Tải bản đầy đủ (.docx) (49 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Tìm hiểu về IDS SNORT và Suricata

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (840.26 KB, 49 trang )

MỤC LỤC
CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE MÁY TÍNH
1.1. Định nghĩa và phân loại Malware máy tính
1.1.1. Định nghĩa
1.1.2. Phân loại
1.2 Lược sử về Malware máy tính
CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY NHIỄM CỦA MALWARE MÁY TÍNH
2.1. Các hình thức và đối tượng lây nhiễm của Malware máy tính
2.1.1. Hình thức lây nhiễm
2.1.1.1. Malware lây nhiễm theo cách cổ điển
2.1.1.2. Malware lây nhiễm qua thư điện tử
2.1.2. Đối tượng lây nhiễm
2.3. Các cơ chế lây nhiễm của Malware máy tính
2.3.1. Virus
2.3.1.1. Định nghĩa
2.3.1.2. Phân loại
2.3.1.3. Cách thức làm việc của Virus
2.3.2. Worm
2.3.2.1. Định nghĩa
2.3.2.2. Phân loại
2.3.2.3. Cách thức làm việc của Worm
2.3.3. Trojan
2.3.3.1. Định nghĩa
2.3.3.2. Phân loại
2.3.3.3. Cách thức làm việc của Trojan
CHƯƠNG 3 - TÌM HIỂU VỀ IDS/IPS
1.1. Giới thiệu về IDS/IPS
1.1.1. Định nghĩa
1.1.2. Sự khác nhau giữa IDS và IPS
1.1.3. Quy trình hoạt động của IPS
1.2. Phân loại IPS


1.2.1. NIPS
1.2.2. HIPS
PHẦN 1 - TÌM HIỂU VỀ SURICATA
1.1 Giới thiệu về Suricata
1.2 Cách cài đặt
1.2.1 Cài đặt trên Ubuntu
1.2.2 Cài đặt trên Windows
PHẦN 2 - TÌM HIỂU VỀ SNORT
2.1 Giới thiệu về Snort
2.2 Kiến trúc của Snort
2.2.1 Module giải mã gói tin
2.2.2 Module tiền xử lý
2.2.3 Module phát hiện
2.2.4 Module log và cảnh báo
2.2.5 Module kết xuất thông tin
2.3 Bộ luật của Snort
2.3.1 Cấu trúc luật Snort
2.4. Chế độ ngăn chặn của Snort : Snort – Inline
2.4.1 Tích hợp khả năng ngăn chặn vào Snort
2.4.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode


2.5 Thử nghiệm khả năng phản ứng của Snort
TÀI LIỆU THAM KHẢO


LỜI NÓI ĐẦU


CHƯƠNG 1 – TỔNG QUAN VỀ MALWARE

MÁY TÍNH
1.1. Định nghĩa và phân loại Malware máy tính
1.1.1. Định nghĩa
Phần mềm độc hại (Malware) là một chương trình (program) được chèn một cách bí mật vào hệ
thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống.
1.1.2. Phân loại
Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại của
NIST và phân loại phần mềm độc hại của Peter Szor.
Phân loại của NIST
Virus
Với cách định nghĩa, phân loại này, virus là một loại mã độc hại (Maliciuos code) có khả năng tự
nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Như vậy, theo cách định
nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng)
để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt
virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, ... Điều này cũng
giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng
không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm
ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.
Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình biên dịch để
nó có thể thực thi trực tiếp từ hệ điều hành. Các loại boot virus như (Michelangelo và Stoned), file
virus (như Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, compiled virus
cũng có thể là pha trộn bởi cả boot virus va file virus trong cùng một phiên bản.
Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng
cụ thể hoặc một dịch vụ cụ thể trong hệ thống. Một cách đơn giản, virus kiểu này chỉ là một tập
lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi. Macro virus, scripting virus là các virus
nằm trong dạng này. Macro virus rất phổ biến trong các ứng dụng Microsoft Office khi tận dụng
khả năng kiểm soát việc tạo và mở file để thực thi và lây nhiễm. Sự khác nhau giữa macro virus và
scripting virus là: macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là
tập lện chạy bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về macro virus, Love
Stages là ví dụ cho scripting virus.

Worm cũng là một chương trình có khả năng tự nhân bản và tự lây nhiễm trong hệ thống tuy nhiên
nó có khả năng “tự đóng gói”, điều đó có nghĩa là worm không cần phải có “file chủ” để mang nó
khi nhiễm vào hệ thống. Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt
được worm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đó trên đĩa cứng.
Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thông của mạng và phá hoại hệ thống
như xoá file, tạo backdoor, thả keylogger,... Tấn công của worm có đặc trưng là lan rộng cực kỳ
nhanh chóng do không cần tác động của con người (như khởi động máy, copy file hay đóng/mở
file). Worm có thể chia làm 2 loại:
Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng bảo mật của mạng, của hệ điều
hành hoặc của ứng dụng. Sasser là ví dụ cho loại sâu này.


Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên nó tự đóng gói để tấn công
và lây nhiễm chứ không bám vào vật chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường
cố gắng tìm kiếm sổ địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi đồng thời
cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho máy chủ mail. Netsky, Mydoom là ví
dụ cho thể loại này.
Trojan Horse là loại mã độc hại được đặt theo sự tích “Ngựa thành Troa”. Trojan horse không tự
nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất ôn hoà nhưng thực chất bên trong có ẩn
chữa các đoạn mã với mục đích gây hại. Trojan có thể lựa chọn một trong 3 phương thức để gây
hại:
Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đó thực thi các hoạt
động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh
đó là một chương trình đánh cắp password)
Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổi một số chức năng
để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các
hành động phá hoại khac (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các
hiển thị của hệ thống)
Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví
dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần

kích hoạt file này là lập tức dữ liệu trên PC sẽ bị xoá hết)
Malicious Mobile Code là một dạng mã phần mềm có thể được gửi từ xa vào để chạy trên một hệ
thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó. Malicious Mobile Code
được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát
tán . Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động
đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập
trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code. Một
trong những ví dụ nổi tiếng của kiểu tấn công này là Nimda, sử dụng JavaScript.
Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp (Blended Atatck).
Cuộc tấn công có thể đi tới bằng một email khi người dùng mở một email độc bằng web-browser.
Sau khi nhiệm vào máy này, Nimda sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới
các máy khác. Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có thư
mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS như phương tiện để chuyển file
nhiễm virus tới các máy đó. Đồng thời Nimda cố gắng dò quét để phát hiện ra các máy tính có cài
dịch vụ IIS có điểm yếu bảo mật của Microsoft. Khi tìm thấy, nó sẽ copy bản thân nó vào server.
Nếu một web client có điểm yếu bảo mật tương ứng kết nối vào trang web này, client đó cũng bị
nhiễm (lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”). Quá trình nhiễm virus sẽ lan
tràn theo cấp số nhân.
Tracking Cookie là một dạng lạm dụng cookie để theo dõi một số hành động duyệt web của người
sử dụng một cách bất hợp pháp. Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang
web cụ thể nào đó của web-client. Mục tiêu của việc duy trì các cookie trong hệ thống máy tính
nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với
từng web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp
(spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá nhân.
Attacker Tool là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong
hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào


hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các
đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như trong một

trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm. Ví dụ như một hệ thống đã bị nhiễm một
loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải
attacker tool từ site đó và cài đặt attacker tool vào hệ thống. Attacker tool thường gặp là backdoor
và keylogger
Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ
các cổng dịch vụ TCP hoặc UDP. Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ
tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã
lệnh,... Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool
Zoombie (có thể đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống nhằm mục đích
tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là các agent dùng để tổ chức một cuộc
tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số lượng lớn các máy tính rồi ra lênh tấn
công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho phép thực hiện quyền quản trị
từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống. Tấn công kiểu này
có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình
của hệ thống. Ví dụ về công cụ RAT là: Back Orifice, SubSeven,...
Keylogger là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi
tới hacker. Keylogger có thể ghi lại nội dung của email, của văn bản, user name, password, thông
tin bí mật, ...Ví dụ về keylogger như: KeySnatch, Spyster, ...
Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến đổi các chức năng chuẩn của hệ
thống thành các chức năng tiềm ẩn các tấn công nguy hiểm. Ví dụ như trong hệ thống Windows,
rootkit có thể sửa đổi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi
hàm của hệ điều hành. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor,
cài keylogger. Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender.
Web Browser Plug-in là phương thức cài mã độc hại thực thi cùng với trình duyệt web. Khi được
cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng ( ví dụ như tên
web site đã truy nhập) sau đó gửi thông tin ra ngoài. Một dạng khác là phần mềm gián điệp có chức
năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại
ngầm định mặc dù không được phép của chủ nhân.
Email Generator là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các email. Mã

độc hại có thể gieo rắc các email generator vào trong hệ thống. Các chương trình gián điệp, spam,
mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa
chỉ có trong sổ địa chỉ của máy bị nhiễm.
Attacker Toolkit là các bộ công cụ có thể được tải xuống và cài vào hệ thống khi hệ thống đã bị
khống chế bởi phần mềm độc hại. Các công cụ kiểu như các bộ dò quét cổng (port scanner), bộ phá
mật khẩu (password cracker), bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit
thường hay được sử dụng.
Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã độc hại. Phishing là
phương thức dụ người dùng kết nối và sử dụng một hệ thống máy tính giả mạo nhằm làm cho người
dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá
nhân, ...). Kẻ tấn công phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các


trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát
hành thẻ tín dụng, ... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp
các thông tin bí mật về tài khoản, về mật khẩu,... Các thông tin này sẽ được sử dụng để trộm tiền
trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.
Virus Hoax là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một yêu cầu
khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh
báo càng nhiều càng tốt qua email. Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp nhưng
những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về
thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn
thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ.
1.2 Lược sử về Malware máy tính
Có thể nói virus máy tính có một quá trình phát triển khá dài, và nó luôn song hành cùng “người
bạn đồng hành” của nó là những chiếc máy tính (tuy nhiên người bạn máy tính của nó chẳng thích
thú gì). Khi mà công nghệ phần mềm cũng như phần cứng phát triển thì virus cũng phát triển theo.
Hệ điều hành thay đổi thì virus máy tính cũng thay đổi để có thể ăn bám, ký sinh trên hệ điều hành
mới. Tất nhiên là virus máy tính không tự sinh ra. Chúng do con người tạo ra nên chắc chắn sẽ diệt
được.

Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản chỉ là một thú đùa vui
(nhiều khi ác ý. Nhưng những bộ óc này khiến chúng ta phải đau đầu đối phó và cuộc chiến này
không bao giờ chấm dứt, nó đã, đang và sẽ luôn luôn tiếp diễn.
Có nhiều tài liệu khác nhau nói về xuất xứ của virus máy tính, điều này cũng dễ hiểu, bởi lẽ vào
thời điểm đó con người chưa thể hình dung ra một "xã hội" đông đúc và nguy hiểm của virus máy
tính như ngày nay. Điều đó cũng có nghĩa là không nhiều người quan tâm tới chúng. Chỉ khi chúng
gây ra những hậu quả nghiêm trọng như ngày nay, người ta mới lật lại hồ sơ để tìm hiểu. Tuy vậy,
đa số các câu chuyện xoay quanh việc xuất xứ của virus máy tính đều ít nhiều liên quan tới những
sự kiện sau:
1983 - Để lộ nguyên lý của trò chơi “Core War”
“Core War” là một cuộc đấu trí giữa hai đoạn chương trình máy tính do 2 lập trình viên viết ra. Mỗi
đấu thủ sẽ đưa một chương trình có khả năng tự tái tạo gọi là Organism vào bộ nhớ máy tính. Khi
bắt đầu cuộc chơi, mỗi đấu thủ sẽ cố gắng phá huỷ Organism của đối phương và tái tạo Organism
của mình. Đấu thủ thắng cuộc là đấu thủ tự nhân bản được nhiều nhất. Hiện trò chơi này vẫn còn
được khá nhiều người quan tâm, bạn có thể tham khảo trên trang web />Trò chơi "Core War" này được giữ kín đến năm 1983, Ken Thompson người đã viết phiên bản đầu
tiên cho hệ điều hành UNIX, đã để lộ ra khi nhận một trong những giải thưởng danh dự của giới
điện toán - Giải thưởng A.M Turing. Trong bài diễn văn của mình ông đã đưa ra một ý tưởng về
virus máy tính dựa trên trò chơi "Core War". Cũng năm 1983, tiến sỹ Frederik Cohen đã chứng
minh được sự tồn tại của virus máy tính.
Tháng 5 năm 1984 tờ báo Scientific America có đăng một bài báo mô tả về "Core War" và cung cấp
cho độc giả những thông tin hướng dẫn về trò chơi này. Kể từ đó virus máy tính xuất hiện và đi kèm
theo nó là cuộc chiến giữa những kẻ viết ra virus và những chuyên gia diệt virus.
1986 - Virus Brain
Có thể được coi là virus máy tính đầu tiên trên thế giới. Tháng 1 năm 1986, Brain âm thầm đổ bộ từ
Pakistan vào nước Mỹ với mục tiêu đầu tiên là Trường Đại học Delaware. Một nơi khác trên thế
giới cũng đã mô tả sự xuất hiện của virus, đó là Đại học Hebrew - Israel.


1987 - Virus Lehigh xuất hiện
Lại một lần nữa liên quan tới một trường Đại học. Lehigh - Tên trường Đại học - cũng chính là tên

của virus xuất hiện năm 1987 tại trường Đại học này. Trong thời gian này cũng có một số virus khác
xuất hiện, đặc biệt Virus Worm (virus loại sâu), cơn ác mộng với các hệ thống máy chủ cũng xuất
hiện. Cái tên Jerusalem chắc sẽ làm cho công ty IBM nhớ mãi với tốc độ lây lan đáng nể: 500.000
nhân bản trong 1 giờ.
1988 - Virus lây trên mạng
Ngày 2 tháng 11 năm 1988, Robert Morris phát tán virus vào mạng máy tính quan trọng nhất của
Mỹ, gây thiệt hại lớn. Từ đó trở đi người ta mới bắt đầu nhận thức được tính nguy hại của virus máy
tính.
1989 - AIDS Trojan
Xuất hiện Trojan hay còn gọi là "con ngựa thành Tơ-roa". Chúng không phải là virus máy tính vì
chúng không có khả năng “tự” lây lan, nhưng chúng luôn đi cùng với khái niệm virus. Những “con
ngựa thành Tơ-roa" này khi đã hoạt động trên máy tính thì nó sẽ lấy cắp thông tin mật trên đó và
gửi đến một địa chỉ mà chủ của chú ngựa này muốn vận chuyển đến, hoặc đơn giản chỉ là phá huỷ
dữ liệu trên máy tính.
1991 - Virus Tequila
Đây là loại virus đầu tiên mà giới chuyên môn gọi là virus đa hình, nó đánh dấu một bước ngoặt
trong cuộc chiến giữa cái thiện và cái ác trong các hệ thống máy tính.
Đây thực sự là loại virus phức tạp và quả thật không dễ dàng gì để diệt chúng. Chúng có khả năng
tự “thay hình đổi dạng” sau mỗi lần lây nhiễm, làm cho việc phát hiện ra chúng không hề dễ dàng.
1992 - Virus Michelangelo
Tiếp nối sự đáng sợ của "virus đa hình" năm 1991, thì công cụ năm 1992 này tạo thêm sức mạnh
cho các loại virus máy tính bằng cách tạo ra virus đa hình cực kỳ phức tạp.
1995 - Virus Concept
Sau gần 10 năm kể từ ngày virus máy tính đầu tiên xuất hiện, đây là loại virus đầu tiên có nguyên lý
hoạt động gần như thay đổi hoàn toàn so với những “tiền bối” của nó. Chúng gây ra một cú sốc lớn
cho những công ty diệt virus cũng như những người tình nguyện trong lĩnh vực phòng chống virus
máy tính trên toàn thế giới. Rất tự hào rằng khi virus Concept xuất hiện, trên thế giới chưa có loại
"kháng sinh" nào thì tại Việt Nam một sinh viên trường Đại học Bách Khoa Hà Nội đã đưa ra giải
pháp rất đơn giản để diệt trừ loại virus này, đó cũng chính là thời điểm Bkav bắt đầu được mọi
người sử dụng rộng rãi trên toàn quốc.

