Page 13 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 13
Bỏi vì nó là một phần mềm mã nguồn mở nên Snort có
tiềm năng phát triển cđ sở dữ liệu chữ ký nhanh hơn bất
kỳ một công cụ có sở hữu nào khác. Các dấu hiệu của
Snort được sử dụng trong tất cả mọi thứ từ các firewall
thương mại đến các phần mềm middleware như Hogvvash.
Snort bao gồm một bộ giải mã các gói tin, một thiết bị phát
hiện, và một hệ thông nhỏ logging và cảnh bá. Snort là
một IDS trạng thái, có nghĩa rằng nó có thể tập hỢp lại và
ghi nhận các tấn công dựa trên phân đoạn TCP.
Một vài bạn đọc có thể đã gặp nhiều khái niệm một
firewall đa trạng thái hoặc íĩrevvall không trạng thái nhiều
hơn là một hệ thống phát hiện xâm nhập. Tuy nhiên, cả hai
khái niệm đều như nhau. Firewalls không trạng thái (và
NIDSs) làm việc vói các gói tin riêng rẽ trong khi một firewall
trạng thái lại cân nhắc đến các trạng thái kết nốĩ. Ví dụ đơn
giản nhất như sau: Nếu một kẻ tấn công chia nhỏ các gói tin,
thì IDS không trạng thái sẽ bỏ lỡ nó (bởi vì một dấu hiệu
không bao giò xuất hiện trong một gói tin), tuy nhiên nó lại bị
thiết bị IDS trạng thái phát hiện được bởi vì nó thu thập các
phần đáng nghi không chỉ dựa trên một gói tin mà trên cả
dòng dữ liệu trong quá trình kết nôi.
Tuy nhiên, những NIDs trạng thái cũng không tránh
khỏi việc bỏ lỡ những dấu hiệu xâm nhập. Trong chương
này chúng tôi sẽ cung cấp một vài ví dụ. Ví dụ cơ bản nhất
cho dấu hiệu để phát hiện của IDS liên quan đến một cuộc
tấn công web đó là dựa trên lỗi CGI Scripts. Một công cụ
phát hiện lỗi của hacker thường xuyên bao gồm việc quét
lỗi CGI để phát hiện những web server có lỗi CGI . Ví dụ
như, một lỗi rất nổi tiếng phf cho phép một kẻ tấn công có
thể quay lại bao nhiêu file thay thế cho các tài liệu html.
Cuộc tấn công này chỉ đơn giản sử dụng một script CGI
nghèo nàn để truy cập đến các íĩle và các thư mục được cho
phép trên web server . Để phát hiện được tấn công dựa
1 A
