Snort ຫຼື Suricata. ສ່ວນທີ 3: ການປົກປ້ອງເຄືອຂ່າຍຫ້ອງການ

В ບົດຄວາມທີ່ຜ່ານມາ ພວກເຮົາໄດ້ກວມເອົາວິທີການດໍາເນີນການສະບັບທີ່ຫມັ້ນຄົງຂອງ Suricata ໃນ Ubuntu 18.04 LTS. ການຕັ້ງຄ່າ IDS ຢູ່ໃນໂຫນດດຽວແລະເປີດໃຊ້ຊຸດກົດລະບຽບຟຣີແມ່ນຂ້ອນຂ້າງກົງໄປກົງມາ. ມື້ນີ້ພວກເຮົາຈະຄິດວິທີການປົກປ້ອງເຄືອຂ່າຍຂອງບໍລິສັດໂດຍໃຊ້ການໂຈມຕີປະເພດທົ່ວໄປທີ່ສຸດໂດຍໃຊ້ Suricata ທີ່ຕິດຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ virtual. ເພື່ອເຮັດສິ່ງນີ້, ພວກເຮົາຕ້ອງການ VDS ໃນ Linux ທີ່ມີສອງແກນຄອມພິວເຕີ. ຈໍານວນຂອງ RAM ແມ່ນຂຶ້ນກັບການໂຫຼດ: 2 GB ແມ່ນພຽງພໍສໍາລັບບາງຄົນ, ແລະ 4 ຫຼືແມ້ກະທັ້ງ 6 ອາດຈະຕ້ອງການສໍາລັບວຽກງານທີ່ຮ້າຍແຮງກວ່າເກົ່າ, ປະໂຫຍດຂອງເຄື່ອງ virtual ແມ່ນຄວາມສາມາດໃນການທົດລອງ: ທ່ານສາມາດເລີ່ມຕົ້ນດ້ວຍການຕັ້ງຄ່າຫນ້ອຍທີ່ສຸດແລະເພີ່ມຂຶ້ນ. ຊັບພະຍາກອນຕາມຄວາມຕ້ອງການ.

ພາບ: Reuters

• Snort ຫຼື Suricata. ສ່ວນທີ 1: ການເລືອກ IDS/IPS ຟຣີເພື່ອປົກປ້ອງເຄືອຂ່າຍອົງກອນຂອງທ່ານ
• Snort ຫຼື Suricata. ສ່ວນທີ 2: ການຕິດຕັ້ງແລະການຕິດຕັ້ງເບື້ອງຕົ້ນຂອງ Suricata

ການເຊື່ອມຕໍ່ເຄືອຂ່າຍ

ການເອົາ IDS ອອກຈາກເຄື່ອງ virtual ໃນສະຖານທີ່ທໍາອິດອາດຈະຈໍາເປັນສໍາລັບການທົດສອບ. ຖ້າທ່ານບໍ່ເຄີຍຈັດການກັບວິທີແກ້ໄຂດັ່ງກ່າວ, ທ່ານບໍ່ຄວນຟ້າວທີ່ຈະສັ່ງຮາດແວທາງດ້ານຮ່າງກາຍແລະປ່ຽນສະຖາປັດຕະຍະກໍາເຄືອຂ່າຍ. ມັນດີທີ່ສຸດທີ່ຈະໃຊ້ລະບົບຢ່າງປອດໄພ ແລະ ປະຫຍັດຄ່າໃຊ້ຈ່າຍເພື່ອກໍານົດຄວາມຕ້ອງການຂອງຄອມພິວເຕີ້ຂອງທ່ານ. ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະເຂົ້າໃຈວ່າການຈະລາຈອນຂອງບໍລິສັດທັງຫມົດຈະຕ້ອງຜ່ານທາງດຽວພາຍນອກ: ເພື່ອເຊື່ອມຕໍ່ເຄືອຂ່າຍທ້ອງຖິ່ນ (ຫຼືຫຼາຍເຄືອຂ່າຍ) ກັບ VDS ທີ່ມີ IDS Suricata ຕິດຕັ້ງ, ທ່ານສາມາດນໍາໃຊ້. SoftEther - ເປັນເຊີບເວີ VPN ຂ້າມເວທີທີ່ງ່າຍຕໍ່ການຕັ້ງຄ່າ, ສະຫນອງການເຂົ້າລະຫັດທີ່ເຂັ້ມແຂງ. ການເຊື່ອມຕໍ່ອິນເຕີເນັດໃນຫ້ອງການອາດຈະບໍ່ມີ IP ທີ່ແທ້ຈິງ, ສະນັ້ນມັນດີກວ່າທີ່ຈະຕັ້ງມັນຢູ່ໃນ VPS. ບໍ່ມີຊຸດທີ່ກຽມພ້ອມໃນບ່ອນເກັບມ້ຽນ Ubuntu, ທ່ານຈະຕ້ອງດາວໂຫລດຊອບແວຈາກ ສະຖານທີ່ໂຄງການ, ຫຼືຈາກ repository ພາຍນອກກ່ຽວກັບການບໍລິການ Launchpad (ຖ້າ​ເຈົ້າ​ໄວ້​ວາງ​ໃຈ​ລາວ):

