BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI BÁO CÁO NGHIÊN CỨU KHOA HỌC Đề tài: Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng Chủ nhiệm đề tài: Trịnh Thị Lý Hà Nội, Năm 2013 BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI BÁO CÁO NGHIÊN CỨU KHOA HỌC Đề tài: Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng CƠ QUAN CHỦ TRÌ CHỦ NHIỆM ĐỀ TÀI (Ký tên đóng dấu) ThS Trịnh Thị Lý Hà nội, năm 2013 Chương LỜI CẢM ƠN Trước hết xin gửi lời cảm ơn tới Cán bộ, Giảng viên Khoa Công nghệ Thông tin, Cán bộ, Giảng viên Trường Đại học Tài nguyên Môi trường Hà Nội góp ý tận tình giúp đỡ suốt trình thực đề tài nghiên cứu khoa học Tôi xin lời cảm ơn sâu sắc tới Phòng Khoa học Công nghệ Hợp tác Quốc tế Trường Đại học Tài nguyên Môi trường Hà Nội tận tình dẫn cung cấp tài liệu quý cho suốt thời gian thực đề tài nghiên cứu khoa học Cuối xin dành tình cảm biết ơn tới gia đình bạn bè, người bên cạnh tôi, động viên, chia sẻ suốt thời gian thực đề tài nghiên cứu khoa học “Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng” MỤC LỤC Trang CƠ QUAN CHỦ TRÌ CHỦ NHIỆM ĐỀ TÀI Hà nội, năm 2013 .2 Chương LỜI CẢM ƠN Trước hết xin gửi lời cảm ơn tới Cán bộ, Giảng viên Khoa Công nghệ Thông tin, Cán bộ, Giảng viên Trường Đại học Tài nguyên Môi trường Hà Nội góp ý tận tình giúp đỡ suốt trình thực đề tài nghiên cứu khoa học Tôi xin lời cảm ơn sâu sắc tới Phòng Khoa học Công nghệ Hợp tác Quốc tế Trường Đại học Tài nguyên Môi trường Hà Nội tận tình dẫn cung cấp tài liệu quý cho suốt thời gian thực đề tài nghiên cứu khoa học Cuối xin dành tình cảm biết ơn tới gia đình bạn bè, người bên cạnh tôi, động viên, chia sẻ suốt thời gian thực đề tài nghiên cứu khoa học “Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng” MỞ ĐẦU TỔNG QUAN VỀ AN NINH MẠNG 2.1 Vấn đề an ninh bảo mật thông tin Việt Nam 2.1.1 Thực trạng nguyên nhân 2.1.2 Giải pháp mặt kỹ thuật 2.2 Những mối đe dọa 2.2.1 Mối đe dọa cấu trúc ( Untructured threat) .4 2.2.2 Mối đe dọa có cấu trúc ( Structured threat) 2.2.3 Mối đe dọa từ bên (External threat) 2.2.4 Mối đe dọa từ bên ( Internal threat ) 2.3 Các phương thức công ( Attack methods) 2.3.1 Tấn công từ chối dịch vụ 2.3.2 Thăm dò (Reconnaisance) 2.3.3 Truy nhập (Access) SƠ LƯỢC VỀ HỆ THỐNG IDS 10 3.1 Giới thiệu IDS 10 3.1.1 Định nghĩa 10 3.1.2 Chức .10 3.1.3 Phân loại .11 3.1.4 Hoạt động IDS 15 3.1.5 Cấu trúc hệ thống IDS 15 3.1.6 Các phương pháp nhận diện 17 XÂY DỰNG MÔ HÌNH SẢN PHẨM 19 4.1 Giới thiệu Snort 19 4.1.1 Các thành phần Snort: 19 a) Packet Decoder 20 b) Preprocessors .20 c) Detection Engine 21 d) Logging Alerting System 23 e) Output Modul 24 4.1.2 File cấu hình 24 a) Cấu hình biến giá trị .25 b) Cấu hình tiền xử lý (Prepropcessors) 26 c) Cấu hình xuất kết 28 d) Các file kèm theo 30 4.1.3 Tập luật (rulesets) Snort 31 Cấu trúc rule: Tất rule có phần logic: rule header rule options 31 4.2 Cài đặt cấu hình Snort 40 4.2.1 Các bước cài đặt cấu hình 40 4.2.2 Các chế độ hoạt động .44 4.3 Mô hình toán .46 4.3.1 Bài toán .46 46 Một hệ thống mạng Lan gồm máy chủ server PC Cần cài đặt host IDS để phát công vào máy chủ server 46 Trong mô hình bao gồm 2PC -Hub -Server (My computer) Trên PC sử dụng tool để công máy chủ cài đặt Snort 46 4.3.2 Bài toán .48 49 Hình 3.20 Kết cảnh báo console 49 Chương KẾT LUẬN VÀ KIẾN NGHỊ .50 TÀI LIỆU THAM KHẢO 51 MỞ ĐẦU Ngày với phát triển mạnh mẽ công nghệ thông tin truyền thông, mạng máy tính trở thành phương tiện điều hành thiết yếu lĩnh vực hoạt động toàn xã hội Khả kết nối toàn giới mang lại thuận tiện cho tất người, tiềm ẩn nguy khó lường đe dọa tới mặt đời sống xã hội Việc trộm thông tin mạng gây ảnh hưởng đến tính riêng tư cho cá nhân, vụ lừa đảo, công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho công ty gây phiền toái cho người sử dụng mạng máy tính…làm cho vấn đề bảo mật mạng vấn đề nóng hổi thời từ mạng máy tính đời Bảo mật vấn đề lớn tất mạng môi trường doanh nghiệp ngày Hacker Intruder (kẻ xâm nhập) nhiều lần thành công việc xâm nhập vào mạng công ty đem nhiều thông tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng giao tiếp Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo)… có hệ thống phát xâm nhập Phát xâm nhập tập công nghệ phương thức dùng để phát hành động khả nghi host mạng Sử dụng phương thức phát xâm nhập, bạn thu thập, sử dụng thông tin từ loại công biết để tìm cố gắng công vào mạng hay máy cá nhân Thông tin thu thập theo cách sử dụng làm cho mạng an toàn hơn, hoàn toàn hợp pháp Sản phẩm thương mại mã nguồn mở sẵn có cho mục đích Do yêu cầu thực tế lựa chọn đề tài nghiên cứu khoa học là: “Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng” Mục đích đề tài xây dựng giải pháp phát xâm nhập trái phép cảnh báo cho người quản trị chuyển đến firewall cài đặt mạng Chương TỔNG QUAN VỀ AN NINH MẠNG 2.1 Vấn đề an ninh bảo mật thông tin Việt Nam 2.1.1 Thực trạng nguyên nhân Hiện nay, việc phát triển công nghệ thông tin nhằm khai thác tối đa hiệu vào công việc nhiệm vụ quan trọng nhằm đến thành công doanh nghiệp Lợi ích mà mang lại lớn, bên cạnh đó, thiệt hại mà gây khiến doanh nghiệp gặp khó khăn đề bảo mật thông tin Các doanh nghiệp Việt Nam chưa có đầu tư mức công nghệ bảo mật người Một số nguyên nhân sau mà doanh nghiệp mắc phải là: a) Sai lầm cách nghĩ, chủ quan hành động Một số doanh nghiệp cho thông tin website họ không đáng giá, không thực quan trọng lượng truy cập nên không cần thiết phải làm bảo mật cách chuyên nghiệp Nhân viên doanh nghiệp chưa thực hiểu biết, chủ quan vấn đề bảo mật thông tin ví dụ viết password hệ thống lên giấy dán lên tường, vô tình cung cấp thông tin nơi công cộng b) Rụt rè vấn đề đầu tư vào sở hạ tầng Các doanh nghiệp nhận thấy chi phí cho hệ thống bảo mật không nhỏ Một hệ thống bảo mật toàn diện ứng dụng cho doanh nghiệp quy mô nhỏ lên đến trăm ngàn đo la Mỹ, cộng với cách nghĩ chủ quan đề cập nên doanh nghiệp lơ chí bỏ qua vấn đề c) Nguồn nhân lực cho bảo mật, an ninh mạng chưa mạnh Tại Việt Nam chưa có trường Đại học sau đại học đào tạo chuyên sâu vấn đề Hầu hết có khả lĩnh vực chủ yếu tự học hỏi, rèn luyện thực tế Những người có chứng bảo mật nước chưa hẳn đáp ứng nhu cầu công việc cụ thể mạng Việt 2.1.2 Giải pháp mặt kỹ thuật a) Xây dựng hệ thống chống lại truy nhập trái phép – Firewall Khi máy tính kết nối với Internet hay môi trường mạng cục bộ, tất giao tiếp mạng nội với giới bên coi bỏ ngỏ, thông tin liệu máy tính mạng nội bảo vệ, sách bảo mật, hội bị hay thất thoát điều tránh khỏi Để hạn chế tình trạng để góp phần làm tăng khả bảo mật việc xây dựng hệ thống tường lửa Firewall điều kiện thiếu Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số hacker hay gián điệp Firewall miêu