Sau này, những virus theo nguyên lý của Concept được gọi chung là Virus macro. Chúng tấn công
vào các hệ soạn thảo văn bản của Microsoft Office (Word, Exel, Powerpoint). Tuy nhiên ngày nay,
cùng với việc mọi người không còn sử dụng các macro trong văn bản của mình nữa thì các virus
macro hầu như không còn tồn tại và đang dần bị quên lãng…
1996 - Virus Boza
Khi hãng Microsoft chuyển sang hệ điều hành Windows95, họ tuyên bố rằng virus không thể công
phá thành trì của họ được, thì ngay năm 1996 xuất hiện virus lây trên hệ điều hành Windows95.
1999 - Virus Melissa, BubbleBoy
Đây thật sự là một cơn ác mộng với các máy tính trên khắp thế giới. Sâu Melissa không những kết
hợp các tính năng của sâu Internet và virus marco, mà nó còn biết khai thác một công cụ mà chúng
ta thường sử dụng hàng ngày là Microsoft Outlook Express để chống lại chính chúng ta. Khi máy


tính bị nhiễm Mellisa, nó sẽ “phát tán” mình đi mà khổ chủ không hề hay biết. Và người sử dụng sẽ
rất bất ngờ khi bị mang tiếng là kẻ phát tán virus.
Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus này đã kịp lây nhiễm 250.000 máy tính trên thế
giới thông qua Internet, trong đó có Việt Nam, gây thiệt hại hàng trăm triệu USD. Một lần nữa cuộc
chiến lại sang một bước ngoặt mới, báo hiệu nhiều khó khăn bởi Internet đã được chứng minh là
một phương tiện hữu hiệu để virus máy tính có thể lây lan trên toàn cầu chỉ trong vài giờ đồng hồ.
BubbleBoy là sâu máy tính đầu tiên không dựa vào việc người nhận e-mail có mở file đính kèm hay
không. Chỉ cần thư được mở ra, nó sẽ tự hoạt động.
Năm 1999 đúng là một năm đáng nhớ của những người sử dụng máy tính trên toàn cầu, ngoài
Melissa, BubbleBoy, virus Chernobyl hay còn gọi là CIH đã phá huỷ dữ liệu của hàng triệu máy
tính trên thế giới, gây thiệt hại gần 1 tỷ USD vào ngày 26 tháng 4 năm 1999.
2000 - Virus DDoS, Love Letter
Có thể coi là một trong những vụ phá hoại lớn nhất của virus từ trước đến thời điểm đó. Love Letter
có xuất xứ từ Philippines do một sinh viên nước này tạo ra, chỉ trong vòng 6 tiếng đồng hồ virus đã
kịp đi vòng qua 20 nước trong đó có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ
USD.
Năm 2000 cũng là năm ghi nhớ cuộc "Tấn công Từ chối dịch vụ phân tán" - DDoS (Distributed

Denial of Service ) qui mô lớn do virus gây ra đầu tiên trên thế giới, nạn nhân của đợt tấn công này
là Yahoo!, Amazon.com... Tấn công "Từ chối dịch vụ" – DoS - là cách tấn công gây "ngập lụt" bằng
cách từ một máy gửi liên tiếp các yêu cầu vượt mức bình thường tới một dịch vụ trên máy chủ, làm
ngưng trệ, tê liệt khả năng phục vụ của dịch vụ hay máy chủ đó. Những virus loại này phát tán đi
khắp nơi và “nằm vùng” ở những nơi nó lây nhiễm. Chúng sẽ đồng loạt tấn công theo kiểu DoS vào
các hệ thống máy chủ khi người điều hành nó phất cờ, hoặc đến thời điểm được định trước.
2001 – Virus Winux (Windows/Linux), Nimda, Code Red
Virus Winux đánh dấu dòng virus có thể lây được trên các hệ điều hành Linux chứ không chỉ
Windows. Chúng ngụy trang dưới dạng file MP3 cho download
Nimda, Code Red là những virus tấn công các đối tượng của nó bằng nhiều con đường khác nhau
(từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm...), làm cho việc phòng
chống vô cùng khó khăn. Cho đến tận cuối năm 2002, ở Việt Nam vẫn còn những cơ quan với mạng
máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu. Chúng cũng chỉ ra một xu hướng mới
của các loại virus máy tính là "tất cả trong một", trong một virus bao gồm nhiều virus, nhiều nguyên
lý khác nhau
2002 - Sự ra đời của hàng loạt loại virus mới
Ngay trong tháng 1 năm 2002 đã có một loại virus mới ra đời. Virus này lây những file .SWF, điều
chưa từng xảy ra trước đó (ShockWaveFlash - một loại công cụ giúp làm cho các trang Web thêm
phong phú). Tháng 3 đánh dấu sự ra đời của loại virus viết bằng ngôn nhữ C#, một ngôn ngữ mới
của Microsoft. Con sâu .Net này có tên SharpA và được viết bởi một người phụ nữ.
Tháng 5 SQLSpider ra đời và chúng tấn công các chương trình dùng SQL. Tháng 6, có vài loại
virus mới ra đời: Perrun lây qua Image JPEG (có lẽ người sử dụng máy tính nên cảnh giác với mọi
thứ). Scalper tấn công các FreeBSD/Apache Web server.
Người sử dụng máy tính trên thế giới bắt đầu phải cảnh giác với một loại chương trình độc hại mới
mang mục đích quảng cáo bất hợp pháp - Adware - và thu thập thông tin cá nhân trái phép Spyware (phần mềm gián điệp). Lần đầu tiên các chương trình Spyware, Adware xuất hiện như là
các chương trình độc lập, không đi kèm theo các phần mềm miễn phí như trước đó. Chúng bí mật
xâm nhập vào máy của người dùng khi họ vô tình “ghé thăm” những trang web có nội dung không


lành mạnh, các trang web bẻ khóa phần mềm…Và với nguyên lý như vậy, ngày nay Adware và

