳ, kiểm tra hiệu suất, loại bỏ luật lỗi thời để tối ưu hóa hệ thống.

4.1. Cấu trúc cơ bản của một luật Snort

Cú pháp: action protocol src_ip src_port -> dest_ip dest_port (options). Action có thể là alert (cảnh báo), drop (chặn), log (ghi lại). Protocol xác định loại TCP, UDP, ICMP. IP và port định nghĩa nguồnđích của traffic. Options bao gồm msg (thông báo), content (nội dung tìm kiếm), threshold (ngưỡng cảnh báo).

4.2. Phát hiện các tấn công phổ biến

Luật phát hiện SQL Injection tìm kiếm mẫu kỳ lạ như union select, drop table. Luật phát hiện Scan port theo dõi nhiều kết nối TCP trong thời gian ngắn. Luật phát hiện DoS phát hiện lưu lượng bất thường hoặc yêu cầu ICMP quá tần suất. Cập nhật luật định kỳ từ cộng đồng Snort đảm bảo hệ thống luôn bảo vệ chống các mối đe dọa mới.

28/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TONG QUAN VE AN NINH MẠNG.Giới thiệu về An ninh Mạng, - - - 4 1. Một số kỹ thuật tẫn công hệ thẳng mạng máy tính. CHUGNG 2: HE THONG 1198 VA 1PS. Hệ thống phát hiện xâm nhập mạng may tinh (DS) - 20 2.

Hệ thống ngăn chăn xăm nhập mang may tinh (IPS) - - 24 CHƯƠNG 3: II THONG PIAT IDEN VA NGAN CHAN XAM NIIẬP DỰA. Giới thigu vé Snort. Triển khai hé théng Snort. Dặc điểm của snor.

các te treo TỶ 3. Các chế dộ hoạt động cia Snort - - 45 3. T-ual trong snort - 48 Chương 4: Thử nghiệm hệ thông phát hiện và ngắn chăn xâm nhập - $2 4. Sơ đỗ hệthống Thử nghiệm hệ thống phát hiện xâm nhập.

Đánh giá về hệ thống phát hiện xâm nhập sử dụng SncrL (Snot Ds) 74 4-4. Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) 75 4. Dánh giá chung về hệthống ngăn chặn và phát hiện xâm nhập với Snort. 82 KÉT LUẬN VÀ HƯỚNG NGHIÊN CỨU.

Hướng nghiên cứu TÀI LIỆU THAM KHẢ PHỰ LỰC HƯỚNG DẪN CẢI ĐẶT SNORT. Hinh 29: Phat hién tin céng TCP SYN Flood Hinh 30: Tn céng UDP Flood - Hinh 31 Wireshark bat g6i tintin céng DOS UDP Flood. Hình 32 Phat hién tin céng DOS UDP Flood. Hình 33 'Tắn công DOS ICMIP Elood.

Tình 34: 'Tân công DOS ICMF Elood. " Hình 35 Wireshark bai i tin tin céng DOS ICMP Flood. Tinh 36: Phat hién tin céng DOS ICMP Flood. Tinh 37 Cải đặi thành công hệ théng Snort inline.

Hinh 38 Minh hoạ demo hệ thống ngăn chặn xâm nhập vai Snort inline Tinh 39: Mô tả hệ thắng thử nghiệm ngăn chặn xâm nhập. Hinh 40: Phat hién tan céng SQL injection trén snort inline Hinh 41 Ngan chan tan céng DOS ICP SYN Flood. Tinh 42 Ngăn chặn tắn céng DOS UDP Flood Hinh 43 Nein chin tan céng DOS ICMP Flood. Hình 4: M46 ta cai đặt thành công snort.

Hình 45 M6 14 cau hinh snort thinh công, Chuong 1: Tổng quan về an ninh mạng Nội dung chương nảy nêu tổng quan về an ninh mạng, các yếu tố đảm bảo an toàn thông tin các kỹ thuật tan công và xâm nhập trái phép mạng máy tính củng với hậu quả của nó. Chương 2: Hệ thong IDS va IPS Nội dung chương trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt đông hê thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính. Chương 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên snort Nội dung chương gồm: Giới thiệu về snort, triển khai hê thống snort, các đặc điểm, chế độ hoạt động, luật trông snort. Chương 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập Nội dung chương gồm: xây dựng kịch bản, cải đặt mô phỏng hệ thống va thực hiện các bài thử nghiệm, đánh giá và đưa ra kết luận.