sudo add-apt-repository ppa:paskal-07/softethervpn
sudo apt-get update

ທ່ານສາມາດເບິ່ງລາຍຊື່ຂອງແພັກເກັດທີ່ມີຢູ່ດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້:

apt-cache search softether

ພວກເຮົາຈະຕ້ອງການ softether-vpnserver (ເຄື່ອງແມ່ຂ່າຍໃນການຕັ້ງຄ່າການທົດສອບແມ່ນແລ່ນຢູ່ໃນ VDS), ເຊັ່ນດຽວກັນກັບ softether-vpncmd - command line utilities ສໍາລັບການຕັ້ງຄ່າມັນ.

sudo apt-get install softether-vpnserver softether-vpncmd

utility ເສັ້ນຄໍາສັ່ງພິເສດແມ່ນຖືກນໍາໃຊ້ເພື່ອ configure ເຄື່ອງແມ່ຂ່າຍ:

sudo vpncmd

ພວກເຮົາຈະບໍ່ສົນທະນາຢ່າງລະອຽດກ່ຽວກັບການຕັ້ງຄ່າ: ຂັ້ນຕອນແມ່ນຂ້ອນຂ້າງງ່າຍດາຍ, ມັນຖືກອະທິບາຍໄວ້ໃນສິ່ງພິມຈໍານວນຫລາຍແລະບໍ່ກ່ຽວຂ້ອງໂດຍກົງກັບຫົວຂໍ້ຂອງບົດຄວາມ. ໃນສັ້ນ, ຫຼັງຈາກເລີ່ມຕົ້ນ vpncmd, ທ່ານຈໍາເປັນຕ້ອງເລືອກລາຍການ 1 ເພື່ອໄປທີ່ console ການຄຸ້ມຄອງເຄື່ອງແມ່ຂ່າຍ. ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງໃສ່ຊື່ localhost ແລະກົດ enter ແທນທີ່ຈະໃສ່ຊື່ຂອງ hub. ລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງລະບົບຖືກຕັ້ງຢູ່ໃນ console ດ້ວຍຄໍາສັ່ງ serverpasswordset, DEFAULT virtual hub ຖືກລຶບ (ຄໍາສັ່ງ hubdelete) ແລະອັນໃຫມ່ຖືກສ້າງດ້ວຍຊື່ Suricata_VPN, ແລະລະຫັດຜ່ານຂອງມັນຍັງຖືກຕັ້ງ (ຄໍາສັ່ງ hubcreate). ຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງໄປຫາ console ການຈັດການຂອງ hub ໃຫມ່ໂດຍໃຊ້ຄໍາສັ່ງ hub Suricata_VPN ເພື່ອສ້າງກຸ່ມແລະຜູ້ໃຊ້ໂດຍໃຊ້ຄໍາສັ່ງ groupcreate ແລະ usercreate. ລະຫັດຜ່ານຜູ້ໃຊ້ຖືກຕັ້ງໂດຍໃຊ້ userpasswordset.