Spyware đã thực sự trở thành những "bệnh dịch" hoành hành trên mạng Internet.
2003 - Các virus khai thác lỗ hổng phần mềm
Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ của các virus khai thác lỗ hổng phần mềm để cài đặt,
lây nhiễm lên các máy tính từ xa - đây cũng chính là xu hướng phát triển hiện nay của virus trên thế
giới. Đầu tiên là virus Slammer khai thác lỗ hổng phần mềm Microsoft SQL 2000 servers, chỉ trong
vòng 10 phút đã lây nhiễm trên 75.000 máy tính trên khắp thế giới. Tiếp đến là hàng loạt các virus
khác như Blaster (MsBlast), Welchia (Nachi), Mimail, Lovgate... khai thác lỗi tràn bộ đệm trong
công nghệ DCOM - RPC trên hệ điều hành Window2K, XP. Xuất hiện trên thế giới vào ngày 11/8,
virus Blaster nhanh chóng lây lan hơn 300.000 máy tính trên khắp thế giới. Những người sử dụng
máy tính ở Việt Nam hẳn không quên được sự hỗn loạn vì hàng loạt máy tính bị Shutdown tự động
trong ngày 12/8 khi virus Blaster đổ bộ vào các máy tính ở Việt Nam.
Virus cũng bắt đầu được sử dụng như một công cụ để phát tán thư quảng cáo (spam) nhanh nhất.
Các virus họ Sobig nổi lên như những cỗ máy phát tán một lượng thư quảng cáo khổng lồ trên khắp
thế giới. Cũng trong năm này, thế hệ những virus mới như Lovgate, Fizzer đã bắt đầu sử dụng
những mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua các thư mục
chia sẻ trên mạng.
2004 - Cuộc chạy đua giữa Skynet và Beagle
Cuộc chạy đua giữa hai họ virus cùng có nguồn gốc từ Đức và lây nhiễm nhiều nhất trong năm này,
bắt đầu bằng việc các biến thể mới của virus Skynet khi lây nhiễm vào một máy tính sẽ tìm cách
loại bỏ các virus họ Beagle ra khỏi máy đó và ngược lại. Mỗi biến thể của Skynet xuất hiện trên thế
giới thì gần như ngay lập tức sẽ có một biến thể của Beagle được viết ra để chống lại nó và ngược
lại. Cuộc chạy đua này kéo dài liên tục trong mấy tháng đã làm cho số lượng virus mới xuất hiện
trong năm 2004 tăng lên một cách nhanh chóng.
Năm 2004 cũng là năm xuất hiện virus khai thác lỗ hổng của dịch vụ LSASS (Local Security
Authority Subsystem Service) trên hệ điều hành Window 2K, Window XP để lây lan giữa các máy
tính - virus Sasser. Cũng giống như virus Blaster, virus Sasser nhanh chóng gây nên một tình trạng
hỗn loạn trên mạng khi làm Shutdown tự động hàng loạt máy tính mà nó lây nhiễm.
2005 - Sự xuất hiện của các virus lây qua các dịch vụ chatting
Các dịch vụ chatting trực tuyến như Yahoo!, MSN bắt đầu được virus lợi dụng như một công cụ để
phát tán virus trên mạng. Theo thống kê của Bkav thì trong vòng 6 tháng đầu năm này, đã có tới 7

dòng virus lây lan qua các dịch vụ chatting xuất hiện ở Việt Nam. Trong thời gian tới những virus
tấn công thông qua các dịch vụ chatting sẽ còn tiếp tục xuất hiện nhiều hơn nữa khi số người sử
dụng dịch vụ này ngày càng tăng.
2006 – Người dùng trong nước quen dần với sự hiện diện của virus
Mối lo ngại từ năm trước đã trở thành sự thật. Năm 2006, những người dùng dịch vụ chatting
Yahoo! Messenger ở Việt Nam đã có lúc rơi vào tình cảnh ngập lụt tin nhắn chứa link độc của virus.
Kể từ khi mã nguồn virus Gaixinh được công bố, “phong trào” viết virus lây qua Yahoo! Messenger
đã thực sự “nở rộ” trong nước. Người dùng với ý thức cảnh giác không cao đã vô tình gián tiếp tiếp
tay cho đại dịch này.
Năm 2006 cũng có thể coi là thời kỳ hoàng kim của virus lây lan qua “con đường giao lưu dữ liệu”
quen thuộc của chúng ta: USB. Trong hầu hết các thống kê của Bkav về tình hình lây lan của virus,
các virus có cơ chế lây lan qua USB luôn chiếm vị trí cao nhất. Thực tế cho thấy rằng đây là một cơ
chế lây lan đơn giản nhưng rất hiệu quả vì dường như rất khỏ bỏ thói quen mở USB ngay khi chúng
được cho vào máy.
Đến đây chúng ta đã nhìn nhận được phần nào lịch sử phát triển của virus máy tính, chúng cũng
được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Đây cũng chính là lý do mà các
phần mềm diệt virus luôn phải phát triển song hành để phòng chống, tiêu diệt chúng. Và nếu bạn sử


dụng máy tính, chúng tôi khuyên bạn nên cảnh giác bởi như bạn đã thấy, dường như tất cả mọi thứ
đều có thể bị nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ xâm nhập vào máy tính thông
qua tất cả những con đường có thể.
Bạn hãy trang bị cho mình giải pháp xử lý, phòng chống virus hiệu quả, và nếu chúng tôi có thể làm
gì cho bạn, chúng tôi sẽ gắng hết sức mình như là những “bác sĩ máy tính” cho “bệnh nhân” uống
kháng sinh vậy.

CHƯƠNG 2 – NGHIÊN CỨU CƠ CHẾ LÂY
NHIỄM CỦA MALWARE MÁY TÍNH
2.1. Các hình thức và đối tượng lây nhiễm của Malware máy tính
2.1.1. Hình thức lây nhiễm

2.1.1.1. Malware lây nhiễm theo cách cổ điển
Lây lan qua USB
Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn. Khi phát
hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk… ), Window mặc nhiên sẽ kiểm
tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được
sắp xếp trước.
Lây lan qua Yahoo!Messenger
Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc
độ cao của nó. Thỉnh thoảng bạn gặp một vài tin nhắn rất hấp dẫn của bạn bè gửi cho và sau đó là
đường link đến một trang web lạ nào đó.
Đại loại như: ... click vào đây đi, hay lắm http://[web link]…
Và nếu ai không cảnh giác sẽ vô tình click vào, đột nhiên cửa sổ IE của bạn bị đơ cứng lại trong vài
giây. Virus đã được tự động down về máy và kích hoạt, chỉ vài giây sau bạn sẽ gửi đi những tin
nhắn vô tình gây hại cho người khác giống như bạn bè của bạn.

Lây lan qua trình duyệt truy cập web
Giống như cách lây lan qua Yahoo Messenger, khi bạn truy cập vào đường link (một trang web) nào
đó, bạn sẽ vô tình vào phải các trang web bị nhiễm mã độc (dạng VBScript). Cách giải quyết giống
như trên, sử dụng các trình duyệt có tính bảo mật tốt không hỗ trợ vbscript để truy cập web.
2.1.1.2. Malware lây nhiễm qua thư điện tử
Tiện ích email thì chắc không ai còn lạ gì rồi, nhất là nếu bạn hay check mail, công việc khiến bạn
phải tiếp xúc với email nhiều. Bạn rất khó phân biệt được email nào có nội dung tốt, xấu hay chỉ là
spam. Hacker đã lợi dụng email để “giả dạng” một e mail với môt địa chỉ bất kì nào mà họ muốn,
với nội dung là một tấm thiệp, một file attach hay đường link nào đó. Đó đều là những file malware
gây nguy hiểm cho máy tính. Vậy làm sao để nhận dạng?


