HỆ THỐNG PHÒNG VỆ NHIỀU LỚP
II.2.Hệ phát hiện xâm nhập
II.2.1. Một số khái niệm cơ bản
Intrusion Detection System (IDS) là một công nghệ mới tin cậy cho việc giám sát mạng. Nó giúp cho quản trị hệ thống giám sát mọi sự xâm nhập vào mạng. Intrusion Detection là tiến trình giám sát mọi sự kiện xảy ra trong hệ thống. Intrusion được định nghĩa như là một hành động mà dựa vào đó để đánh giá tính tin cậy, sự toàn vẹn và tính hợp lệ của nguồn tài nguyên. Firewall được thiết kế để ngăn chặn mọi truy nhập đến tài nguyên, IDS được sử dụng để báo cáo và giám sát mọi hành động này.
IDS có một số khái niệm như sau:
· Activity : (một hoạt động) là một thành phần của nguồn dữ liệu mong muốn của bộ phận điều hành. Nó có thể bao gồm các sự xuất hiện cụ thể của một loại hoạt động mà nó đáng nghi ngờ. Ví dụ như một yêu cầu kết nối TCP xuất hiện lặp đi lặp lại từ cùng một địa chỉ IP
· Administrator : là người quản trị hệ thống, người này có trách nhiệm thiết lập toàn bộ chính sách an toàn của tổ chức. administrator có thể triển khai và cấu hình IDS, đặt ra các cấp độ cảnh báo, lịch sử logging, khả năng giám sát các phiên làm việc.
· Alert : là một cảnh báo có được từ sự phân tích những sự kiện đã xảy ra. Cảnh báo này bao gồm những thông tin có trong activity, như là những sự kiện đã xảy ra…cảnh báo này có thể được phát ra khi số lượng traffic của ICMP vượt quá ngưỡng hoặc lặp lại quá nhiều thao tác logon khi đăng nhập sai acc. Cảnh báo sẽ xảy ra khi nhiều hành động nào đó vượt quá ngưỡng cho phép đã được thiết đặt trước.
· Analyzer : là thành phần hoặc tiến trình phân tích từ dữ liệu thu thập được bởi bộ cảm biến. Analyzer làm việc bằng cách giám sát mọi sự kiện và xác định xem hành động xảy ra đó có khác thường hay không.
· Data source : là thông tin thô mà IDS sử dụng để phát hiện những hành động mà nó nghi ngờ. Data source có thể bao gồm những file được kiểm định, hệ thống log hoặc network traffic.
· Event : sự kiện là sự xảy ra trong nguồn dữ liệu mà nó cho biết hoạt động đáng nghi ngờ này đã xảy ra. Một sự kiện có thể phát ra cảnh báo.
· Manager : là thành phần hoặc tiến trình điều hành sử dụng để quản lý IDS. IDS console là một manager. Sự thay đổi cấu hình trong IDS được làm bằng cách truyền thông với IDS manager.
· Notification : là tiến trình hoặc phương pháp mà nó được IDS manager quan tâm để điều hành 1 cảnh báo. Nó có thể là 1 email gởi đến nhóm administrator trong mạng.
· Operator: là người chịu trách nhiệm chính về hành vi của IDS
· Sensor: một cảm biến là thành phần của IDS, nó thu thập dữ liệu từ data source và chuyển đến bộ phân tích để phân tích. Một cảm biến có thể là 1 thiết bị trong mạng, hoặc nó có thể là 1 hộp đen kết nối vào mạng và báo cáo cho IDS. Điều quan trọng nhất nên nhớ rằng, cảm biến là điểm thu thập dữ liệu chính cho IDS.
Có hai cách tiếp cận IDS (Intrusion Detection System) thường được sử dụng: Misuse Detection IDS (MD-IDS) và Anomaly Detection IDS (AD-IDS).
· Misuse Detection IDS (MD-IDS) là tiêu điểm chính trong việc đánh giá sự tấn công dựa trên hệ thống signature và kiểm tra dấu vết. Attack signature mô tả một phương pháp thông thường được thiết lập để tấn công hệ thống. Ví dụ tấn công TCP flood bắt đầu với số lượng lớn hoặc các phiên kết nối TCP không thành công. Nếu MD-IDS có thể biết tấn công TCP flood là gì thì nó có thể cảnh báo hoặc ngăn cản kẻ tấn công.