tả hệ thống phòng thủ bao quanh với “chốt” kết nối để kiểm soát tất luồng thông tin nhập xuất Firewall theo dõi khóa truy cập chốt Firewall thiết bị phần cứng chương trình phần mềm kết hợp hai Trong trường hợp, phải có hai giao tiếp mạng, cho mạng mà bảo vệ, cho mạng bên Firewall gateway điểm nối liền hai mạng, thường mạng riêng mạng công cộng Internet Nhược điểm Firewall là: − Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa − Firewall ngăn chặn công công không qua Một cách cụ thể, firewall chống lại công từ đường dialup, dò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm − Firewall chống lại công liệu Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động − Firewall làm nhiệm vụ rà quét virus liệu chuyển qua b) Xây dựng hệ thống phát xâm nhập, truy nhập trái phép IDS ipopts ipopts: < ip_option>; Header IPv4cơ dài 20 byte Bạn thêm tùy chọn vào header cuối Chiều dài phần tùy chọn lên đến 40 byte Các tùy chọn sử dụng cho mục đích khác nhau, bao gồm: − Record Route (rr) − Time Stamps (ts) − Loose Source Routing (lsrr) − Strict Source Routing (ssrr) ip_proto ip_proto: [!] < name or number>; Từ khóa ip_proto sử dụng plug-in IP Proto để xác định số giao thức header IP Từ khóa cần số giao thức đối số Bạn sử dụng tên giao thức phân giải file /etc/protocols logto logto: < file_name>; Từ khóa logto sử dụng để ghi log gói tin vào file đặc biệt msg msg: < sample message>; Từ khóa msg sử dụng để thêm chuỗi kí tự vào việc ghi log cảnh báo Bạn thêm thông điệp hai dấu ngoặc kép sau từ khóa priority priority: < priority integer>; Từ khóa priority gán độ ưu tiên cho luật react react: ; 37 Từ khóa react sử dụng với luật để kết thúc phiên, khóa vài vị trí dịch vụ Không phải tất option với từ khóa hoạt động Để sử dụng từ khóa react, bạn nên biên dịch Snort với lệnh enable-flexresp script cấu hình reference reference : ,; Từ khóa reference thêm tham khảo đến thông tin tồn hệ thống khác mạng Nó không đóng vai trò chế phát Có nhiều hệ thống để tham khảo CVE Bugtraq Những hệ thống giữ thông tin thêm kiểu công biết Bằng việc sử dụng từ khóa này, bạn kết nối đến thông tin thêm thông điệp cảnh báo resp Từ khóa resp từ khóa quan trọng Nó sử dụng để đánh bại hành vi hacker cách gửi gói tin trả lời cho host mà tạo gói tin thỏa luật Từ khóa biết Flexible Response (FlexResp) dựa FlexResp plug-in Plug-in nên biên dịch vào Snort, sử dụng lệnh ( withflexresp)trong script cấu hình rev rev: < revision integer>; Từ khóa rev thêm vào option luật Snort để số revision luật Nếu bạn cập nhật luật, bạn sử dụng từ khóa để phân biệt phiên Các module output sử dụng số để nhận dạng số revision rpc rpc: < Số ứng dụng, Số thủ tục, Số phiên bản> Từ khóa rpc sử dụng để phát yêu cầu RPC Từ khóa chấp nhận số đối số : sameip sameip; 38 Từ khóa sameip sử dụng để kiểm tra địa nguồn đích có giống hay không Nó đối số seq seq: ; Từ khóa seq luật Snort sử dụng để kiểm tra số thứ tự sequence gói tin TCP flow Từ khóa flow sử dụng để áp dụng luật lên gói tin di chuyển theo hướng cụ thể Bạn sử dụng option với từ khóa để xác định hướng Các option sau sử dụng với từ khóa : − to_client − to_server − from_client − from_server session session: [printable|all]; Từ khóa sử dụng để gạt bỏ tất liệu từ phiên TCP sid sid: < snort rules id>; Sử dụng SID, công cụ ACID biểu diễn luật thật tạo cảnh báo cụ thể tag