Cách ngăn chặn:
Phần này chủ yếu dựa trên kinh nghiệm hiểu biết của bạn. Bạn nên cảnh giác với những bức mail có
nội dung chung chung. Giả sử như ở phần đầu của bức mail không có phần Gửi/Chào… Hoặc

không ghi rõ tên: Gửi bạn/Chào bạn… những bức mail dạng này mà kèm theo attach file hay đường
link nào đó thì bạn đừng nên down về, hoặc bạn nên quét virus cẩn thận trước khi chắc chắn mở nó
ra.
Lây lan vào các tệp tin thực thi
Một ngày chủ nhật nào đó, bạn lướt web và tìm kiếm các phần mềm tiện ích để download về.
Những trang web bạn truy cập đều là các trang web sạch (không chứa mã độc, không có virus và có
thể là các trang web có uy tín). Nhưng dù vậy, bạn vẫn có nguy cơ bị dính virus mà không biết mình
đã bị khi nào.
Vì một lý do nào đó, chương trình ứng dụng gốc sau khi được chuyển dịch từ server này lên server
khác… đã bị “đính” thêm một con virus vào (đánh tráo thành một tệp bị nhiễm virus). Bạn không
hề biết nó có nguy hiểm hay không mà chỉ mẩy may bật vào, ngay lập tức, virus đã được extra và
thực thi trên máy bạn từ file cài đặt của ứng dụng.
Cách ngăn chặn:
Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử dụng một phần mềm
“exe joiner” nào đó để có thể đính 2 tệp exe vào với nhau. Rồi tiếp tục đem lên các trang web khác
phát tán ứng dụng đã được đính virus. Nguyên lý của việc đính exe này có thể hiểu đơn giản như
sau:
• Virus sẽ được quẳng vào cuối file của ứng dụng (hoặc một nơi nào đó không làm ảnh hưởng tới
tiến

trình).

• Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window)
rồi tự động chạy tệp exe vừa được extra ra.


Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta. Ta chỉ có
thể
“xem
qua”

tính
an
toàn
của
ứng
dụng.
Nếu bạn đã biết qua cấu trúc của một tệp .exe chắc cũng biết phần MZ ở đầu một tệp .exe, khi nó
được đính vào ứng dụng sẽ có một phần dấu hiệu nhận biết nào đó.

Thông thường thì trong một tệp exe chỉ có một cụm chữ MZ, nếu có 2 cụm và ở phía trước có một
dấu hiệu lạ nào đó thì tệp setup đã bị “dính virus”. Bạn nên xóa tệp đó và báo cho nhà cung cấp
hoặc nơi lưu trữ ứng dụng biết để không làm nhiều người khác bị nhiễm.
Trên thực tế thì các phần mềm diệt virus hiện nay đều có tính năng nhận dạng những kiểu “đính”
virus lộ liễu như thế này. Nhưng vì khả năng phòng thủ và tấn công luôn luôn song hành nên bạn
khó lòng có thể tránh khỏi. Bài viết này giúp bạn nắm bắt qua một số nguyên nhân khiến máy
nhiễm virus, giúp bạn có chút kiến thức tự phòng tránh & ngăn chặn.

2.1.2. Đối tượng lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi
mở rộng sau có nhiều khả năng bị Malware tấn công:
.bat: Microsoft Batch File (tệp xử lý theo lô).
.chm: Compressed HTML Help File (tệp tài liệu
dưới dạng nén HTML).
.cmd: Command file for Windows NT (tệp thực thi
của Windows NT).
.com: Command file (program) (tệp thực thi).8
.cpl: Control Panel extension (tệp của Control
Panel).
.doc: Microsoft Word (tệp của chương trình
Microsoft Word).

.exe: Executable File (tệp thực thi).
.hlp: Help file (tệp nội dung trợ giúp người dùng).
.hta: HTML Application (ứng dụng HTML).


.js: JavaScript File (tệp JavaScript).
.jse: JavaScript Encoded Script File (tệp mã hóa
JavaScript).
.lnk: Shortcut File (tệp đường dẫn).
.msi: Microsoft Installer File (tệp cài đặt).
.pif: Program Information File (tệp thông tin
chương trình).
.reg: Registry File.
.scr: Screen Saver (Portable Executable File).
.sct: Windows Script Component.
.shb: Document Shortcut File.
.shs: Shell Srap Object.
.vb: Visual Basic File.
.vbe: Visual Basic Encoded Script File.9
.vbs: Visual Basic File.
.wsc: Windows Script Component.
.wsf: Windows Script File.
.wsh: Windows Script Host File.
.{*}: Class ID (CLSID) File Extensions.

2.3. Các cơ chế lây nhiễm của Malware máy tính
2.3.1. Virus
2.3.1.1. Định nghĩa
Virus là một loại mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương
trình hoặc máy tính.

2.3.1.2. Phân loại

Virus Boot
Ngày nay hầu như không còn thấy virus Boot nào lây trên các máy tính của chúng ta. Lý do đơn
giản là vì virus Boot có tốc độ lây lan rất chậm và không còn phù hợp với thời đại của Internet. Tuy
nhiên, virus Boot vẫn là một phần trong lịch sử virus máy tính.
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ đĩa khởi động của bạn sẽ được
thực thi. Đoạn chương trình này có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix...). Sau
khi nạp xong hệ điều hành, bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được để
ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là Boot sector.
Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các Virus Boot sẽ được thi hành
mỗi khi máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên.
Virus File
Là những virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành Windows, như
các file có đuôi mở rộng .com, .exe, .bat, .pif, .sys... Khi bạn chạy một file chương trình đã bị nhiễm
virus cũng là lúc virus được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn


để lây vào. Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi virus Macro cũng lây vào file, tại sao lại
không gọi là virus File? Câu trả lời nằm ở lịch sử phát triển của virus máy tính. Như bạn đã biết qua
phần trên, mãi tới năm 1995 virus Macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so
với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi
chúng là virus File.
Tuy nhiên, bạn cũng không phải quá lo lắng về loại virus này vì thực tế các loại virus lây file ngày
nay cũng hầu như không còn xuất hiện và lây lan rộng nữa. Khi máy tính của bạn bị nhiễm virus lây
file, tốt nhất bạn nên sử dụng phần mềm diệt virus mới nhất để quét toàn bộ ổ cứng của mình và
liên hệ với nhà sản xuất để được tư vấn, hỗ trợ.
Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word), file bảng tính (Microsoft Excel) hay các
file trình diễn (Microsoft Power Point) trong bộ Microsoft Office. Macro là tên gọi chung của

những đoạn mã được thiết kế để bổ sung tính năng cho các file của Office. Chúng ta có thể cài đặt
sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần cài sẵn lần lượt được thực
hiện, giúp người sử dụng giảm bớt được công lặp đi lặp lại những thao tác giống nhau. Có thể hiểu
nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các
thao tác đó bằng một yêu cầu duy nhất.
Ngày nay, trên thực tế các loại virus Macro cũng gần như đã "tuyệt chủng" và hầu như không ai còn
sử dụng đến các macro nữa. Bkav có một tuỳ chọn là diệt Xóa tất cả Macro, All Macros, khi chọn
tuỳ chọn này, Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus
hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo.
Nếu bạn không dùng đến macro hay cũng chẳng để ý nó là cái gì thì bạn nên dùng tuỳ chọn này, nó
sẽ giúp bạn loại bỏ nỗi lo với những virus macro bất kể chúng vừa xuất hiện hay xuất hiện đã lâu.
Trong trường hợp bạn có sử dụng macro cho công việc của mình thì không nên chọn tuỳ chọn này
(khi bạn không chọn tuỳ chọn Xóa tất cả Macro thì Bkav chỉ diệt những macro đã được xác minh
chính xác là virus).