Hình I‑2: Hành động của MD-IDS
Phương thức này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu (Signature Detection). Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng và giúp các người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình. Tuy nhiên phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong mẫu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới.
· Anomaly Detection IDS (AD-IDS): Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng. Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường. Ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống. Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp dò này có thể nhận dạng.
Có một số kỹ thuật giúp thực hiện dò sự không bình thường của các cuộc tấn công như dưới đây:
· Threshold detection (phát hiện ngưỡng): Kỹ thuật này nhấn mạnh thuật ngữ đếm(“count”) các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, nếu có sự bất thường nào đó như login với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gởi vượt quá mức…
· Self learning detection (chế độ tự học và theo dõi): kỹ thuật dò này bao gồm hai bước, khi thiết lập hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học thiết lập 1 profile về cách cư xử của mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ sensor (cảm biến) theo dõi các hoạt động bất thường của mạng so với profile đã thiết lập. Chế độ tự học có thể chạy song song với chế độ sensor để cập nhật bản profile của mình. Nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại tới khi cuộc tấn công kết thúc.
· Anomaly protocol detection (phát hiện sự bất thường của giao thức): kỹ thuật dò này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của hacker. Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng. Tuy nhiên phương pháp này là hướng được nghiên cứu nhiều hơn, hoàn thiện các nhược điểm, đưa ra ít cảnh báo sai để hệ thống chạy chuẩn xác hơn.
II.2.2. Các loại IDS
Có rất nhiều loại IDS được triển khai để hỗ trợ cho người quản trị hệ thống trong việc giám sát mạng trong đó: Network-based intrusion detection system (NIDS) và Host-based intrusion detection system (HIDS)
II.2.2.1.Network IDS
Network-based intrusion detection system (NIDS) là một thiết bị thông minh được đặt phân tán khắp các segment của mạng nhằm giám sát các traffic đi qua nó. NIDS có thể là thiết bị phần cứng hoặc phần mềm. Thông thường NIDS có 2 interface, một cái lắng nghe mọi traffic k0 được phân loại trên kênh truyền thông, cái còn lại làm nhiệm vụ phân tích lưu lượng đó dựa trên tập hợp các mẫu (signature) được thiết lập trước để nhận dạng đó có phải là luồng dữ liệu bất bình thường hay không. Nếu đặt NIDS trước firewall thì sẽ giám sát được tất cả traffic network đi vào mạng.
Trong trường hợp khác, IDS sẽ giám sát và đánh giá tất cả traffic đi vào mạng. Có 2 loại phản ứng đã được hệ thống tại tầng mạng: passive và active
Ø Passive Response (phản ứng bị động)
Một phản ứng bị động là loại thông thường nhất của phản ứng cho một vài sự xâm nhập. Passive response bao gồm:
· - Logging: phản ứng ghi log là ghi lại những sự kiện đã xảy ra và tình huống mà nó đã xảy ra. Logging cần cung cấp đủ thông tin để administrator biết được việc tấn công xảy ra nhu thế nào để giúp cho việc đánh giá mối hiểm nguy của hệ thống. thông tin này có thể được sử dụng để đưa ra những phương pháp khắc phục mối hiểm nguy.
· - Notification: phản ứng notification là sự truyền thông của thông tin các sự kiện đến người quản trị hệ thống khi sự kiện xảy ra. Nó tạm giữ lại một vài dữ liệu liên quan đến sự kiện để giúp cho việc phân tích tình hình đã diễn ra.
· - Shunning: tránh xa hoặc bỏ qua sự tấn công là phản ứng rất bình thường
Ø Active Response (phản ứng chủ động)
Phản ứng chủ động bao hàm việc thực hiện 1 hành động dựa trên sự tấn công hoặc mối đe dọa đến hệ thống. Mục tiêu của phản ứng chủ động là thực hiện hoạt động có thể một cách nhanh nhất để giảm bớt ảnh hưởng tiềm năng của 1 sự kiện.
