Thạc Sĩ Nghiên cứu hệ thống giám sát, chống tấn công mạng

~ iv ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

MỤC LỤC
LỜI CAM ĐOAN
LỜI CẢM ƠN
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN
DANH MỤC CÁC HÌNH ẢNH
DANH MỤC CÁC BẢNG BIỂU
Trang
MỞ ĐẦU . 1
1. Đặt vấn đề . 1
2. Mục tiêu nghiên cứu 1
3. Đối tượng và phạm vi nghiên cứu . 2
4. Phương pháp nghiên cứu . 2
5. Ý nghĩa khoa học của đề tài 2
6. Bố cục của luận văn 2
CHƯƠNG 1. TỔNG QUAN AN NINH MẠNG 3
1.1. Tình hình an ninh mạng hiện nay 3
1.2. Các yếu tố đảm bảo an toàn thông tin 3
1.3. Các mối đe dọa đến an toàn thông tin 3
1.4. Các lỗ hổng hệ thống . 4
1.4.1. Các lỗ hổng loại C 4
1.4.2. Các lỗ hổng loại B 4
1.4.3. Các lỗ hổng loại A 5
1.5. Các nguy cơ mất an toàn thông tin 5
1.5.1. Kiểu tấn công thăm dò. 5
1.5.2. Kiểu tấn công truy cập . 5
1.5.3. Kiểu tấn công từ chối dịch vụ 6
1.6. Giải pháp an ninh mạng . 7
7
1.6.2. Hai phương thức giám sát Poll và Alert . 7
---------------------------------------------------------------- 7 ~ v ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

1.6.2.2. Phương thức Alert ---------------------------------------------------------- 7
1.6.2.3. So sánh phương thức Poll và Alert ------------------------------------------ 8
1.6.3. Giao thức quản lý giám sát mạng SNMP . 9
------------------------------------------------------------------------------- 9
------------------------------------------------ 10
--------------------------------------------------- 10
1.6.4. Kiến trúc giao thức SNMP . 11
----------------------------------------- 11
1.6.4.2. ObjectID ------------------------------------------------------------------------- 11
1.6.4.3. Object access ------------------------------------------------------------------- 13
1.6.4.4. Cơ sở thông tin quản trị MIB ----------------------------------------------- 14
1.6.5. Các phương thức của SNMP 15
1.6.5.1. GetRequest ---------------------------------------------------------------- 15
1.6.5.2. SetRequest ----------------------------------------------------------------- 16
1.6.5.3. GetResponse -------------------------------------------------------------- 16
1.6.5.4. Trap ------------------------------------------------------------------------ 16
1.6.6. Các cơ chế bảo mật cho SNMP 17
1.6.6.1. Community string -------------------------------------------------------- 17
1.6.6.2. View------------------------------------------------------------------------ 17
1.6.6.3. SNMP access control list ------------------------------------------------ 17
1.6.6.4. RMON --------------------------------------------------------------------- 18
1.6.7. Cấu trúc bản tin SNMP 18
1.6.8. Hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS) 18
1.6.8.1. Giới thiệu về IDS/IPS --------------------------------------------------- 18
1.6.8.2. Các thành phần và chức năng của IDS/IPS --------------------------- 19
1.6.8.3. Phân loại IDS ------------------------------------------------------------- 20
1.6.8.4. Cơ chế hoạt động của hệ thống IDS/IPS ------------------------------ 23
CHƯƠNG 2. NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG
MẠNG . 26
2.1. Giới thiệu chung 26
2.2. Bộ công cụ giám sát mạng – Cacti 26
2.2.1. Kiến trúc của Cacti . 26 ~ vi ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

2.2.2. Nguyên tắc hoạt động . 28
2.2.3. Các tính năng chính 29
2.2.4. Lưu trữ và xử lý dữ liệu trong hệ thống giám sát mạng Cacti . 32
2.3. Bộ công cụ chống tấn công mạng - Snort 34
2.3.1. Kiến trúc của Snort . 34
2.3.1.1. Module giải mã gói tin -------------------------------------------------- 35
2.3.1.2. Module tiền xử lý -------------------------------------------------------- 36
2.3.1.3. Module phát hiện --------------------------------------------------------- 38
2.3.1.4. Module log và cảnh báo ------------------------------------------------- 39
2.3.1.5. Module kết xuất thông tin ----------------------------------------------- 39
2.3.2. Bộ luật của Snort 40
2.3.2.1. Phần tiêu đề --------------------------------------------------------------- 40
2.3.2.2. Các tùy chọn -------------------------------------------------------------- 43
2.3.3. Chế độ ngăn chặn của Snort: Snort – Inline . 46
2.3.3.1. Các chế độ thực thi của Snort ------------------------------------------ 46
2.3.3.2. Nguyên lý hoạt động của inline mode --------------------------------- 47
CHƯƠNG 3. NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT
. 49
3.1. Giới thiệu về hệ thống giám sát, chống tấn công mạng . 49
3.2. Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công mạng . 49
3.2.1. Mô hình mạng trường . 49
3.2.2. Đề xuất mô hình . 50
3.2.3. Mô hình mạng thử nghiệm. 51
3.2.4. Triển khai thử nghiệm giám sát mạng 51
3.2.5. Triển khai thử nghiệm chống tấn công mạng. 60
3.2.5.1. Cấu hình Snort ------------------------------------------------------------ 60
3.2.5.2. Chương trình Snort ------------------------------------------------------- 64
3.3. Đánh giá kết quả thực nghiệm . 70
3.4. Kết quả thử nghiệm đạt được. 71
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 73
TÀI LIỆU THAM KHẢO . 74
~ vii ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/


DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

FTP File Tranfer Protocol Giao thức truyền tập tin
HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn bản
IP Internet Protocol Giao thức mạng
MIB Management Information Base Cơ sở thông tin quản lý
OID Object Identifier Định danh đối tượng
LAN Local Area Network Mạng cục bộ
SNMP Simple Network Managerment
Protocol
Giao thức quản lý mạng đơn giản
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập
H-IDS Host Based Intrusion Detection
System
Hệ thống phát hiện xâm nhập máy
chủ nhân
N-IDS Network Based Intrusion Detection
System
Hệ thống phát hiện xâm nhập mạng
VPN Vitual Private Network Mạng riêng ảo
CPU Central Processing Unit Đơn vị xử lý trung tâm
DOS Denial of Service Từ chối dịch vụ
DDOS Distributed Denial of Service Phân phối từ chối dịch vụ
TCP Transmission Control Protocol Giao thức kiểm soát
UDP User Datagram Protocol Giao thức sử dụng dữ liệu
ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp
Internet
MAC Media Access Controllers Bộ điều khiển truy cập truyền thông
PDU Protocol Data Unit Giao thức dữ liệu đơn vị




~ viii ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

DANH MỤC CÁC HÌNH ẢNH

Trang
Hình 1.1. Minh họa cơ chế Poll 7
Hình 1.2. Minh họa cơ chế Alert . 8
Hình 1.3. Trạm quản lý mạng . 11
Hình 1.4. Minh họa quá trình lấy sysName.0 . 13
Hình 1.5. Minh họa MIB tree 14
Hình 1.6. Minh họa các phương thức của SNMPv1 .17
Hình 1.7. Cấu trúc bản tin SNMP . 18
Hình 1.8. Các vị trí đặt IDS trong mạng . 19
Hình 1.9. Mô hình NIDS . 21
Hình 1.10. Hệ thống kết hợp 2 mô hình phát hiện . 25
Hinh 2.1. Kiến trúc của Cacti . 26
Hình 2.2. Các thành phần của hệ quản trị Cacti 28
Hình 2.3. Hoạt động của hệ quản trị Cacti 28
Hình 2.4. Biểu đồ trong Cacti . 30
Hình 2.5. Weather map trong cacti 31
Hình 2.6. Giám sát trạng thái thiết bị trong Cacti 31
Hình 2.7. Nguyên lý của cơ sở dữ liệu RRD (RRA) . 33
Hình 2.8. Biểu diễn đồ thị trong RRD. . 33
Hinh 2.9. Mô hình kiến trúc hệ thống Snort 34
Hinh 2.10. Quy trình xử lý một gói tin Ethernet 35
Hình 2.11. Cấu trúc luật của Snort 40
Hình 2.12. Header luật của Snort 40
Hình 3.1. Mô hình mạng hiện tại 49
Hình 3.2. Đề xuất mô hình 50
Hình 3.3. Mô hình thử nghiệm 51
Hình 3.4. Màn hình giao diện Cacti khởi động cài đặt . 52
Hình 3.5. Màn hình giao diện Cacti kiểm tra các công cụ 53 ~ ix ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