SoftEther ສະຫນັບສະຫນູນສອງຮູບແບບການໂອນການຈະລາຈອນ: SecureNAT ແລະ Local Bridge. ທໍາອິດແມ່ນເຕັກໂນໂລຢີທີ່ເປັນເຈົ້າຂອງສໍາລັບການກໍ່ສ້າງເຄືອຂ່າຍສ່ວນຕົວ virtual ກັບ NAT ແລະ DHCP ຂອງຕົນເອງ. SecureNAT ບໍ່ຕ້ອງການ TUN/TAP ຫຼື Netfilter ຫຼືການຕັ້ງຄ່າໄຟວໍອື່ນໆ. ເສັ້ນທາງບໍ່ມີຜົນກະທົບຕໍ່ຫຼັກຂອງລະບົບ, ແລະຂະບວນການທັງຫມົດແມ່ນ virtualized ແລະເຮັດວຽກກ່ຽວກັບ VPS / VDS ໃດກໍ່ຕາມ, ບໍ່ວ່າຈະເປັນ hypervisor ທີ່ໃຊ້. ອັນນີ້ເຮັດໃຫ້ການໂຫຼດ CPU ເພີ່ມຂຶ້ນ ແລະຄວາມໄວຊ້າລົງເມື່ອປຽບທຽບກັບໂໝດ Local Bridge, ເຊິ່ງເຊື່ອມຕໍ່ SoftEther virtual hub ກັບອະແດບເຕີເຄືອຂ່າຍທາງດ້ານຮ່າງກາຍ ຫຼືອຸປະກອນ TAP.

ການຕັ້ງຄ່າໃນກໍລະນີນີ້ກາຍເປັນຄວາມສັບສົນຫຼາຍ, ນັບຕັ້ງແຕ່ການກໍານົດເສັ້ນທາງເກີດຂື້ນໃນລະດັບແກ່ນໂດຍໃຊ້ Netfilter. VDS ຂອງພວກເຮົາຖືກສ້າງຂຶ້ນໃນ Hyper-V, ດັ່ງນັ້ນໃນຂັ້ນຕອນສຸດທ້າຍພວກເຮົາສ້າງຂົວທ້ອງຖິ່ນແລະເປີດໃຊ້ອຸປະກອນ TAP ດ້ວຍຄໍາສັ່ງ bridgecreate Suricate_VPN -device:suricate_vpn -tap:yes. ຫຼັງຈາກອອກຈາກ hub Management console, ພວກເຮົາຈະເຫັນການໂຕ້ຕອບເຄືອຂ່າຍໃຫມ່ໃນລະບົບທີ່ຍັງບໍ່ທັນໄດ້ມອບຫມາຍ IP:

ifconfig

ຕໍ່ໄປ, ທ່ານຈະຕ້ອງເປີດໃຊ້ packet routing ລະຫວ່າງ interfaces (ip forward), ຖ້າມັນບໍ່ມີການເຄື່ອນໄຫວ:

sudo nano /etc/sysctl.conf

ຍົກເລີກຄຳເຫັນແຖວຕໍ່ໄປນີ້:

net.ipv4.ip_forward = 1

ບັນທຶກການປ່ຽນແປງໃນໄຟລ໌, ອອກຈາກຕົວແກ້ໄຂແລະນໍາໃຊ້ພວກມັນດ້ວຍຄໍາສັ່ງຕໍ່ໄປນີ້:

sudo sysctl -p

ຕໍ່ໄປ, ພວກເຮົາຈໍາເປັນຕ້ອງກໍານົດ subnet ສໍາລັບເຄືອຂ່າຍ virtual ທີ່ມີ IPs ປອມ (ຕົວຢ່າງ: 10.0.10.0/24) ແລະກໍານົດທີ່ຢູ່ກັບການໂຕ້ຕອບ:

sudo ifconfig tap_suricata_vp 10.0.10.1/24

ຫຼັງຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງຂຽນກົດລະບຽບ Netfilter.