· Kết thúc connection, tiến trình hoặc phiên làm việc: Nếu đã phát hiện ra 1 cuộc tấn công ngập lụt, IDS có thể làm cho hệ thống con như TCP bắt buộc phải khởi động lại tất cả các phiên làm việc đang hoạt động. điều này sẽ làm giải phóng tài nguyên và cho phép TCP tiếp tục hoạt động bình thường. Dĩ nhiên tất cả các phiên TCP hợp lệ sẽ được đóng và nếu cần thiết thì sẽ thiết lập lại connection này và nó có thể không có ảnh hưởng lớn đến người dùng cuối. IDS sẽ đánh giá những sự kiện và quyết định cách tốt nhất để điều khiển chúng. Hình vẽ sau đây minh họa TCP gởi cờ RST để đóng 1 phiên kết nối.
Hình vẽ trên cho thấy khi IDS phát hiện được sự xâm nhập, nó sẽ phân tích và phản ứng bằng cách gởi lệnh Reset đến client để đóng phiên kết nối này.
· Thay đổi cấu hình mạng: Nếu 1 địa chỉ IP được xác định là gây ra những cuộc tấn công lặp đi lặp lại trên hệ thống, IDS có thể chỉ thị cho router biên hoặc firewall loại bỏ tất cả những yêu cầu hoặc traffic từ Ip này. Sự thay đổi này có thể duy trì ảnh huởng lâu dài hoặc trong 1 thời gian xác định. Hình vẽ sau cho thấy IDS phản ứng bằng cách chỉ thị cho firewall đóng port 80 trong 60s để kết thúc sự tấn công vào webserver. Nếu IDS xác định 1 socket hoặc 1 port dùng riêng đang bị tấn công, nó có thể chỉ thị firewall block port trong 1 khoảng thời gian xác định. Nó sẽ loại trừ tấn công này một cách hiệu quả nhưng cũng có thể tình cờ gây ra 1 tình huống DoS do nó áp đặt (do IDS phân tích sai) và loại bỏ các trafic hợp lệ. Đây là 1 tình huống thật sự cho traffic port 80.
· Deception (giả mạo): Một phản ứng chủ động giả mạo có thể làm cho kẻ tấn công nghĩ rằng cuộc tấn công này đã thành công trong khi đó nó vẫn giám sát những hoạt động và gởi lại một lần nữa cho kẻ tấn công đến hệ thống là hệ thống này đã bị phá. Điều này cho phép quản trị hệ thống tập hợp dữ liệu về cuộc tấn công này đang được thực hiện như thế nào và những kỹ thuật nào được sử dụng trong cuộc tấn công này. Ưu điểm của loại phản ứng này là tất cả những hoạt động sẽ được giám sát và được ghi lại để phân tích khi cuộc tấn công hoàn thành. Đây là một tình huống rất khó khăn cho việc setup, và nó là nguy hiểm cho phép hacker xâm nhập vào hệ thống, thậm chí trong khi ta đang giám sát sự kiện đó.
Hình vẽ trên cho thấy một phương thức phòng vệ mới, khi IDS phát hiện ra sự tấn công, nó sẽ phân tích và phản ứng bằng cách định tuyến lại luồng dữ liệu đang tấn công đó không đi vào client mà được chuyển hướng sang honey pot (hệ thống giả lập), để thu thập phương thức tấn công của hacker
NIDS có một số ưu điểm như sau:
· Giám sát được toàn bộ lưu lượng vào ra hệ thống
· Có thể capture nội dung của tất cả gói tin trên kênh truyền thông.
· Nhược điểm:
· Chỉ có thể cảnh báo được nếu traffic đó vi phạm các quy tắc đã được thiết lập trong rule base hoặc signature
· NIDS không thể phát hiện được sự xâm nhập nếu hệ thống đã bị tấn công thành công.
· NIDS không thể phân tích được traffic đã được mã hóa
Với các hệ thống mạng dùng thiết bị switch và router thì phải config lại trên những thiết bị này để đảm bảo cho NIDS sniffer được trong toàn mạng.
