|
|
Cảm ơn bạn nhiều, Khi có gì không hiểu mình hỏi bạn tím được không?
|
|
|
Để mình trả lời địa khái 2 câu hỏi của bạn xem đúng ý bạn chưa nhá :
1. Dựa trên snort có thể xem như 1 IDS nó thường phát hiện nguy hại trên 1 số cách nhất định ví dụ ở đây mình tìm hiều nhờ đọc trên mạng và dịch dc thì mình biết dc 3 cách:
-Dựa vào sự bất thường ví dụ như là 1 máy tính thường truy cập vào 1 web site theo 1 giờ cố định đột nhiên một hôm nó liên tục truy cập vào trang web đó vào 1 thời gian như ngoài giờ làm việc chẵng hạn đó là điều bất thường...
-Phát hiện nhờ chế độ tự học
nó sẽ dc bật lên lúc bắt đầu hoạt động của hệ thống nó sẽ lưu lại các hoạt động bình thường của hệ thống để có thể so sánh và phát hiện ra lập tức nếu hệ thống xảy ra điều bất thường... và quá trình tự học này sẽ ngưng lại nếu dấu hiệu tấn công này bắt đầu cho đến khi cuộc tấn công kết thúc để ko bị ghi nhận lầm dấu hiệu tấn công là dấu hiệu bình thường của hệ thống
-Phát hiện dựa trên protocol
như ở trên câu hỏi đầu tiên tui có nói tiến trình của nó là sẽ decode->so sánh rule->alarm, decode ở đây là phân tích các gói tinh trên mạng hoặc là các file log lưu lại trên máy để tìm ra các đấu hiều mà nó so sánh với rule chuẩn mà do người dùng đặt ra hoặc hệ thống cho sẵn như trên website của snort có cung cấp 1 số gói source free sau đó từ đó mà báo động....
2. Câu 2 này bạn hỏi về Ping of Death cũng theo google và tìm hiểu blabblab trên mạng như đã nói ở trên thì nó theo mình dc biết cũng khá tương tự như cách ping thông thường chỉ khác là nói gửi với IPv4 rất lớn, lớn hơn khoản 65535 byte bằng chia nhỏ packet ra để gửi thành các gói nhỏ hơn...(mình tường gọi dạng này là teardrop trong DDoS có thể mình nhầm lẫn như mình thấy khá giống ko biết có đúng ko có sai chỉ giáo thêm giúp mình) gây ảnh hưởng tới việc tràn bộ nhớ đệm...
còn việc bạn kêu mình dựng lên rule cho nó thật sự là bất khả thi vì mình ko hiểu cách dựng rule như thế nào nên mới lên đây hỏi về dấu hiệu nhận biết các kiểu tấn công trong 1 gói tin cụ thể như thế nào và dựng rule lên như thế nào mà ...
Mình chỉ bik sơ sơ là cấu trúc 1 rule gồm: alarm | prototype | IP | port | -> | IP | port
trong đó IP và port đầu là IP và port của ngồn còn cái sau là IP và port của đích
mình thật sự rất muốn hiểu thật sự thì dấu hiệu và rule dc dựng thực tế như thế nào nên mới tha thiết lên đây hỏi nếu bạn có thì gửi tài liệu mà bạn đọc dc chỉ chỗ cụ thể giúp chứ thật sự mình trả lời dc cả 2 câu cũng chả lên đây lập topic hỏi làm gì... tại câu hỏi bạn y chang câu mình hỏi ở trên =_="
|
|
|
Dạ e có tìm sách rồi ạ! Nhưng sách về snort chỉ đưa ra cách cấu hình dựng rule và alert lúc bắt dc lổi thôi chứ ko đưa ra dấu hiệu nhìn thấy dc trong gói tin 1 cách cụ thể là có dấu hiệu gì ...
|
|
|
|
|
|
|