Nội dung nghiên cứu Lương Tuấn Cường - TTMMT - 2015A 3 Chuong 1: Tổng quan về an ninh mạng Nội dung chương nảy nêu tổng quan về an ninh mạng, các yếu tố đảm bảo an toàn thông tin các kỹ thuật tan công và xâm nhập trái phép mạng máy tính củng với hậu quả của nó. Chương 2: Hệ thong IDS va IPS Nội dung chương trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt đông hê thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính. Chương 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên snort Nội dung chương gồm: Giới thiệu về snort, triển khai hê thống snort, các đặc điểm, chế độ hoạt động, luật trông snort. Chương 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập Nội dung chương gồm: xây dựng kịch bản, cải đặt mô phỏng hệ thống va thực hiện các bài thử nghiệm, đánh giá và đưa ra kết luận.

Nội dung nghiên cứu Lương Tuấn Cường - TTMMT - 2015A 3 - Xay dumg hé théng IDS, IPS sir dung hệ thông mã nguồn mở Snort dé phát hiện và ngăn chin xâm nhập trái phép trong hé thống mạng. ~ Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các kiểu tấn công xâm nhập bắt hợp pháp. - Thử nghiệm và xây dựng một số tập lệnh có khả năng ngăn chặn xâm nhập dựa trên tính năng mở rộng của Snort (Snort inline) 3. Phương pháp nghiên cứu - Sử dụng HĐH mã nguồn mở Linux đề xây dựng hệ thông phát hiện và ngăn chặn xâm nhập.

- Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập bằng phần mềm mã nguồn mở SnorL - Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng những tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống có thể phát hiện và ngăn chặn những tấn công vào hệ thống mạng - Thực nghiệm đưa ra độ chính xác của các tập lệnh đã xây dựng. Đối tượng nghiên cứu ~ Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng. - Phần mềm mã nguồn mở Snort - Cấu trúc của tập lệnh Rules 5. Dự kiến kết quả nghiên cứu ~ Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ thống mạng.

~ Xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập - Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn công phổ biến như Scan hệ thống, SQL Injection, tân công từ chối dịch vụ. Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luân có các chương chính sau đây Lương Tuấn Cường- TTMMT - 2015A 2 LOI CAM BOAN Sau nhiêu tháng tìm hiểu, nghiên cứu, tôi đã hoàn thành để tài “Nghiên cứu xây dựng hệ thống phát biện và ngăn chặn xâm nhập trải phép trong hệ thống mạng”. Trong thời gian thực hiện để tài tôi đã nhận được nhiều sự giúp đỡ từ bạn bẻ, các anh chú và thấy cổ Trước tiên tôi xi gửi lời cảm ơn chân thành và sâu sắc dến thấy PGS. Nguyễn Linh Giang — Viện Công nghệ thông tin và Truyền thông, trường Đại học Bach khoa Hà nội dã luôn nhiệt tỉnh nhắc nhở, dốc thúc lôi làn việc chẩm chỉ, thầy chỉ báo vả gửi tôi nhiều bài báo cáo để tôi có thê tham khảo và hoán thành để tà có những góp ý ê cả nội dung vả trình bảy để tôi có thế hoàn thành bài báo cáo một cách tốt nhất.

'Tôi xin bảy tỏ lòng biết ơn các thầy cô trong Viện Công nghệ thông tin Truyền thông nói riêng và Đại học Bách khoa Hà nội nói chung đã chỉ đạy, cung cấp những kiến thửc quý bảu cho tôi trong suốt quá trình học tập vả nghiên cứu tại trường, Cuối cùng tôi xin gửi lời cảm ơn tới gia đình, bạn bè, những người luôn cô vũ, quan tâm vả giứp đỡ tôi trong suốt thời gian học tập và làm luận văn. Tuy dã có gắng lu hiểu, phần tích nhưng chắ rằng không tránh khôi những, thiểu sót, rât mong nhận được sự thông cảm và gúp ý của các thây oô. Tôi cam đoan đây là công trình nghiên cứu của riêng lôi Các số liệu, kết quả trong luận văn là trung thực và chưa từng dược ai công bổ trong bắt kỳ công trinh nào khác. ‘Tae gia Luong Tuần Cường MỤC LỤC 1.

Lý do chọn để tài 2. Mục tiêu nghiên cứu. Phương pháp nghiễn cứu. Đổi tượng nghiên cửu.