II.2.2.2.Host IDS
HIDS được thiết kế để chạy như một phần mềm trong 1 hệ thống máy tính. Những hệ thống này chạy như là 1 dịch vụ hoặc như một tiến trình nền trong hệ thống máy tính. Hệ thống HIDS sẽ kiểm soát logfile máy, những sự kiện hệ thống và tương tác ứng dụng. Bình thường hệ thống HIDS không giám sát các lưu lượng mạng đi vào đến host.
HIDS có 2 vấn đề chính không dễ khắc phục. Vấn đề đầu tiên liên quan đến sự xâm nhập hệ thống, nếu hệ thống bị xâm nhập thành công thì logfile mà IDS sử dụng để báo cáo có thể bị sai hoặc không chính xác. Điều này làm cho việc xác định lỗi trở nên khó khăn hoặc hệ thống mất độ tin cậy.
Vấn đề thứ 2 của HIDS là phải triển khai nó trên mỗi hệ thống mà chúng ta cần giám sát, điều này không mang lại hiệu quả kinh tế cao nếu nó được triển khai trong 1 hệ thống mạng lớn có nhiều server dịch vụ.
Một vấn đề chính nữa là HIDS tính toán check sum của file. Nếu checksum này bị thay đổi thì nó sẽ thông báo cho người quản trị hệ thống rằng, hệ thống có thể đã bị tấn công.
Tuy nhiên việc triển khai một HIDS sẽ làm giảm hiệu năng hoạt động của server, do nó chiếm từ 20-25% hiệu suất của CPU.
Có một số loại cảm biến HIDS cơ bản như sau:
Ø Log analyzers (phân tích log)
Một tiến trình chạy trên server và xem log file trong hệ thống. Nếu có 1 log file không đúng với các tập luật trong tiến trình HIDS sensor, thì hành động này sẽ bị giữ lại.
Log file thông thường dùng để ghi nhận lại mọi hành động, mọi sự thay đổi diễn ra trong hệ thống và mọi hành vi từ bên ngoài tác động vào hệ thống. Phân tích log nhằm mục đích phát hiện ra dấu hiệu hệ thống đã bị xâm nhập.
Ø Signature-based sensors (Cảm biến dựa trên dấu hiệu)
Signature-based sensors là một tập hợp các signature được thiết lập để kiểm tra các traffic khi đi vào hệ thống. Sự khác nhau cơ bản giữa Signature-based và Log analyzers là Signature-based phân tích được mọi lưu lượng đi vào hệ thống.
Signature-based phát hiện nhanh các cuộc tấn công, tuy nhiên nó cũng có nhiều mặt hạn chế. Để phát hiện các cuộc tấn công khác thường, tinh vi thì signature database trong IDS phải lớn và được cập nhật thường xuyên. Như tăng tốc độ của mạng, điều khó khăn của Signature-based IDS là phải giữ được tốc độ với network traffic. Một cách làm thông thường nhất mà Signature-based IDS thường sử dụng là remove một vài signature trong database trước khi sử dụng chúng. Điều đó cũng đồng nghĩa rằng hệ thống sẽ có nhiều mối hiểm họa hơn do không phát hiện được những cuộc tấn công tinh vi do thiếu signature.
Ø Application behavior analyzers (phân tích hành vi ứng dụng)
Tương tự như System call analyzers, nó hoạt động như 1 phần mềm đứng giữa trình ứng dụng và hệ điều hành. Nó sẽ phân tích hành vi của trình ứng dụng, nếu thấy không hợp lệ sẽ cảnh báo hành vi đó. Ví dụ, web server thông thường cho phép kết nối ở port 80 và đọc file trong thư mục web root, nếu web server ghi file hoặc đọc file trong 1 thư mục khác hoặc mở 1 connection thì cảm biến sẽ cảnh báo hành vi bất hợp lệ này.
Ø File integrity checkers (bộ kiểm tra tính toàn vẹn)
Kiểm tra sự thay đổi của file thông qua các phương pháp mã hóa như check sum hoặc digital signature của file.
· Khi triển khai một IDS ta cần phải xem xét một số tiêu chí sau:
· Xác định được mục đích của IDS, chọn loại sự kiện cần giám sát, thiết đặt các ngưỡng và thi hành các chính sách.