2.3.1.3. Cách thức làm việc của Virus
Dựa trên hành vi, Virus được chia thành 2 loại:
Nonresident viruses và Resident viruses.
Nonresident viruses tìm kiếm các máy chủ có thể bị nhiễm và lây nhiễm sang các mục tiêu này và
cuối cùng chuyển điều10 khiển tới chương trình ứng dụng mà chúng lây nhiễm. Resident viruses
không tìm kiếm các máy chủ mà thay vào đó, chúng tải vào bộ nhớ để thực thi và kiểm soát chương
trình chủ. Virus này được hoạt động ở chế độ nền và lây nhiễm vào các máy chủ mới khi các tập tin
được truy cập bởi các chương trình hoặc hệ điều hành ở máy tính khác. Nonsident viruses bao gồm
một mô-đun tìm kiếm và một mô-đun nhân bản. Các mô-đun tìm kiếm chịu trách nhiệm cho việc
tìm kiếm các tập tin mới để lây nhiễm. Với mỗi tập tin thực thi mà mô-đun tìm kiếm phát hiện, nó
sẽ gọi tới mô-đun nhân bản để lây nhiễm vào các tệp tin này. Resident viruses gồm một mô-đun
nhân bản hoạt động tương tự như mô-đun nhân bản của Nonsident viruses. Tuy nhiên, mô-đun nhân
bản này không được gọi bởi mô-đun tìm kiếm. Virus tải mô-đun nhân bản vào trong bộ nhớ khi nó
được kích hoạt và mô-đun này thực thi tại thời điểm hệ điều hành thực hiện một hoạt động nhất
định nào đó.



2.3.2. Worm
2.3.2.1. Định nghĩa
Là các chương trình có khả năng tự nhân bản, tự tìm cách lan truyền qua hệ thống mạng (thường là
qua hệ thống thư điện tử).
2.3.2.2. Phân loại
a. Phân loại theo mục tiêu khám phá
– Kỹ thuật quét chủ động
Sâu Internet có thể tự động tìm kiếm các nạn nhân bằng việc quét các địa chỉ được tạo ra một cách
ngẫu nhiên hay có được tạo ra từ trước.
– Kỹ thuật quét thụ động
Một con sâu kiểu thụ động không tự động tìm kiếm các nạn nhân. Thay vào đó hoặc là chúng chờ
cho các nạn nhân tiềm năng liên lạc với chúng hoặc lợi dụng hành vi của người sử dụng để tìm đến
các mục tiêu mới.
b. Phân loại theo phương tiện lan truyền và cơ chế phân phối
Những phương tiện lây nhiễm cũng có thể ảnh hưởng tới tốc độ và kỹ thuật tàng hình của một con
sâu. Một con sâu có thể chủ động lây lan từ máy này sang máy khác, hoặc có thể được mang theo
như là một phần của những giao tiếp bình thường.
– Tự thực hiện
– Kênh thứ hai
– Nhúng
c. Phân loại theo đối tượng kích hoạt
Phương tiện kích hoạt sâu trên một host lưu trữ ảnh hưởng đáng kể tới việc lây nhiễm
của sâu. Một vài sâu có thể được kích hoạt để lây nhiễm ngay lập tức, nhưng cũng có những
sâu có thể phải chờ vài ngày hoặc vài tuần để được kích hoạt.
– Kích hoạt bởi con người
– Kích hoạt dựa vào hoạt động của con người
– Quy trình kích hoạt theo lịch
– Tự kích hoạt

d. Phân loại theo chức năng
Ngoài mục đích lan truyền trên Internet sâu còn có thể thực hiện các mục đích khác nhau phụ thuộc
vào mục tiêu của cuộc tấn công hay ý định của kẻ viết ra sâu. Các loại sâu khác nhau sẽ thực hiện
nhiệm vụ khác nhau của những kẻ tấn công.
– Tạo lưu lượng giả
– Điều khiển từ xa qua mạng Internet
– Phát tán thư rác
– Chuyển hướng trang web thông qua HTML-Proxies
– Tấn công từ chối dịch vụ DOS qua Internet
– Thu thập thông tin
– Phá hủy dữ liệu
– Điều khiển thiết bị vật lý từ xa
– Tấn công lớp vật lý
– Duy trì và cập nhật phiên bản mới
Phân biệt worm và các loại mã độc khác
Ngày nay các mã độc được thiết kế ít mang đặc điểm riêng biệt một loại cụ thể mà thường có nhiều
khả năng, đặc điểm của nhiều loại khác nhau. Ví dụ biến thể worm có thể có khả năng đánh cắp dữ
liệu giống như spyware hoặc mở cổng hậu như backdoor…Cũng chính vì vậy người sử dụng
thường khó phân biệt hoặc nhầm lẫn giữa các loại mã độc. Một số đặc điểm chính sau đây để phân
biệt giữa các loại mã độc:


– Virus thường phá hoại tệp tin: chiếu theo khái niệm virus, một loại virus là một chương trình tự
nhân bản và lây nhiễm một máy tính, lây lan từ một tập tin khác, và sau đó từ một máy tính khác
khi các tập tin được sao chép hoặc chia sẻ. Vì vậy virus thường mang cơ chế mạnh để lây nhiễm file
trong hệ thống và chúng phá hoại, hỏng tệp tin bị nhiễm.
– Spyware đánh cắp thông tin: Spyware là bất kỳ phần mềm cài đặt trên máy tính của người sử
dụng để thu thập thông tin mà người sử dụng không biết, và gửi thông tin lại tới mục tiêu xác định
trước để có thể sử dụng thông tin cá nhân theo một cách bất chính. Điều này có thể bao gồm
keylogging (ghi lại thao tác gõ bàn phím) để tìm mật khẩu, xem thói quen tìm kiếm, thay đổi địa chỉ

trang chủ của trình duyệt và tìm kiếm lịch sử các trang web, hoặc đánh cắp mật khẩu và số thẻ tín
dụng…
– Trojan dùng để cài đặt, mở cửa sau(backdoor): mã độc thuộc loại trojan là những phần mềm ứng
dụng mà có hành vi bí mật tải về và cài đặt mã độc hại khác mà không hề hay biết. Trong nhiều
trường hợp, trojan sẽ tạo ra một backdoor, cho phép máy tính của bị kiểm soát từ xa, hoặc là trực
tiếp hoặc là một phần của mạng botnet là một mạng lưới các máy tính cũng bị nhiễm một trojan
hoặc phần mềm độc hại khác. Sự khác biệt lớn giữa một vi rút và một trojan được rằng trojan không
tự nhân bản, họ phải được cài đặt bởi một người dùng vô tình.
– Worm lây lan qua mạng: Sâu máy tính sử dụng mạng để nhân bản của chính mình đến các máy
tính khác, thường khai thác sử dụng một lỗ hổng bảo mật nào đó để nhân bản tới một máy khác, sự
nhân bản này mang tính tự động mà không cần sự can thiệp của người dùng. Bởi vì chúng có thể
lây lan rất nhanh trên mạng, lây nhiễm vào các máy tính vào trên con đường mà chúng nhằm tới,
chúng có xu hướng trở thành loại mã độc nổi tiếng nhất, mặc dù nhiều người dùng vẫn nhầm lẫn gọi
chúng là virus.
– Ransomware mã hóa dữ liệu, tống tiền: là loại malware sử dụng một hệ thống mật mã để mã hóa
dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Đây là loại malware sử dụng
một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục
lại. Một trong những đại diện nổi tiếng nhất của loại malware này có tên là CryptoLocker, nó sẽ tiến
hành “bắt cóc” dữ liệu trên máy bị nhiễm của người dùng, và sử dụng dữ liệu bị mã hóa làm con tin
và yêu cầu người sử dụng chi trả hàng trăm USD để “chuộc” lại dữ liệu.