Dự kiến kết quã nghiên cửu - 2 II. Nội dung nghiên cứu. 3 CHƯƠNG 1: TONG QUAN VE AN NINH MẠNG.Giới thiệu về An ninh Mạng, - - - 4 1. Một số kỹ thuật tẫn công hệ thẳng mạng máy tính.

CHUGNG 2: HE THONG 1198 VA 1PS. Hệ thống phát hiện xâm nhập mạng may tinh (DS) - 20 2. Hệ thống ngăn chăn xăm nhập mang may tinh (IPS) - - 24 CHƯƠNG 3: II THONG PIAT IDEN VA NGAN CHAN XAM NIIẬP DỰA. Giới thigu vé Snort.

Triển khai hé théng Snort. Dặc điểm của snor. các te treo TỶ 3. Các chế dộ hoạt động cia Snort - - 45 3.

T-ual trong snort - 48 Chương 4: Thử nghiệm hệ thông phát hiện và ngắn chăn xâm nhập - $2 4. Sơ đỗ hệthống Thử nghiệm hệ thống phát hiện xâm nhập. Đánh giá về hệ thống phát hiện xâm nhập sử dụng SncrL (Snot Ds) 74 4-4. Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) 75 4.

Dánh giá chung về hệthống ngăn chặn và phát hiện xâm nhập với Snort. 82 KÉT LUẬN VÀ HƯỚNG NGHIÊN CỨU. Hướng nghiên cứu TÀI LIỆU THAM KHẢ PHỰ LỰC HƯỚNG DẪN CẢI ĐẶT SNORT. Hinh 29: Phat hién tin céng TCP SYN Flood Hinh 30: Tn céng UDP Flood - Hinh 31 Wireshark bat g6i tintin céng DOS UDP Flood.

Hình 32 Phat hién tin céng DOS UDP Flood. Hình 33 'Tắn công DOS ICMIP Elood. Tình 34: 'Tân công DOS ICMF Elood. " Hình 35 Wireshark bai i tin tin céng DOS ICMP Flood.

Tinh 36: Phat hién tin céng DOS ICMP Flood. Tinh 37 Cải đặi thành công hệ théng Snort inline. Hinh 38 Minh hoạ demo hệ thống ngăn chặn xâm nhập vai Snort inline Tinh 39: Mô tả hệ thắng thử nghiệm ngăn chặn xâm nhập. Hinh 40: Phat hién tan céng SQL injection trén snort inline Hinh 41 Ngan chan tan céng DOS ICP SYN Flood.

Tinh 42 Ngăn chặn tắn céng DOS UDP Flood Hinh 43 Nein chin tan céng DOS ICMP Flood. Hình 4: M46 ta cai đặt thành công snort. Hình 45 M6 14 cau hinh snort thinh công, MUC LUC INI ANIL Hình 1: Nguy co đối với hệ thống 5 Hình 2: Kiến trúc tấn công DDos trực tiếp “ 10 Hình 3: Kiến trúc tấn công I7Dos gián tiếp hay phản phiếu 10 Hinh 4: Thanh phan của một hệ thông ID8. 21 Tình 5: Kiến trúc của Snort.

40 Hình 6: Minh họa hệ thống ngăn chăn xâm nhập sử dụng Snort mline (Snort PS). Cấu trúc luật trong snort 49 Hình #: Mô phỏng hệ thắng thử nghiệm Tĩnh 9: Miô tả phát hiện của Snort. Hình 1Ô Mô tã nhát hiện truy cập vào wobsito nửa snort Hinh 11 Quét công KIN Scan. Tĩnh 12 Wireshark bat géi lin FIN Scan Hình 13 Snort IDS phat hién quét công ETN Sean.

Hình 14: Quét công NULL Scan. Hình 15 Snort IDS phát hiện quét ng NULL Scan Hình l6 Quét công XMAS Scan. Hinh 17 Snort IDS phát hiện quét cdng XMAS Scan. : Hinh 18 Mã lỗi SQI.

injection Hinh 19: 'Trang đăng nhập. Tinh 20: Đăng nhập thành công. Hinh 21 Đăng nhập thất bại Tlinh 22 Mô phông tấn công SQL injection qua form đăng nhập Tĩnh 23 Snort IDS phát hiện tắn céng SQL injection Hình 24 Bắt gói tin tấn công có từ khỏa truy vấn trong SQL. 64 Hình 25 Phát hiện tắn công chứa từ khóa truy vấn trong SQL.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