· Các mục tiêu lớn của IDS là: phát hiện tấn công, ngăn ngừa tấn công, phát hiện sự vi phạm chính sách, sự ép buộc sử dụng chính sách
Khi lựa chọn IDS phải xác định được rằng IDS cần giám sát cái gì trong môi trường mà nó đang hoạt động
II.2.3. Một số phương pháp tấn công thường được sử dụng để qua mặt hệ thống IDS
II.2.3.1.Tấn công Insertion
Thông thường trong một hệ thống, NIDS sẽ được đặt trong vùng DMZ và một số segment khác tùy theo thiết kế của hệ thống đó. NIDS sẽ xem xét những dấu hiệu hoặc traffic nào đáng chú ý và sẽ cảnh báo. Một trong những dấu hiệu đáng khả nghi mà bất kỳ hệ NIDS nào cũng quan tâm là traffic telnet, TCP port 23. Ví dụ rằng nếu traffic này có nội dung là REWT thì xem như nó là account backdoor để telnet.
Giả sử 1 hacker mong muốn logon vào hệ thống bằng account REWT và trước khi tiến hành xâm nhập hacker này sẽ có một vài thao thác “trinh sát” trước hệ thống đích. Hacker có thể tránh được sự chú ý của NIDS nếu anh ta làm cho NIDS chấp nhận packet của anh ta mà các máy tính đầu cuối có thể không chấp nhận hoặc không bao giờ nhìn thấy.
Hình vẽ 2.3.3.1 minh họa trên cho thấy hacker gởi 3 packet khác nhau đã được dự định trước với TCP port 23, mỗi một packet sẽ có 1 ký tự hoặc nhiều hơn ở trong payload. Packet đầu tiên với ký tự R, cả NIDS và host nhận sẽ xem xét và chấp nhận packet với ký tự này. Ký tự thứ 2 là O được gởi đi và thông báo với NIDS rằng nó được gởi lại bởi vì phiên trước nó bị sai checksum. Do NIDS không được lập trình để kiểm tra tính hợp lệ của checksum nên nó chấp nhận packet này như là một phần hợp lệ của stream các ký tự đã được gởi cho host đích. Host đích nhận packet, kiểm tra checksum và nhận thấy checksum không hợp lệ và loại bỏ packet này. Như vậy hacker đã chèn vào 1 ký tự mong muốn trong traffic gởi đi và nó đã làm cho NIDS bị vô hiệu hóa. Cuối cùng packet thứ 3 được gởi đi với payload là EWT, lúc này cả NIDS và host đích đều chấp nhận nó
NIDS sẽ hợp nhất TCP stream và nhận thấy rằng không có mối hiểm họa nào bởi vì NIDS không nhận ra dấu hiệu ở TCP port 23 với nội dung là ROEWT. Cuối cùng host đích hợp nhất stream này là REWT, có nghĩa là một phiên telnet với user REWT không bị NIDS phát hiện.
II.2.3.2.Tấn công Evasion
Với loại tấn công này, hacker cũng làm cho NIDS bị vô hiệu hóa. Tuy nhiên hình thức tấn công sẽ khác so với phương thức trên, hình vẽ sau sẽ là ví dụ minh họa cho tấn công evasion.
Kịch bản cho cách tấn công này là gởi kèm dữ liệu trong 1 kết nối SYN. Mặc dù rằng loại kết nối này không phải là bình thường nhưng nó lại hợp lệ theo như mô tả RFC 793. Dữ liệu trong kết nối SYN là phần cuối cùng của stream được xem xét sau khi phương thức bắt tay 3 bước hoàn thành. Hacker gởi packet đầu tiên đi vào mạng với packet SYN theo như dự định TCP port 23 đến host đích. Nó có payload là R trong packet SYN này. NIDS chỉ xem xét payload sau khi bắt tay ba bước hoàn thành, do vậy trong trường hợp này nó không kiểm tra. Host đích nhận packet và lưu trữ R của stream sau khi 3 bước bắt tay hoàn thành, cuối cùng 1 packet thông thường sẽ được gởi với payload là EWT TCP port 23 đến host đích.