1. ຖ້າຈໍາເປັນ, ອະນຸຍາດໃຫ້ແພັກເກັດທີ່ເຂົ້າມາຢູ່ໃນພອດຟັງ (ໂປໂຕຄອນທີ່ເປັນເຈົ້າຂອງ SoftEther ໃຊ້ HTTPS ແລະພອດ 443)

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 992 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT

2. ຕັ້ງຄ່າ NAT ຈາກເຄືອຂ່າຍຍ່ອຍ 10.0.10.0/24 ໄປຫາ IP ເຊີບເວີຫຼັກ

sudo iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -j SNAT --to-source 45.132.17.140

3. ອະນຸຍາດໃຫ້ຜ່ານແພັກເກັດຈາກເຄືອຂ່າຍຍ່ອຍ 10.0.10.0/24

sudo iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT

4. ອະນຸຍາດໃຫ້ passing packets ສໍາລັບການເຊື່ອມຕໍ່ທີ່ສ້າງຕັ້ງຂຶ້ນແລ້ວ

sudo iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

ພວກເຮົາຈະອອກຈາກອັດຕະໂນມັດຂອງຂະບວນການໃນເວລາທີ່ລະບົບຖືກເລີ່ມຕົ້ນໃຫມ່ໂດຍໃຊ້ສະຄິບເບື້ອງຕົ້ນໃຫ້ກັບຜູ້ອ່ານເປັນວຽກບ້ານ.

ຖ້າທ່ານຕ້ອງການໃຫ້ IP ແກ່ລູກຄ້າໂດຍອັດຕະໂນມັດ, ທ່ານກໍ່ຈະຕ້ອງຕິດຕັ້ງບາງປະເພດຂອງການບໍລິການ DHCP ສໍາລັບຂົວທ້ອງຖິ່ນ. ນີ້ເຮັດສໍາເລັດການຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍແລະທ່ານສາມາດໄປຫາລູກຄ້າໄດ້. SoftEther ສະຫນັບສະຫນູນຫຼາຍໂປໂຕຄອນ, ການນໍາໃຊ້ທີ່ຂຶ້ນກັບຄວາມສາມາດຂອງອຸປະກອນ LAN.

netstat -ap |grep vpnserver

ເນື່ອງຈາກ router ທົດສອບຂອງພວກເຮົາຍັງເຮັດວຽກພາຍໃຕ້ Ubuntu, ໃຫ້ຕິດຕັ້ງແພັກເກັດ softether-vpnclient ແລະ softether-vpncmd ຈາກບ່ອນເກັບຂໍ້ມູນພາຍນອກໃສ່ມັນເພື່ອໃຊ້ໂປໂຕຄອນທີ່ເປັນເຈົ້າຂອງ. ທ່ານຈະຕ້ອງດໍາເນີນການລູກຄ້າ:

sudo vpnclient start

ເພື່ອຕັ້ງຄ່າ, ໃຊ້ vpncmd utility, ເລືອກ localhost ເປັນເຄື່ອງທີ່ vpnclient ກໍາລັງແລ່ນ. ຄໍາສັ່ງທັງຫມົດແມ່ນເຮັດຢູ່ໃນ console: ທ່ານຈະຕ້ອງສ້າງການໂຕ້ຕອບ virtual (NicCreate) ແລະບັນຊີ (AccountCreate).

ໃນບາງກໍລະນີ, ທ່ານຕ້ອງລະບຸວິທີການກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ຄໍາສັ່ງ AccountAnonymousSet, AccountPasswordSet, AccountCertSet, ແລະ AccountSecureCertSet. ເນື່ອງຈາກພວກເຮົາບໍ່ໄດ້ໃຊ້ DHCP, ທີ່ຢູ່ສໍາລັບອະແດບເຕີສະເໝືອນຖືກຕັ້ງດ້ວຍຕົນເອງ.

ນອກຈາກນັ້ນ, ພວກເຮົາຈໍາເປັນຕ້ອງເປີດໃຊ້ ip forward (ທາງເລືອກ net.ipv4.ip_forward=1 ໃນໄຟລ໌ /etc/sysctl.conf) ແລະກໍານົດເສັ້ນທາງຄົງທີ່. ຖ້າຈໍາເປັນ, ໃນ VDS ກັບ Suricata, ທ່ານສາມາດກໍານົດການສົ່ງຕໍ່ພອດເພື່ອໃຊ້ບໍລິການທີ່ຕິດຕັ້ງຢູ່ໃນເຄືອຂ່າຍທ້ອງຖິ່ນ. ໃນເລື່ອງນີ້, ການລວມຕົວຂອງເຄືອຂ່າຍສາມາດຖືກພິຈາລະນາຢ່າງສົມບູນ.