tag: , , [, direction] Từ khóa tag từ khóa quan trọng khác sử dụng để ghi log liệu thêm vào từ ( đến) host xâm nhập luật kích hoạt Dữ liệu thêm vào phân tích sau cách chi tiết 39 tos tos: < number>; Từ khóa tos sử dụng để phát giá trị cụ thể trường TOS (Type of Service) header IP ttl ttl: < number>; Từ khóa ttl sử dụng để phát giá trị Time to Live header IP gói tin Từ khóa sử dụng với tất kiểu giao thức xây dựng IP ICMP, UCP TCP Sử dụng từ khóa ttl, bạn tìm có người cố gắng traceroute mạng bạn Vấn đề từ khóa cần giá trị TTL xác uricontent uricontent: [!] "content string"; Từ khóa uricontent giống với từ khóa content ngoại trừ việc sử dụng để tìm chuỗi phần URI gói tin 4.2 Cài đặt cấu hình Snort 4.2.1 Các bước cài đặt cấu hình Sau cài Winpcap, click vào tập tin chương trình Snort_Istaller để bắt đầu tiến trình cài đặt Trên hình Installation Options có chế lưu trữ log file theo sở liệu SQL hay Oracle, mô hình lưu trữ log Event Log nên chọn tùy chọn là: “I not plan to log to a database, or I am planning to log to one of the database listed above” 40 Hình 3.8 Lựa chọn vị trí lưu file log Sau cài đặt xong Snort, cần phải thiết lập thông số quan trọng HOME_NET PATH_RULE khởi động Snort thực công việc Giả sử mô hình, triển khai Snort lớp mạng C với dãy địa 192.168.1.0/24 nên ta thiết lập biến HOME_NET file snort.conf thư mục c:\snort\etc\ sau: 41 Hình 3.9 Thiết lập vùng bảo vệ Tiếp theo ta khai báo biến PATH_RULE đường dẫn tới thư mục chứa snort rules Hình 3.10 Thiết lập dường dẫn tới thư mục chứa snort rules Cấu hình đường dẫn dynamic loaded libraries 42 Hình 3.11 Thiết lập dẫn chứa thư viện động Thêm tùy chọn ouput alert_fast log_tcpdump để ghi cảnh báo file, lưu log directory với đường dẫn c:\snort\log\ Hình 3.12 Thiết lập đường dẫn để ghi cảnh báo Khai báo biến include classification.config reference.config Sau download rules cung cấp sẵn http://www.snort.org (lưu ý chọn phiên triển khai), giải nén copy vào thư mục snort rule ta bắt đầu tiến hành chạy snort Sử dụng lệnh cd c:\snort\bin để bắt đầu chạy snort Trước tiến hành sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính có nhiều card sử dụng lệnh snort –W để xác định card mạng sử dụng nhằm thuận tiện cho người dùng lựa chọn card mạng dùng sniffer 43 Hình 3.13 Xác định card mạng sniffer Để kiểm tra file snort.conf cấu hình hoàn chỉnh chưa ta sử dụng lệnh sau: snort –c c:\snort\etc\snort.conf –i2 (i2 cho biết ta sửu dụng card mạng thứ để thực sniffer) Sau chạy lệnh xảy lỗi lỗi liệt kê cụ thể để người dùng dễ dàng sửa chữa hay cập nhập lại 4.2.2 Các chế độ hoạt động Snort có chế độ hoạt động khác nhau: Sniffer mode, Packet Logger mode, Network Instruction Detection System Inline mode (trên Linux) Ta tiến hành chạy thử Snort chế độ: Sniffer mode: Snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị Lệnh sử dụng: Snort –v –ix (x số thứ tự card mạng muốn sử dụng) Cảnh báo hiển thị console: 44 Hình 3.14 Các cảnh báo hiển thị console Packet Logger mode: Lưu trữ gói tin tập tin log Ngoài việc xem gói tin mạng lưu trữ chúng thư mục c:\snort\log với tùy chọn –l Lệnh sử dụng: Snort –dev –ix –l c:\snort\log NIDS mode: sử dụng file snort.conf, áp dụng luật file tiến hành ghi file cảnh báo alert.ids Lệnh sử dụng: −Hiển thị console: Snort –i3 –l c:\snort\log –c c:\snort\etc\snort.conf –A console −Ghi file