banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Tạo snort rules chống DoS  XML
  [Question]   Tạo snort rules chống DoS 11/10/2008 02:04:30 (+0700) | #1 | 154753
khicon19bmt
Member

[Minus]    0    [Plus]
Joined: 16/05/2004 22:54:18
Messages: 14
Offline
[Profile] [PM]
Hi all,

Hiện tại mình đang làm với hệ thống IPS sử dụng sensor engine là snort, tuy nhiên khi sử dụng tool DosHttp thử DoS vào web server IIS 6.0 thì hệ thống IPS này không ngăn chặn được dù mình đã active các rule default về DDos, Dos. IPS chạy ở chế độ inline.
Có ai đã làm việc với snort có thể tư vấn giúp mình với, liệu có phải viết thêm rules để chống lại tool dos này không?
Vì mình nghĩ là với tool đơn giản như thế này thì các rules default của IPS phải chống tốt rồi chứ!

Cám ơn các bạn!

P/s: Mình không kết hợp với fw vì muốn chính hệ thống IPS ngăn chặn dos.
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 11/10/2008 02:12:16 (+0700) | #2 | 154754
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

khicon19bmt wrote:
Hi all,

Hiện tại mình đang làm với hệ thống IPS sử dụng sensor engine là snort, tuy nhiên khi sử dụng tool DosHttp thử DoS vào web server IIS 6.0 thì hệ thống IPS này không ngăn chặn được dù mình đã active các rule default về DDos, Dos. IPS chạy ở chế độ inline.
Có ai đã làm việc với snort có thể tư vấn giúp mình với, liệu có phải viết thêm rules để chống lại tool dos này không?
Vì mình nghĩ là với tool đơn giản như thế này thì các rules default của IPS phải chống tốt rồi chứ!

Cám ơn các bạn!

P/s: Mình không kết hợp với fw vì muốn chính hệ thống IPS ngăn chặn dos. 


Các default rules có sẵn trong snort bao gồm những dạng nào? tool DoSHttp tạo ra cái gì? Có dấu hiệu gì? Liệu IPS biết là DDoS đang xảy ra không?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 11/10/2008 02:37:25 (+0700) | #3 | 154755
khicon19bmt
Member

[Minus]    0    [Plus]
Joined: 16/05/2004 22:54:18
Messages: 14
Offline
[Profile] [PM]

conmale wrote:


Các default rules có sẵn trong snort bao gồm những dạng nào? tool DoSHttp tạo ra cái gì? Có dấu hiệu gì? Liệu IPS biết là DDoS đang xảy ra không?  


Hi anh conmale,
- "dạng" ở đây em muốn nói là các rules trong class DOS của snort.
- DSHttp tạo ra các request liên tục vào Web server
- vì ở đây chỉ làm trong môi trường test, nên em nghĩ "dấu hiệu" là:
+ cùng xuất phát từ 1 số IP ( trên client dùng DoSHTTP)
+ số lượng request trong cùng khoảng thời gian
- em không thấy IPS đưa ra các cảnh báo khi thực hiện DoS nên mới đặt ra câu hỏi là có cần viết rule (user defined) để chặn hay không, vì thực sự em cũng đang thắc mắc là chẳng lẽ IPS khi active hết các rule chống dos mà vẫn không phát hiện được tool này sao?

Vì cũng mới làm với hệ thống này nên em rất mong nhận được sự giúp đỡ của anh và các bạn!
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 11/10/2008 03:11:22 (+0700) | #4 | 154756
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

khicon19bmt wrote:

conmale wrote:


Các default rules có sẵn trong snort bao gồm những dạng nào? tool DoSHttp tạo ra cái gì? Có dấu hiệu gì? Liệu IPS biết là DDoS đang xảy ra không?  


Hi anh conmale,
- "dạng" ở đây em muốn nói là các rules trong class DOS của snort.
- DSHttp tạo ra các request liên tục vào Web server
- vì ở đây chỉ làm trong môi trường test, nên em nghĩ "dấu hiệu" là:
+ cùng xuất phát từ 1 số IP ( trên client dùng DoSHTTP)
+ số lượng request trong cùng khoảng thời gian
- em không thấy IPS đưa ra các cảnh báo khi thực hiện DoS nên mới đặt ra câu hỏi là có cần viết rule (user defined) để chặn hay không, vì thực sự em cũng đang thắc mắc là chẳng lẽ IPS khi active hết các rule chống dos mà vẫn không phát hiện được tool này sao?

Vì cũng mới làm với hệ thống này nên em rất mong nhận được sự giúp đỡ của anh và các bạn!
 


-----> có đặc tính gì? dấu hiệu gì để nhận diện gói tin?

----> nếu nhóm luật mặc định của IDS không có thì tất nhiên là phải viết rule.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 11/10/2008 05:11:20 (+0700) | #5 | 154765
khicon19bmt
Member

[Minus]    0    [Plus]
Joined: 16/05/2004 22:54:18
Messages: 14
Offline
[Profile] [PM]
Hiện tại thì em vẫn chưa tìm hiểu dấu hiệu của packet do tool doshttp này gửi đến server vì cứ nghĩ con IPS sẽ chặn được khi kích hoạt hết các rule về dos của nó. Nhưng không thấy nó làm gì cả!! Xem lại các rule default thì đúng là không có cái nào cho doshttp cả!

Cám ơn anh đã góp ý!