2.3.2.3. Cách thức làm việc của Worm
Yếu tố ban đầu của Worm là một đoạn mã độc hại có vai trò như một công cụ xâm nhập các lỗ hổng
bảo mật nằm trên máy tính và khai thác chúng. Worm sẽ được truyền đi thông qua lỗ hổng này. Một
khi các đoạn mã độc hại đã được lây nhiễm vào máy, Worm sẽ sử dụng một công cụ được thiết kế
để dò tìm, phát hiện các máy tính khác được kết nối vào mạng. Từ đó, nó quét các máy tính trên
mạng để xác định vị trí các lỗ hổng, sau đó Worm sẽ sử dụng công cụ xâm nhập để truy cập vào các
máy tính này.
2.3.3. Trojan
2.3.3.1. Định nghĩa

Trojan là một chương trình nguy hiểm thường trong diện mạo như là một chương trình hữu ích.
Trojan không12 phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản.
2.3.3.2. Phân loại
Command shell Trojan
Lệnh Trojan Shell cho phép điều khiển từ xa lệnh Shell trên máy tính của nạn nhân


Máy chủ Trojan được cài trên máy của nạn nhân, trong đó nó mở một cổng để cho Attacker kết nối
đến.
Một máy trạm được trên máy của Attacker, trong đó nó được sử dụng để chạy lênh shell trên máy
tính của nạn nhân
Email Trojans
Attacker điều khiển tự xa máy tính của nạn nhân bằng cách gửi một email
Attacker có thể lấy file hoặc thư mục bằng cách gủi lệnh thông qua email
Attacker mở máy chủ relay SMTP và giả mạo email từ một trường để che giấu nguồn gốc
Botnet Trojans
Trojan botnet lây nhiễm một số lượng lớn các máy tính trên một phạm vi địa lý rộng lớn, tạo ra một
mạng bot được điều khiển thông qua Command và Control (C&C) trung tâm
Botnet được sử dụng để phát động một cuộc tấn công khác nhau trên một nạn nhân bao gồm tấn
công từ chối dich vụ, spamming, Click gian lân và trộm cắp thông tin tài chính
Proxy sever Trojans
Trojan Proxy thường được sử dụng như một ứng dụng cho phép Attacker từ xa sử dụng máy tính
của nạn nhân như một Proxy để kết nối Internet
Proxy server Trojan, khi bị nhiễm, bắt đầu ẩn một Proxy server trên máy tính của nạn nhân
Hàng ngàn máy tính trên Internet bị nhiễm với những Proxy server bằng cách sử dụng kỹ thuật này
FTP Trojans
FTP Trojans cài đặt FTP server trên máy nạn nhân, nó mở cổng FTP
Attacker có thể kết nối đến máy của nạn nhân bằng cách sử dụng cổng FTP để tải bất kỳ file nào tồn
tại trên máy tính của nạn nhân.
VNC Trojans

VNC Trojan bắt đầu một VNC Server deamon trong hệ thông bị nhiễm. Nó kết nối đến nạn nhân
bằng cách sử dụng bất kỳ VNC viewer nào với mật khẩu “secret”. Khi chương trình VNC được xem
xét kỹ lưỡng, thì Trojan sẽ không bao giờ bị phát hiện bởi trình chống Virus.
2.3.3.3. Cách thức làm việc của Trojan
Trojan thường gồm hai thành phần là client và server, khi máy tính của người sử dụng bị lây nhiễm
Trojan thì chúng sẽ biến thành server và một cổng sẽ bị mở ra, chúng sẽ dùng client để kết nối tới IP
của nạn nhân.
Server sẽ ẩn trong bộ nhớ và nó tạo nên những thay đổi trong hệ thống.
Trojan sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat, win.ini hoặc các
file hệ thống khác, do vậy mà server sẽ tự khởi động khi Windows làm việc trong các phiên tiếp
theo.


CHƯƠNG 3 - TÌM HIỂU VỀ IDS/IPS

1.1. Giới thiệu về IDS/IPS
1.1.1. Định nghĩa
Hệ thống phát hiện và ngăn chặn xâm nhập IPS (Instrusion prevention systems) là
hệ thống có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các
hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc
làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống.
IPS được tích hợp bởi IDS và hệ thống ngăn cản xâm nhập.Các thành phần chính
của IDS gồm :
- Trung tâm điều khiển (The Command Console): là nơi mà IDS được giám sát và
quản lí. Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm
điều khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm điều khiển
duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã
hóa, và nó là một máy chuyên dụng
- Bộ cảm biến (Network Sensor): là chương trình chạy trên các thiết bị mạng hoặc
máy chuyên dụng trên các đường mạng thiết yếu. Vai trò của bộ cảm biến là dùng

để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên
quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ
- Bộ phân tích gói tin(Network Trap): là một thiết bị phần cứng được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo
khi phát hiện ra hành động xâm nhập
- Thành phần cảnh báo (Alert Notification): Thành phần cảnh báo có chức năng gửi
những cảnh báo tới người quản trị. Trong các hệ thống IDS hiện ại, lời cảnh báo
có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP


1.1.2. Sự khác nhau giữa IDS và IPS
Có thể nhận thấy sự khác biệt giữa hai khái niệm ngay ở tên gọi: “phát hiện” và
“ngăn chặn”. Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh
báo các nguy cơ xâm nhập đối với mạng máy tính nó đang bảo vệ trong khi đó, một hệ
thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo
các quy định được người quản trị thiết lập sẵn.
Tuy vậy, sự khác biệt này trên thực tế không thật sự rõ ràng. Một số hệ thống IDS được
thiết kế với khả năng ngăn chặn như một chức năng tùy chọn. Trong khi đó một số hệ
thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng
nghĩa.
Một câu hỏi được đặt ra là lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc
vào quy mô, tính chất của từng mạng máy tính cụ thể cũng như chính sách an ninh của
những người quản trị mạng. Trong trường hợp các mạng có quy mô nhỏ, với một máy
chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa
phát hiện, cảnh báo và ngăn chặn của nó. Tuy nhiên với các mạng lơn hơn thì chức năng
ngăn chặn thường được giao phó cho một sản phẩm chuyên dụng như một firewall chẳng
hạn. Khi đó, hệ thống cảnh báo sẽ chỉ cần theo dõi, phát hiện và gửi các cảnh báo đến
một hệ thống ngăn chặn khác. Sự phân chia trách nhiệm này sẽ làm cho việc đảm bảo an
ninh cho mạng trở nên linh động và hiệu quả hơn.
41.1.3. Quy trình hoạt động của IPS:

- Một host tạo ra một gói tin mạng
- Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó được
gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thể đọc tất
cả các gói tin).
- Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có dấu
hiệu vi phạm hay không. Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra
và gửi đến giao diện điều khiển.
- Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một
người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sổ popup,
trang web v.v...).
- Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
- Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộ hoặc
trên cơ sở dữ liệu).
- Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
- Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là cuộc
tấn công hay không.
- Nếu xác định được là có cuộc tấn công tín hiệu báo hiệu sẽ được gửi đến modul
phản ứng. Lúc đó modul phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng
ngǎn chặn cuộc tấn công hay cảnh báo tới người quản trị. Tại modul này, nếu chỉ
đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được
gọi là hệ thống phòng thủ bị động.Modul phản ứng này tùy theo hệ thống mà có
các chức nǎng và phương pháp ngǎn chặn khác nhau:
• Kết thúc tiến trình: Cơ chế của kỹ thuật này là hệ thống IPS gửi các gói tin
nhằm phá huỷ tiến trình bị nghi ngờ
• Huỷ bỏ tấn công: Kỹ thuật này dùng tường lửa để hủy bỏ gói tin hoặc chặn
đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin tấn
công
5• Cảnh báo thời gian thực: Gửi các cảnh báo thời gian thực đến người quản
trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về



chúng
• Ghi lại vào tệp tin: Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ
thống các tệp tin log. Mục đích để các người quản trị có thể theo dõi các
luồng thông tin và là nguồn thông tin giúp cho modul phát hiện tấn công
hoạt động
• Thay đổi các chính sách của tường lửa: Kỹ thuật này cho phép người quản
trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình
lại là tạm thời thay đổi các chính sách điều khiển truy nhập bởi người dùng
đặc biệt trong khi cảnh báo tới người quản trị
1.2. Phân loại IPS
Cách thông thường nhất để phân loại các hệ thống IPS (cũng như IDS) là dựa vào
đặc điểm của nguồn dữ liệu thu thập được. Trong trường hợp này, các hệ thống IPS được
chia thành các loại sau:
1.2.1. NIPS