ການຕັ້ງຄ່າທີ່ສະເໜີຂອງພວກເຮົາຈະມີລັກສະນະດັ່ງນີ້:

ການຕັ້ງຄ່າ Suricata

В ບົດຄວາມທີ່ຜ່ານມາ ພວກເຮົາໄດ້ເວົ້າກ່ຽວກັບສອງໂຫມດການເຮັດວຽກຂອງ IDS: ຜ່ານແຖວ NFQUEUE (ໂຫມດ NFQ) ແລະຜ່ານສູນສໍາເນົາ (AF_PACKET mode). ອັນທີສອງຮຽກຮ້ອງໃຫ້ມີສອງການໂຕ້ຕອບ, ແຕ່ໄວກວ່າ - ພວກເຮົາຈະໃຊ້ມັນ. ພາລາມິເຕີຖືກຕັ້ງເປັນຄ່າເລີ່ມຕົ້ນໃນ /etc/default/suricata. ພວກເຮົາຍັງຕ້ອງການແກ້ໄຂພາກສ່ວນ vars ໃນ /etc/suricata/suricata.yaml, ກໍານົດ subnet virtual ຢູ່ທີ່ນັ້ນເປັນເຮືອນ.

ເພື່ອປິດເປີດ IDS ຄືນໃໝ່, ໃຫ້ໃຊ້ຄຳສັ່ງ:

systemctl restart suricata

ການແກ້ໄຂແມ່ນກຽມພ້ອມ, ຕອນນີ້ທ່ານອາດຈະຕ້ອງທົດສອບມັນເພື່ອຕ້ານກັບການກະທໍາທີ່ເປັນອັນຕະລາຍ.

ການໂຈມຕີຈຳລອງ

ສາມາດມີຫຼາຍສະຖານະການສໍາລັບການນໍາໃຊ້ການຕໍ່ສູ້ຂອງການບໍລິການ IDS ພາຍນອກ:

ການປ້ອງກັນການໂຈມຕີ DDoS (ຈຸດປະສົງຕົ້ນຕໍ)

ມັນເປັນການຍາກທີ່ຈະປະຕິບັດທາງເລືອກດັ່ງກ່າວພາຍໃນເຄືອຂ່າຍຂອງບໍລິສັດ, ນັບຕັ້ງແຕ່ແພັກເກັດສໍາລັບການວິເຄາະຕ້ອງເຂົ້າໄປໃນການໂຕ້ຕອບຂອງລະບົບທີ່ເບິ່ງຢູ່ໃນອິນເຕີເນັດ. ເຖິງແມ່ນວ່າ IDS ຂັດຂວາງພວກເຂົາ, ການຈະລາຈອນທີ່ຂີ້ຮ້າຍສາມາດເຮັດໃຫ້ການເຊື່ອມຕໍ່ຂໍ້ມູນຫຼຸດລົງ. ເພື່ອຫຼີກເວັ້ນການນີ້, ທ່ານຈໍາເປັນຕ້ອງສັ່ງ VPS ທີ່ມີການເຊື່ອມຕໍ່ອິນເຕີເນັດທີ່ມີປະສິດທິພາບພຽງພໍທີ່ສາມາດຜ່ານການເຂົ້າຊົມເຄືອຂ່າຍທ້ອງຖິ່ນທັງຫມົດແລະການຈະລາຈອນພາຍນອກທັງຫມົດ. ມັນມັກຈະງ່າຍແລະລາຄາຖືກກວ່າທີ່ຈະເຮັດສິ່ງນີ້ຫຼາຍກ່ວາການຂະຫຍາຍຊ່ອງທາງຫ້ອງການ. ເປັນທາງເລືອກ, ມັນເປັນມູນຄ່າການກ່າວເຖິງການບໍລິການພິເສດສໍາລັບການປ້ອງກັນ DDoS. ຄ່າໃຊ້ຈ່າຍຂອງການບໍລິການຂອງພວກເຂົາແມ່ນທຽບກັບຄ່າໃຊ້ຈ່າຍຂອງເຄື່ອງແມ່ຂ່າຍ virtual, ແລະມັນບໍ່ຈໍາເປັນຕ້ອງມີການຕັ້ງຄ່າທີ່ໃຊ້ເວລາ, ແຕ່ຍັງມີຂໍ້ເສຍ - ລູກຄ້າໄດ້ຮັບການປົກປ້ອງ DDoS ເທົ່ານັ້ນສໍາລັບເງິນຂອງລາວ, ໃນຂະນະທີ່ IDS ຂອງຕົນເອງສາມາດຕັ້ງຄ່າໄດ້ຕາມທີ່ທ່ານ. ມັກ.