Kết quả là NIDS hợp nhất TCP stream cho đích đến TCP port 23 với payload đầy đủ là EWT, dấu hiệu này không nằm trong tập hợp signature mà nó đã biết. Host đích cũng sẽ hợp nhất stream với nội dung REWT và lúc này một phiên telnet đã được thiết lập
II.2.3.3.Những phương thức tấn công lợi dụng vào thời gian timeout của việc hợp nhất fragment (Fragmentation Reassembly timeout attacks)
· Fragmentation: Nếu kích thước gói tin quá lớn so với MTU thì nó sẽ bị chia nhỏ thành nhiều fragment bởi router. Mỗi fragment hay packet đều có 1 giá trị TTL (time to live) lớn hơn 1 khi đi qua mỗi router (giá trị TTL sẽ bị giảm đi 1 khi đi qua router). Khi TTL có giá trị là 0, nó sẽ loại bỏ packet/fragment và gởi 1 thông báo lỗi ICMP “Time Exceeded In Transit” quay trở lại nơi gởi (ICMP type=11, code=0)
· The IP Fragment Reassembly Timeout: Một chuỗi fragment sẽ có 1 thời gian hợp nhất (thời gian hợp nhất này tùy thuộc vào mỗi hệ thống IDS). Khi fragment đầu tiên được nhận, thời gian hợp nhất sẽ được thiết lập và đây cũng là tham số timeout cho các fragment tiếp theo sau.
· ICMP Fragment Reassembly Time Exceeded message: Khi hết thời gian hợp nhất mà vẫn chưa nhận đủ fragment thì IDS sẽ hủy datagram và gởi 1 Time Exceeded Message (ICMP type=11, code=1)
Ø Thời gian timeout cho việc hợp nhất fragment của IDS nhỏ hơn hệ thống của Victim
Với hệ thống chạy linux, thời gian hợp nhất các fragment ngầm định là 30 giây, thời gian hợp nhất của NIDS là 15 giây. Attacker lợi dụng thời gian hợp nhất của NIDS nhỏ hơn host để tấn công.
Sau khi gởi fragment đầu tiên, attacker đợi sau 15 giây mới gởi fragment thứ 2 (Hết thời gian 15 giây, NIDS sẽ hủy fragment đầu tiên nhưng host vẫn lưu giữ fragment này do chưa hết thời gian hợp nhất là 30 giây). Lúc này NIDS vẫn nhận fragment 2 như bình thường và host cũng vậy, sau đó host sẽ hợp nhất 2 fragment này như thường lệ à Attacker qua mặt được hệ thống NIDS.
Ø Thời gian timeout cho việc hợp nhất fragment của IDS lớn hơn thời gian timeout của hệ điều hành
Ngầm định, hệ thống NIDS dùng snort có fragment reassembly timeout là 60 giây. Các máy tính sử dụng linux/FreeBSD có fragment reassembly timeout là 30 giây. Attacker sẽ qua mặt NIDS với 4 fragment
· Attacker gởi fragment 2 và 4 với payload false (xem như frag 2’ và 4’), fragment sẽ được nhận bởi NIDS và Victim. Sau đó Attacker đợi cho đến khi sự kiện hết thời gian hợp nhất xảy ra tại máy victim và nó sẽ hủy những fragment vừa nhận được (time=30 secs).
· Với phương thức tấn công này, Victim sẽ không nhận được fragment 1, vì vậy nó sẽ nhanh chóng drop những fragment đã nhận trong chuỗi fragment. Sau đó attacker gởi packet 1 và 3 với payload hợp lệ. Với chiến thuật này, Victim chỉ có frag 1 và 3 còn NIDS sẽ có các fragment (1,2’,3,4’). Fragment 2 và 4 được gởi bởi attacker có payload false.
· Lúc này NIDS đã có đủ 4 fragment và sẽ tiến hành hợp nhất. Nhưng frag 2 và 4 có payload false, vì vậy checksum sẽ không hợp lệàNIDS drop packet. Tuy nhiên Victim chỉ có frag 1 và 3, nếu bây giờ attacker gởi lại frag 2 và 4 với payload valid thì NIDS cũng sẽ chỉ có 2 frag này. Bây giờ Victim sẽ có đầy đủ tất cả 4 fragment với 1 payload valid và nó sẽ tiến hành hợp nhất chuỗi fragment nàyàattacker gởi gói tin giả mạo qua mặt được hệ thống NIDS.
