Snort သို့မဟုတ် Suricata။ အပိုင်း 1- သင့်ကော်ပိုရိတ်ကွန်ရက်ကို ကာကွယ်ရန် အခမဲ့ IDS/IPS တစ်ခုကို ရွေးချယ်ခြင်း။

တစ်ချိန်က၊ သာမန် firewall နှင့် anti-virus ပရိုဂရမ်များသည် ဒေသတွင်း ကွန်ရက်ကို ကာကွယ်ရန် လုံလောက်သော်လည်း၊ ခေတ်မီဟက်ကာများနှင့် မကြာသေးမီက ဖြစ်ပွားခဲ့သော malware များ၏ တိုက်ခိုက်မှုကို ထိရောက်မှု မရှိနိုင်တော့ပါ။ ကောင်းမွန်သော firewall အဟောင်းသည် packet headers များကိုသာ ခွဲခြမ်းစိတ်ဖြာပြီး တရားဝင် စည်းမျဉ်းများနှင့်အညီ ၎င်းတို့ကို ဖြတ်သွားခြင်း သို့မဟုတ် ပိတ်ဆို့ခြင်း ဖြစ်သည်။ ၎င်းသည် ပက်ကေ့ဂျ်များ၏ အကြောင်းအရာများအကြောင်း ဘာမှမသိသောကြောင့် ကျူးကျော်ဝင်ရောက်သူများ၏ အပြင်ပန်းတရားဝင်လုပ်ရပ်များကို အသိအမှတ်မပြုနိုင်ပါ။ Anti-virus ပရိုဂရမ်များသည် အမြဲတစေ မဲလ်ဝဲကို မဖမ်းမိသောကြောင့် အက်ဒမင်သည် မမှန်မကန်လုပ်ဆောင်မှုများကို စောင့်ကြည့်စစ်ဆေးကာ ရောဂါပိုးရှိသော host များကို အချိန်မီ သီးခြားခွဲထုတ်ရမည့်တာဝန်နှင့် ရင်ဆိုင်နေရသည်။

ကုမ္ပဏီ၏ အိုင်တီအခြေခံအဆောက်အအုံကို ကာကွယ်ရန် သင့်အားခွင့်ပြုသည့် အဆင့်မြင့်ကိရိယာများစွာရှိသည်။ ယနေ့ကျွန်ုပ်တို့သည် စျေးကြီးသော ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ်လိုင်စင်များကို မဝယ်ဘဲ အကောင်အထည်ဖော်နိုင်သော open source ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းခြင်းနှင့် ကာကွယ်ရေးစနစ်များအကြောင်း ဆွေးနွေးပါမည်။

IDS/IPS အမျိုးအစားခွဲခြားခြင်း။

IDS (Intrusion Detection System) သည် ကွန်ရက်တစ်ခု သို့မဟုတ် သီးခြားကွန်ပျူတာတစ်ခုပေါ်တွင် သံသယဖြစ်ဖွယ် လှုပ်ရှားမှုများကို စာရင်းသွင်းရန် ဒီဇိုင်းထုတ်ထားသော စနစ်တစ်ခုဖြစ်သည်။ ၎င်းသည် ဖြစ်ရပ်မှတ်တမ်းများကို ထိန်းသိမ်းထားပြီး ၎င်းတို့နှင့်ပတ်သက်သည့် အချက်အလက်လုံခြုံရေးအတွက် တာဝန်ရှိပုဂ္ဂိုလ်အား အကြောင်းကြားသည်။ IDS တွင် အောက်ပါအချက်များ ပါဝင်သည်-

• ကွန်ရက်အသွားအလာ၊ အမျိုးမျိုးသောမှတ်တမ်းများကိုကြည့်ရှုရန် အာရုံခံကိရိယာများ 
• လက်ခံရရှိသောဒေတာတွင် အန္တရာယ်ရှိသော အကျိုးသက်ရောက်မှုများ၏ လက္ခဏာများကို သိရှိနိုင်သော ခွဲခြမ်းစိတ်ဖြာမှုစနစ်ခွဲတစ်ခု။
• မူလဖြစ်ရပ်များနှင့် ခွဲခြမ်းစိတ်ဖြာမှုရလဒ်များစုပုံခြင်းအတွက် သိုလှောင်မှု၊
• စီမံခန့်ခွဲမှု console ။