ການປ້ອງກັນການໂຈມຕີພາຍນອກຂອງປະເພດອື່ນໆ

Suricata ສາມາດຮັບມືກັບຄວາມພະຍາຍາມທີ່ຈະຂຸດຄົ້ນຊ່ອງຫວ່າງຕ່າງໆໃນການບໍລິການເຄືອຂ່າຍຂອງບໍລິສັດທີ່ສາມາດເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ (ເຄື່ອງແມ່ຂ່າຍເມລ, ເຄື່ອງແມ່ຂ່າຍເວັບແລະຄໍາຮ້ອງສະຫມັກເວັບ, ແລະອື່ນໆ). ປົກກະຕິແລ້ວ, ສໍາລັບການນີ້, IDS ໄດ້ຖືກຕິດຕັ້ງພາຍໃນ LAN ຫຼັງຈາກອຸປະກອນຊາຍແດນ, ແຕ່ການເອົາມັນອອກນອກມີສິດທີ່ຈະມີຢູ່.

ການປົກປ້ອງຈາກພາຍໃນ

ເຖິງວ່າຈະມີຄວາມພະຍາຍາມທີ່ດີທີ່ສຸດຂອງຜູ້ເບິ່ງແຍງລະບົບ, ຄອມພິວເຕີຢູ່ໃນເຄືອຂ່າຍຂອງບໍລິສັດສາມາດຕິດເຊື້ອ malware ໄດ້. ນອກຈາກນັ້ນ, ບາງຄັ້ງ hooligans ປາກົດຢູ່ໃນທ້ອງຖິ່ນ, ຜູ້ທີ່ພະຍາຍາມປະຕິບັດການຜິດກົດຫມາຍບາງຢ່າງ. Suricata ສາມາດຊ່ວຍສະກັດກັ້ນຄວາມພະຍາຍາມດັ່ງກ່າວ, ເຖິງແມ່ນວ່າເພື່ອປົກປ້ອງເຄືອຂ່າຍພາຍໃນມັນກໍ່ດີກວ່າທີ່ຈະຕິດຕັ້ງມັນພາຍໃນຂອບເຂດແລະນໍາໃຊ້ມັນພ້ອມກັບສະຫຼັບທີ່ມີການຄຸ້ມຄອງທີ່ສາມາດສະທ້ອນການຈະລາຈອນໄປຫາຫນຶ່ງພອດ. IDS ພາຍນອກກໍ່ບໍ່ມີປະໂຫຍດໃນກໍລະນີນີ້ - ຢ່າງຫນ້ອຍມັນຈະສາມາດຈັບຄວາມພະຍາຍາມຂອງ malware ທີ່ອາໄສຢູ່ໃນ LAN ເພື່ອຕິດຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍພາຍນອກ.

ເພື່ອເລີ່ມຕົ້ນ, ພວກເຮົາຈະສ້າງການທົດສອບການໂຈມຕີ VPS ອື່ນ, ແລະໃນ router ເຄືອຂ່າຍທ້ອງຖິ່ນພວກເຮົາຈະຍົກສູງ Apache ດ້ວຍການຕັ້ງຄ່າເລີ່ມຕົ້ນ, ຫຼັງຈາກນັ້ນພວກເຮົາຈະສົ່ງຕໍ່ພອດທີ 80 ໄປຫາມັນຈາກເຄື່ອງແມ່ຂ່າຍ IDS. ຕໍ່ໄປ, ພວກເຮົາຈະຈໍາລອງການໂຈມຕີ DDoS ຈາກເຈົ້າພາບການໂຈມຕີ. ເພື່ອເຮັດສິ່ງນີ້, ດາວໂຫລດຈາກ GitHub, ລວບລວມແລະດໍາເນີນໂຄງການ xerxes ຂະຫນາດນ້ອຍໃນໂຫນດການໂຈມຕີ (ທ່ານອາດຈະຕ້ອງຕິດຕັ້ງຊຸດ gcc):

git clone https://github.com/Soldie/xerxes-DDos-zanyarjamal-C.git
cd xerxes-DDos-zanyarjamal-C/
gcc xerxes.c -o xerxes 
./xerxes 45.132.17.140 80