alert.ids: Snort –i3 –l c:\snort\log –c c:\snort\\etc\snort.conf –A full 45 4.3 Mô hình toán 4.3.1 Bài toán 192.168.1.3 192.168.1.2 192.168.1.4 Hình 3.15 Mô hình toán Một hệ thống mạng Lan gồm máy chủ server PC Cần cài đặt host IDS để phát công vào máy chủ server Trong mô hình bao gồm 2PC -Hub -Server (My computer) Trên PC sử dụng tool để công máy chủ cài đặt Snort Xây dựng: −2 PC có địa 192.168.1.4 192.168.1.2 dùng để công −1 PC dung làm máy chủ server có IP 192.168.1.3  Cài đặt cấu hình snort Thử nghiệm: Trên máy 192.168.1.2 192.168.2.4 thực ping tới máy chủ có địa IP 192.169.1.3 46 Hình 3.16 Thực ping máy client Trên cửa sổ dòng lệnh máy chủ chạy lệnh để bắt đầu sniffer ghi vào log: snort –c c:\snort\etc\snort.conf –l c:\snort\log –i1 –A console Khi xuất thông báo chế độ console báo có máy 192.168.0.2 192.168.0.4 thực hành động ping (giao thức ICMP) Hình 3.17 Kết cảnh báo hiển thị console 47 4.3.2 Bài toán Hình 3.18 Mô hình toán Xây dựng: −Cài đặt máy chủ Domain Controller (Máy chủ có địa 192.168.1.3), cài đặt Snort −Cài đặt Web server DNS server có địa 192.168.1.5 −Một máy giả lập internet Router có hai card mạng có địa 192.168.1.6 192.168.10.4 −Cài đặt PC (máy công có địa 192.168.10.3) Thử nghiệm: −Hacker sử dụng phần mềm công từ chối dịch vụ (Dos HTTP) máy chủ web với port 80 48 Hình 3.19 Mô hình toán Hình 3.20 Kết cảnh báo console 49 Chương KẾT LUẬN VÀ KIẾN NGHỊ Qua trình nghiên cứu đề tài: “Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng”, tìm hiểu nghiên cứu công cụ snort để hỗ trợ cho giải pháp Tôi nghiên cứu tìm hiểu nguyên lý hoạt động thành phần snort toàn hệ thống snort, cách thức snort vận hành đưa cảnh báo hành động xâm nhập diễn mạng Đề tài nghiên cứu rule nhà phát triển, hiểu rule snort cách xây dựng rule snort viết thành công rule phù hợp với mô hình toán đưa Tuy nhiên thời gian hạn chế nên chưa tìm hiểu hết hình thức công, dấu hiệu để hình thành nhiều rule Nếu có điều kiện phát triển phát triển đề tài theo hướng kết hợp với thiết bị ví dụ tường lửa để chặn gói tin trái phép sau phát 50 TÀI LIỆU THAM KHẢO [1] Intrusion Detection Systems (IDS) – WindowsSecurity.com [2] Syngress.Snort.2.1.Intrusion.Detection.Second.Edition.May.2004.eBook-DDU [3] “The need for Intrusion Detection System”, “How IDS Addresses common Threats, Attacks & Vulnerabilities”, Everything you need to know about IDS, 1999 AXENT Technologies, Inc [4] Intrusion Detection with Snort - Jack Koziol Sams Publishing 2003 [5] Snort, Snort Inline, SnortSam, SnortCenter, Cerebus, B.A.S.E, Oinkmaster official document http://snort.org/ http://winsnort.com http://www.quantrimang.com/ http://searchsecurity.com/ … 51 [...].. .Phát hiện xâm nhập là quá trình giám sát các sự kiện xảy ra trong một hệ thống máy tính hoặc mạng và phân tích chúng để tìm ra các dấu hiệu của sự xâm nhập Các dấu hiệu này được định nghĩa là việc thực hiện các hành động bất hợp pháp hoặc vượt qua những cơ chế bảo mật của máy tính hay của mạng Các vụ xâm nhập có thể là do kẻ tấn công truy cập vào hệ thống từ Internet, do những người dùng hợp pháp. .. lúc nhiều máy tính nối mạng Attacker cài đặt một phần mềm đặc biệt (phần mềm zombie) lên các máy tính này (máy tính zombie) để tạo ra một đội quân zombie (botnet) nhằm tấn công DoS sau này trên máy nạn nhân Phát hành một lệnh tấn công vào các máy tính