[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 11/10/2008 05:22:30 (+0700) | #6 | 154767
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

khicon19bmt wrote:
Hiện tại thì em vẫn chưa tìm hiểu dấu hiệu của packet do tool doshttp này gửi đến server vì cứ nghĩ con IPS sẽ chặn được khi kích hoạt hết các rule về dos của nó. Nhưng không thấy nó làm gì cả!! Xem lại các rule default thì đúng là không có cái nào cho doshttp cả!

Cám ơn anh đã góp ý!

 


Gợi ý: dùng một cái sniffer (như wireshark hay tcpdump) để sniff mớ packets đang DDoS và từ đó mới hình thành cái "signature" cho snort. Nếu không: zero.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 11/10/2008 06:07:01 (+0700) | #7 | 154772
khicon19bmt
Member

[Minus]    0    [Plus]
Joined: 16/05/2004 22:54:18
Messages: 14
Offline
[Profile] [PM]
vâng, em cũng sniffer được 1 mớ rùi, đang tìm các "signature" nó nằm ở đâu! Cám ơn anh! smilie
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 18/10/2008 13:32:32 (+0700) | #8 | 155670
Giang Hồ Mạng
Member

[Minus]    0    [Plus]
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
[Profile] [PM]
Snort là 1 hệ thống phát hiện xâm nhập mạng có chức năng quét , dò tìm những thứ linh tinh đang di chuyển trên mạng . Nó chỉ báo động đỏ, phát hiện những thứ đang di chuyển trên mạng của bạn chứ nó không có chức năng để ngăn chặn luồng thông tin đang di chuyển trên mạng .

Làm quen với Snort thì nên tham khảo snort.conf , rules (luật là thứ quan trọng nhất trong snort), reference.config, classification.config . Kết hợp với tcpdump và syslog ta sẽ thu được nhiều kết quả , tóm lại nó chức năng ghi nhận cảnh báo từ đó sẽ đưa ra cho người quản trị những thông báo cần thiết hay không cần thiết phụ thuộc vào rules và nó là 1 sniffer . smilie

Vài nhận xét
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 19/10/2008 01:23:48 (+0700) | #9 | 155708
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

khicon19bmt wrote:
vâng, em cũng sniffer được 1 mớ rùi, đang tìm các "signature" nó nằm ở đâu! Cám ơn anh! smilie 


Theo ngữ nghĩa "chuyên" thì em:

- Tìm pattern.
- Hình thành signature.

smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 15/11/2008 14:18:59 (+0700) | #10 | 158968
channhua
Elite Member

[Minus]    0    [Plus]
Joined: 18/07/2003 04:49:28
Messages: 338
Offline
[Profile] [PM] [WWW] [Yahoo!]
nếu dos http vào apache hay iis mình dùng raw log của apache hay iis để nhận biết dấu hiệu có đủ để viết rule ko anh?
[Up] [Print Copy]
  [Question]   Re: Tạo snort rules chống DoS 16/11/2008 01:26:49 (+0700) | #11 | 159029
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

channhua wrote:
nếu dos http vào apache hay iis mình dùng raw log của apache hay iis để nhận biết dấu hiệu có đủ để viết rule ko anh? 


"raw log" có những gì trong đó em?

và "rule" của snort cần những thông tin nào để hình thành?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 23/10/2009 00:16:38 (+0700) | #12 | 196407
[Avatar]
blackholesun
Member

[Minus]    0    [Plus]
Joined: 04/08/2005 02:29:50
Messages: 57
Offline
[Profile] [PM]
Hi anh conmale!

Em cũng có thắc mắc giống với bạn ở trên, em tự hỏi tập hợp rule do SourceFire cung cấp không thể chặn những dạng tấn dos như trên sao anh?
Vì em thấy họ có chứng nhận, rồi còn bán nữa. Việc tạo rule và kiểm soát, tinh chỉnh nó theo em không phải là dễ.
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 23/10/2009 00:33:41 (+0700) | #13 | 196410
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

blackholesun wrote:
Hi anh conmale!

Em cũng có thắc mắc giống với bạn ở trên, em tự hỏi tập hợp rule do SourceFire cung cấp không thể chặn những dạng tấn dos như trên sao anh?
Vì em thấy họ có chứng nhận, rồi còn bán nữa. Việc tạo rule và kiểm soát, tinh chỉnh nó theo em không phải là dễ. 


SourceFire cam kết là họ có snort rules nhận diện tất cả mọi dạng DDoS hay sao? Vậy thì họ kinh khủng quá.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 14/02/2012 07:32:04 (+0700) | #14 | 253591
[Avatar]
nature8x
Member

[Minus]    0    [Plus]
Joined: 22/09/2009 11:04:10
Messages: 132
Offline
[Profile] [PM]
ai viết rules cho snort tấn công DDos rồi up lên mình tham khảo với
[Up] [Print Copy]
  [Question]   Tạo snort rules chống DoS 14/02/2012 08:44:10 (+0700) | #15 | 253598
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

nature8x wrote:
ai viết rules cho snort tấn công DDos rồi up lên mình tham khảo với  

Snort là gì nó có khả năng tấn công DDos sao? smilie

Điểm các bạn cần lưu ý là: Cần nắm vững Snort là gì? Hoạt động như thế nào? => Nó có khả năng gì? Làm được những gì? Và kết hợp được những thành phần nào khác.

Bản thân Snort là một IDS (intrusion detection system). Nó không có khả năng chống tấn công, nó đơn thuần chỉ cảnh báo khi có các dấu hiệu (signature) di chuyển trên mạng.
Snort có thể kết hợp với IPtable để tạo thành một hệ thống IPS (Intrusion prevention system).

Muốn phát hiện tấn công hay ngăn chặn tấn công thì ta đều phải cung cấp các Signature cho Snort.

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|