Hình 3.6. Màn hình đăng nhập hệ thống . 53
Hình 3.7. File SNMP services . 54
Hình 3.8. Đặt cấu hình SNMP services 54
Hinh 3.9. Thêm thiết bị máy client vào cacti 55
Hình 3.10. Thêm thiết bị máy 2 vào Cacti 55
Hình 3.11. Danh sách các nội dung cần giám sát. 56
Hình 3.12. Lựa chọn thiết bị muốn tạo đồ thị . 57
Hình 3.13. Đồ thị của máy 2 . 57
Hình 3.14. Danh sách các máy có trong cây đồ thị . 58
Hình 3.15. Tình trạng thiết bị trên cây đồ thị (máy 2) 59
Hình 3.16. Tình trạng thiết bị trên cây đồ thị (máy 7) 59
Hình 3.17. Giao diện hệ điều hành CentOS 5.4 60
Hình 3.18. Giao diện Base 63
Hình 3.19. Phát hiện có máy đang ping 64
Hình 3.20. Phát hiện truy cập web 65
Hình 3.21. Phát hiện truy cập trang web với IP 66
Hình 3.22. Tiến hành DDOS vào máy ảo Centos . 67
Hình 3.23. Phát hiện tấn công DDOS . 68
Hình 3.24. Phát hiện tấn công PORTSCAN . 69














~ x ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/




DANH MỤC CÁC BẢNG BIỂU

Bảng 1.1. So sánh hai phương thức Poll và Alert
Bảng 1.2. Các phương thức hoạt động của SNMP
Bảng 2.1. Các module tiền xử lý
Bảng 2.2. Các cờ sử dụng với từ khoá flags























~ 1 ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

MỞ ĐẦU
1. Đặt vấn đề
An ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề “nóng” sau một
loạt các sự kiện ở tầm quốc gia và quốc tế. Vụ việc các chương trình do thám của
Cơ quan An ninh quốc gia Mỹ bị đưa ra công khai và hàng loạt các vụ tấn công của
tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối với vấn đề này càng sâu
sắc và rõ nét hơn trong những năm tới.
Các chuyên gia an ninh mạng đã đoán trước rằng trong kỷ nguyên Internet di
động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ đang trở thành
thực tế. Trong những năm gần đây, các website trên Internet, cũng như các dữ liệu
của các doanh nghiệp, tổ chức, chính phủ, đã bị nhiều đợt tấn công của các tội
phạm mạng. Đã có nhiều website, hệ thống mạng bị ngưng hoạt động trong nhiều
giờ, nhiều dữ liệu quan trọng đã bị đánh cắp. Những vụ tấn công đã gây ra thiệt hại
nghiêm trọng và tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, công việc
kinh doanh của các doanh nghiệp, ảnh hưởng đến nền an ninh quốc phòng của nhiều
quốc gia.
Các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công và mức
độ ngày càng nghiêm trọng. Những kẻ tấn công cũng có nhiều mục đích khác nhau
như: chính trị, tài chính, tôn giáo, gián điệp, khủng bố nhằm đánh cắp dữ liệu, phá
hủy dữ liệu, làm cho hệ thống bị ngưng hoạt động, hoạt động chậm
Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên nghiêm
trọng. Vì vậy v mạng và ứng
dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn định, bảo đảm an toàn
thông tin trên mạng là việc làm rất cần thiết. Giải quyết vấn đề an ninh mạng là việc
làm của cả xã hội và là vấn đề cấp bách .
Với như trên, em xin mạnh dạn nghiên cứu và triển khai
thành luận văn với đề tài: “ .
2. Mục tiêu nghiên cứu
+ , chống tấn công mạng mã nguồn mở.
+ Nghiên cứu triển khai các ứng dụng mã nguồn mở giám sát, chống tấn công
mạng (Cacti, Snort).
~ 2 ~
Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

3. Đối tượng và phạm vi nghiên cứu
- Đối tượng của đề tài:
+ Một số phương thức giám sát, chống tấn công mạng: Poll, Alert, SNMP,
IDS/IPS.
+ Bộ công cụ mã nguồn mở: Cacti, Snort.
- Phạm vi nghiên cứu:
+ Tìm hiểu về công nghệ, mô hình, giao thức giám sát mạng.
+ Kiến trúc giám sát mạng mã nguồn mở.
+ Chức năng, phân loại, cơ chế hoạt động của hệ thống chống tấn công mạng
4. Phương pháp nghiên cứu
.
, thực nghiệm để chứng minh những nghiên cứu
về lý thuyết của đề tài.
5. Ý nghĩa khoa học của đề tài
- Về lý thuyết:
+ Là tài liệu tham khảo về kiến trúc quản trị mạng và phần mềm mã nguồn mở
Cacti và Snort.
+ Nắm vững nội dung nghiên cứu về tổng quan các kiến trúc của hệ thống
quản lý hiện tại của mạng, giao thức SNMP và IDS/IPS.
- Về thực tiễn:
,
.
6. Bố cục của luận văn
Dựa trên đối tượng và phạm vi nghiên cứu, luận văn sẽ được phân làm 3
chương chính với các nội dung cụ thể như sau:
Chương 1. Tổng quan an ninh mạng

Chương 3. Nghiên cứu ứng dụng mã nguồn mở cacti và Snort