Ø Tấn công TTL (Time To Live)
Với phương thức tấn công này thì yêu cầu attacker phải nắm rõ cấu trúc mạng của Victim. Những thông tin này có thể có được nhờ những công cụ như traceoute (cho biết số router giữa attacker và victim), nslookup...
Router sẽ nằm ở giữa NIDS và Victim, attacker đã trinh sát trước để có được thông tin này. Attacker sẽ tiến hành tấn công qua mặt NIDS bằng 3 fragment. Attacker gởi fragment đầu tiên với TTL đủ lớn để đạt được đến đích cuối cùng, frag1 sẽ được nhận bởi NIDS và Victim. Tuy nhiên fragment thứ 2 (fragment 2’) được gởi đi với TTL=1 với payload false và sẽ bị discard khi đi qua router (TTL=0). Tiếp theo Attacker gởi fragment 3 với TTL đủ lớn, NIDS và Victim đều nhận được frag 3 này. Lúc này NIDS sẽ tiến hành hợp nhất chuỗi fragment này và đương nhiên là việc hợp nhất k0 thể hoàn thành được. Bây giờ Attacker sẽ gởi lại frag2 với payload hợp lệ và frag2 sẽ được nhận bởi NIDS và Victim, lúc này Victim sẽ tiến hành hợp nhất chuỗi fragment và đương nhiên là sẽ thành côngàAttacker qua mặt được NIDS
II.2.4. Một số dấu hiệu bất thường phát hiện sự xâm nhập
Bảng I‑1: IP Normalizations
STT
IP Field
Normalization Performed
1
Version
Non- Ipv4 packet dropped
2
Header Len
Header Len
Drop if hdr_len too small
Drop if hdr_len too large
3
Diffserv
Clear field
4
Total Len
Total Len
Drop if tot_ len>link layer len
Trim if tot_len<link layer len
5
IP Indentifier
Encrypt ID
6
Frag offset
Reassemble fragmented packets
Drop if offset + len> 64KB
7
DF
DF
Clear DF
Drop if DF set and offset> 0
8
Src addr
Src addr
Src addr
Drop if class D or E
Drop if MSByte=127 or 0
Drop if 255.255.255.255
9
Dst addr
Dst addr
Dst addr
Drop if class E
Drop if MSByte=127 or 0
Drop if 255.255.255.255
10
Checksum
Verify, drop if incorrect
Bảng I‑2: UDP Normalizations
STT
UDP Field
Normalization Performed
1
Length
Drop if doesn’t match length as
indicated by IP total length
2
Checksum
Verify, drop if incorrect
Bảng I‑3: TCP Normalizations
STT
TCP Field
Normalization Performed
1
Seq Num
Seq Num
Seq Num
Enforce data consistency in retransmitted
Segments
Trim data to window
Cold-start: trim to keep-alive
2
Ack Num
Drop ACK above sequence hole
3
SYN
SYN
SYN
SYN
Remove data if SYN=1
If SYN=1 & RST=1, drop
If SYN=1 & FIN=1, clear FIN
If SYN=0 & ACK=0 & RST=0,drop.
4
RST
RST
RST
Remove data if RST=1
Make RST reliable
Drop if not in window
5
FIN
If FIN=1 & ACK=0, drop
6
PUSH
If PUSH=1 & ACK=0, drop
7
Header Len
Header Len
Drop if less than 5
Drop if beyond end of packet
………….
………………….
Bảng I‑4: ICMP Normalizations
STT
ICMP Type
Normalization Performed
1
Echo request
Echo request
Echo request
Drop if destination is a multicast or broadcast address
Optionally drop if ping checksum
Incorrect
Zero “code” field
2
Echo reply
Echo reply
Echo reply
Optionally drop if ping checksum
Incorrect
Drop if no matching request
Zero “code” field
3
Source Quench
Optionally drop to prevent DoS
4
Destination Unreachable
Unscramble embedded scrambled
IP identifier
5
other
Drop
Bạn đang đọc truyện trên: Truyen2U.Pro