ຜົນຂອງການເຮັດວຽກຂອງນາງແມ່ນດັ່ງນີ້:

Suricata ຕັດຄົນຮ້າຍ, ແລະຫນ້າ Apache ເປີດໂດຍຄ່າເລີ່ມຕົ້ນ, ເຖິງວ່າຈະມີການໂຈມຕີທັນທີຂອງພວກເຮົາແລະຊ່ອງທາງທີ່ຕາຍແລ້ວແທນທີ່ຈະເປັນເຄືອຂ່າຍ "ຫ້ອງການ" (ຕົວຈິງແລ້ວຢູ່ເຮືອນ). ສໍາລັບວຽກງານທີ່ຮ້າຍແຮງກວ່າເກົ່າ, ທ່ານຄວນໃຊ້ ກອບ Metasploit. ມັນໄດ້ຖືກອອກແບບສໍາລັບການທົດສອບ penetration ແລະອະນຸຍາດໃຫ້ທ່ານສາມາດຈໍາລອງຄວາມຫລາກຫລາຍຂອງການໂຈມຕີ. ຄໍາແນະນໍາການຕິດຕັ້ງ ມີ ຢູ່ໃນເວັບໄຊທ໌ຂອງໂຄງການ. ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​, ການ​ປັບ​ປຸງ​ແມ່ນ​ຕ້ອງ​ການ​:

sudo msfupdate

ສໍາລັບການທົດສອບ, ດໍາເນີນການ msfconsole.

ແຕ່ຫນ້າເສຍດາຍ, ສະບັບຫລ້າສຸດຂອງກອບຂາດຄວາມສາມາດໃນການ crack ອັດຕະໂນມັດ, ດັ່ງນັ້ນການຂູດຮີດຈະຕ້ອງຖືກຈັດຮຽງດ້ວຍຕົນເອງແລະດໍາເນີນການໂດຍໃຊ້ຄໍາສັ່ງການນໍາໃຊ້. ເພື່ອເລີ່ມຕົ້ນດ້ວຍ, ມັນເປັນມູນຄ່າທີ່ຈະກໍານົດພອດທີ່ເປີດຢູ່ໃນເຄື່ອງທີ່ຖືກໂຈມຕີ, ສໍາລັບຕົວຢ່າງ, ການນໍາໃຊ້ nmap (ໃນກໍລະນີຂອງພວກເຮົາ, ມັນຈະຖືກປ່ຽນແທນຢ່າງສົມບູນໂດຍ netstat ໃນເຈົ້າພາບທີ່ຖືກໂຈມຕີ), ແລະຫຼັງຈາກນັ້ນເລືອກແລະນໍາໃຊ້ທີ່ເຫມາະສົມ. ໂມດູນ Metasploit. 

ມີວິທີອື່ນເພື່ອທົດສອບຄວາມຢືດຢຸ່ນຂອງ IDS ຕໍ່ກັບການໂຈມຕີ, ລວມທັງການບໍລິການອອນໄລນ໌. ເພື່ອຄວາມຢາກຮູ້ຢາກເຫັນ, ທ່ານສາມາດຈັດການທົດສອບຄວາມກົດດັນໂດຍໃຊ້ສະບັບທົດລອງ ຄວາມກົດດັນ IP. ເພື່ອກວດກາເບິ່ງຕິກິຣິຍາຕໍ່ການກະທໍາຂອງຜູ້ບຸກລຸກພາຍໃນ, ມັນເປັນມູນຄ່າການຕິດຕັ້ງເຄື່ອງມືພິເສດໃນຫນຶ່ງຂອງເຄື່ອງຈັກໃນເຄືອຂ່າຍທ້ອງຖິ່ນ. ມີຫຼາຍທາງເລືອກແລະບາງຄັ້ງພວກເຂົາຄວນຈະຖືກນໍາໃຊ້ບໍ່ພຽງແຕ່ກັບສະຖານທີ່ທົດລອງ, ແຕ່ຍັງກັບລະບົບການເຮັດວຽກ, ພຽງແຕ່ນີ້ແມ່ນເລື່ອງທີ່ແຕກຕ່າງກັນຫມົດ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com