Network-based IPS (NIPS) được đặt giữa kết nối hệ thống mạng bên trong và
mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Hệ thống IPS dựa trên mạng sẽ
kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp,
quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các
6đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IPS hoạt động
tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào
băng thông (bandwidth-based) của tấn công Denied of Service (DoS).Loại IPS này dùng
để ngăn chặn sự xâm nhập từ bên ngoài vào nội mạng
Ưu điểm:
- Quản lí được một mạng gồm nhiều host
- Trong suốt với người sử dụng lẫn kẻ tấn công
- Chi phí thấp : Do chỉ cần cài đặt NIPS ở những vị trí trọng yếu là có thể giám sát
lưu lượng toàn mạng nên hệ thống không cần phải nạp các phần mềm và quản lý
trên các máy toàn mạng

- Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ đột
nhập sửa đổi để che dấu các hoạt động xâm nhập. NIPS sử dụng lưu thông hiện


hành trên mạng để phát hiện xâm nhập. Vì thế, kẻ đột nhập không thể xoá bỏ được
các dấu vết tấn công. Các thông tin bắt được không chỉ chứa cách thức tấn công
mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập.
- Độc lập với OS: Lỗi hệ thống không có ảnh hưởng đáng kể nào đối với công việc
của các máy trên mạng. Chúng chạy trên một hệ thống chuyên dụng dễ dàng cài
đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm
chúng vào trong mạng tại một vị trí cho phép nó kiểm soát các cuộc lưu thông
nhạy cảm.
Nhược điểm:
- Bị hạn chế với Switch: Nhiều lợi điểm của NIPS không phát huy được trong các
mạng chuyển mạch hiện đại. Thiết bị switch chia mạng thành nhiều phần độc lập
vì thế NIPS khó thu thập được thông tin trong toàn mạng. Do chỉ kiểm tra mạng
trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công
xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua
một lượng lớn các bộ cảm biến để có thể bao phủ hết toàn mạng gây tốn kém về
chi phí cài đặt
- Có thể xảy ra trường hợp báo động giả. Không thể phân tích được các traffic đã
được mã hóa, lỗi này càng trở nên trầm trọng khi nhiều công ty và tổ chức đang áp
dụng mạng riêng ảo VPN
7- Hạn chế về hiệu năng: NIPS sẽ gặp khó khăn khi phải xử lý tất cả các gói tin trên
mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộc
tấn công thực hiện vào lúc "cao điểm"
- Một số hệ thống NIPS cũng gặp khó khăn khi phát hiện các cuộc tấn công mạng
từ các gói tin phân mảnh. Các gói tin định dạng sai này có thể làm cho NIPS hoạt
động sai và đổ vỡ .
- Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể cần truyền một

dung lượng dữ liệu lớn trở về hệ thống phân tích trung tâm, có nghĩa là một gói tin
được kiểm soát sẽ sinh ra một lượng lớn tải phân tích. Để khắc phục người ta
thường sử dụng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các lưu
thông được truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào
các bộ cảm biến và sử dụng các trạm trung tâm như một thiết bị hiển thị trạng thái
hoặc trung tâm truyền thông hơn là thực hiện các phân tích thực tế. Điểm bất lợi là
nó sẽ cung cấp rất ít thông tin liên quan cho các bộ cảm biến; bất kỳ bộ cảm biến
nào sẽ không biết được việc một bộ cảm biến khác dò được một cuộc tấn công.
Một hệ thống như vậy sẽ không thể dò được các cuộc tấn công hiệp đồng hoặc
phức tạp.
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động
được phát hiện, hệ thống có thể đã bị tổn hại.
1.2.2. HIPS


Bằng cách cài đặt một phần mềm trên máy chủ, IPS dựa trên máy chủ quan sát tất cả
những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập. Hệ thống dựa trên
máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗi
trên hệ thống máy chủ. HIPS thường được cài đặt trên một máy tính nhất định thay vì
giám sát hoạt động của một network, HIPS chỉ giám sát các hoạt động trên một máy tính.
HIDS thường được đặt trên các host quan trọng và các server. Nhiệm vụ của HIPS là theo
dõi các thay đổi trên hệ thống gồm:
• Các tiến trình
• Các entry
• Mức độ sử dụng CPU
• Tình trạng RAM
• Tính toàn vẹn hệ thống
• Các thông số này khi vượt qua một ngưỡng nhất định hoặc có những thay đổi khả
nghi sẽ gây ra báo động
Ưu điểm chủa HIPS:



• Có khả năng xác định được user liên quan tới một sự kiện
• Giám sát được hoạt động cụ thể của hệ thống
• HIPS có khả năng phát hiện tấn công diễn ra trên một máy ,NPIS không làm được
việc này
• Có thể phân tích các dữ liệu mã hóa
• Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn
(FTP Server, WebServer) nên HIPS không yêu cầu phải cài đặt thêm các phần
cứng khác.
Nhược điểm của HIPS:
• Chiếm tài nguyên hệ thống : Do cài đặt trên các máy cần bảo vệ nên HIPS phải sử
dụng các tài nguyên của hệ thống để hoạt động
• Thông tin từ HIPS là không tin cậy ngay khi sự tấn công vào host hành công
• HIPS phải được thiết lập trên từng host cần giám sát dẫn đến khó quản trị
• HIPS không có khả năng phát hiện các cuộc dò quét mạng
• Khi OS bị hạ do tấn công thì HIPS cũng bị hạ
PHẦN 1 - TÌM HIỂU VỀ SURICATA
1.1 Giới thiệu về Suricata
Nếu các bạn đã từng làm việc với Snort thì việc làm quen với Suricata là điều không hề khó khăn.
Suricata là hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở. Suricata là công cụ
IDS/IPS miễn phí, dựa trên luật để theo dõi lưu lượng mạng, đưa ra cảnh báo nếu có sự kiện bất
thường xảy ra.
Được thiết kế để tương thích với các thành phần an ninh mạng trong hệ thống hiện nay. Suricata là
công cụ giám sát đa luồng, tăng tốc độ xử lý trong việc phân tích lưu lượng mạng và được thiết kế
để tận dụng tốt nhất sức mạnh phần cứng.
1.2 Cách cài đặt
1.2.1 Cài đặt trên Ubuntu
Đầu tên cập nhật sau đó cài những gói cần thiết cho việc cài đặt.
#apt-get update

# apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev
libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4


# apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev

Cài đặt Suricata:
Download Suricata tại trang chủ.

Hoặc có thể gõ lệnh bên dưới để download.
# wget /># tar -zxf suricata-3.1.1.tar.gz
# cd suricata-3.1.1/


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×