zombie để khởi động một cuộc tấn công DoS trên cùng một mục tiêu (máy nạn nhân) cùng một lúc 6 Hình 1.2 Tấn công DDoS bằng Zombie b) Ping cho chết (Ping... của kẻ xâm nhập để truy nhập vào thiết bị mà không có tài khoản hay mật khẩu Việc xâm nhập đó thường được thực hiện bằng cách sử dụng các công cụ, đoạn mã hack nhằm tấn công vào điểm yếu của hệ thống hay ứng dụng Trong một số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà không thực sự cần lấy trộm thông tin, đặc biệt khi động cơ của việc xâm nhập là do thách thức hay tò mò Phương thức xâm nhập rất... người dùng hợp pháp sử dụng những dịch vụ mà họ thường nhận được từ các máy chủ Các cuộc tấn công như vậy thường buộc máy tính mục tiêu phải xử lý một số lượng lớn những thứ vô dụng, hy vọng máy tính này sẽ tiêu thụ tất cả các nguồn tài nguyên quan trọng Một cuộc tấn công từ chối dịch vụ có thể được phát sinh từ một máy tính duy nhất (DoS), hoặc từ một nhóm các máy tính phân bố trên mạng Internet (DDoS)... DoS điển hình Máy của attacker sẽ gởi rất nhiều lệnh ping đến một số lượng lớn máy tính trong một thời gian ngắn trong đó địa chỉ IP nguồn của gói ICMP echo sẽ được thay thế bởi địa chỉ IP của nạn nhân Các máy tính này sẽ trả lại các gói 5 ICMP reply đến máy nạn nhân Buộc phải xử lý một số lượng quá lớn các gói ICMP reply trong một thời gian ngắn khiến tài nguyên của máy bị cạn kiệt và máy sẽ bị sụp... khoản và mật mã cũng có thể lấy được bằng các phương pháp nghe trộm từ bước thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều thông tin Khi đã lấy được tài khoản, kẻ tấn công có thể vào hệ thống như người dùng hợp pháp bình thường, và nếu tài khoản đó có đặc quyền lớn thì kẻ xâm nhập có thể tạo ra backdoor cho các lần xâm nhập sau 9 Chương 3 SƠ LƯỢC VỀ HỆ THỐNG IDS 3.1 Giới... biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều bộ cảm biến được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. .. hay không Một trong những hạn chế là giới hạn băng thông Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền... có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên trên host để hoạt động - HIDS có thể không hiệu quả khi bị DOS 14 3.1.4 Hoạt động của IDS Nhiệm vụ chính của hệ thống IDS là phòng thủ máy tính bằng cách phát hiện một cuộc tấn công và có thể đẩy lùi nó Phát hiện vụ tấn công thù địch phụ thuộc vào số lượng và loại hành động thích hợp Công tác phòng chống xâm nhập đòi hỏi... hướng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của 1 dạng IDS riêng biệt ( Honeypot IDS), cả hai hệ thống thực và giả lập được liên tục giám sát và dữ liệu thu được được kiểm tra cẩn thận (đây là công việc chính của mỗi hệ IDS) để phát hiện các cuộc tấn công có thể (xâm nhập) Một khi xâm nhập một đã được phát hiện, hệ thống IDS phát các cảnh báo đến ... chọn đề tài nghiên cứu khoa học là: Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng Mục đích đề tài xây dựng giải pháp phát xâm nhập trái phép cảnh báo cho người quản trị... ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI BÁO CÁO NGHIÊN CỨU KHOA HỌC Đề tài: Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng CƠ QUAN CHỦ TRÌ CHỦ NHIỆM ĐỀ TÀI (Ký tên đóng... thực đề tài nghiên cứu khoa học Nghiên cứu giải pháp phát xâm nhập trái phép cho máy tính tham gia mạng MỞ ĐẦU TỔNG QUAN VỀ AN NINH MẠNG 2.1 Vấn đề an ninh bảo mật