အစပိုင်းတွင် IDS ကို တည်နေရာအလိုက် ခွဲခြားထားသည်- ၎င်းတို့သည် တစ်ဦးချင်း node များကို ကာကွယ်ခြင်း (host-based သို့မဟုတ် Host Intrusion Detection System - HIDS) သို့မဟုတ် ကော်ပိုရိတ်ကွန်ရက်တစ်ခုလုံး (ကွန်ရက်အခြေခံ သို့မဟုတ် Network Intrusion Detection System - NIDS) ကို အာရုံစိုက်နိုင်သည်။ လို့ ခေါ်တာ မှတ်သားထိုက်ပါတယ်။ APIDS (Application protocol-based IDS)- ၎င်းတို့သည် သီးခြားတိုက်ခိုက်မှုများကို ရှာဖွေသိရှိရန်နှင့် နက်ရှိုင်းစွာခွဲခြမ်းစိတ်ဖြာခြင်းမပြုရန် အပလီကေးရှင်းအလွှာပရိုတိုကောများကို ကန့်သတ်ထားသောအစုအဝေးကို စောင့်ကြည့်စစ်ဆေးပါသည်။ ထိုသို့သောထုတ်ကုန်များသည် အများအားဖြင့် proxies များနှင့်ဆင်တူပြီး သီးခြားဝန်ဆောင်မှုများကိုကာကွယ်ရန် အသုံးပြုကြသည်- ဝဘ်ဆာဗာနှင့် ဝဘ်အက်ပလီကေးရှင်းများ (ဥပမာ၊ PHP ဖြင့်ရေးသားထားခြင်း)၊ ဒေတာဘေ့စ်ဆာဗာများ စသည်တို့ဖြစ်သည်။ ဤအတန်း၏ပုံမှန်ကိုယ်စားလှယ်သည် Apache ဝဘ်ဆာဗာအတွက် mod_security ဖြစ်သည်။

ကျွန်ုပ်တို့သည် ကျယ်ပြန့်သောဆက်သွယ်ရေးပရိုတိုကောများနှင့် DPI (Deep Packet Inspection) ပက်ကတ်ခွဲခြမ်းစိတ်ဖြာမှုနည်းပညာများကို ပံ့ပိုးပေးသည့် universal NIDS ကို ပို၍စိတ်ဝင်စားပါသည်။ ၎င်းတို့သည် ဒေတာလင့်ခ်အလွှာမှ စတင်ကာ ဖြတ်သန်းသွားသော အသွားအလာအားလုံးကို စောင့်ကြည့်ကာ ကျယ်ပြန့်သော ကွန်ရက်တိုက်ခိုက်မှုများကို ရှာဖွေနိုင်သည့်အပြင် သတင်းအချက်အလက်ကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုသည်။ မကြာခဏဆိုသလို ထိုစနစ်များသည် ဖြန့်ဝေထားသော ဗိသုကာတစ်ခုရှိပြီး အမျိုးမျိုးသော တက်ကြွသောကွန်ရက်ကိရိယာများနှင့် အပြန်အလှန်အကျိုးသက်ရောက်နိုင်သည်။ ခေတ်မီ NIDS အများအပြားသည် ပေါင်းစပ်ပြီး ချဉ်းကပ်မှုများစွာကို ပေါင်းစပ်ထားကြောင်း သတိပြုပါ။ ဖွဲ့စည်းမှုပုံစံနှင့် ဆက်တင်များပေါ် မူတည်၍ ၎င်းတို့သည် အမျိုးမျိုးသော ပြဿနာများကို ဖြေရှင်းနိုင်သည် - ဥပမာ၊ node တစ်ခု သို့မဟုတ် ကွန်ရက်တစ်ခုလုံးကို ကာကွယ်ပေးသည်။ ထို့အပြင်၊ အလုပ်ရုံများအတွက် IDS လုပ်ဆောင်ချက်များကို ဗိုင်းရပ်စ်နှိမ်နင်းရေး ပက်ကေ့ခ်ျများမှ လွှဲပြောင်းရယူခဲ့ပြီး၊ အချက်အလက်များ ခိုးယူရန် ရည်ရွယ်သည့် Trojan များ ပျံ့နှံ့မှုကြောင့် သံသယဖြစ်ဖွယ် အသွားအလာများကို အသိအမှတ်ပြုခြင်းနှင့် ပိတ်ဆို့ခြင်းဆိုင်ရာ တာဝန်များကို ဖြေရှင်းပေးသည့် ဘက်စုံသုံး firewalls များအဖြစ် ပြောင်းလဲခဲ့သည်။

အစပိုင်းတွင်၊ IDS သည် မဲလ်ဝဲလုပ်ဆောင်ချက်၊ ဆိပ်ကမ်းစကင်နာများ သို့မဟုတ် အသုံးပြုသူ၏ ကော်ပိုရိတ်လုံခြုံရေးမူဝါဒများကို ချိုးဖောက်မှုများကိုသာ ရှာဖွေတွေ့ရှိနိုင်သည်။ ဖြစ်ရပ်တစ်ခုဖြစ်ပွားသောအခါ အက်ဒမင်အား ၎င်းတို့က အကြောင်းကြားခဲ့သော်လည်း တိုက်ခိုက်မှုကို အသိအမှတ်ပြုရုံမျှဖြင့် မလုံလောက်ကြောင်း လျင်မြန်စွာ သိသာထင်ရှားလာခဲ့သည်။ ပိတ်ဆို့ထားရန် လိုအပ်သည်။ ထို့ကြောင့် IDS သည် Firewall များနှင့် အပြန်အလှန်တုံ့ပြန်နိုင်သော ကျူးကျော်ဝင်ရောက်မှုကြိုတင်ကာကွယ်ရေးစနစ်များ IPS (Intrusion Prevention Systems) အဖြစ်သို့ ပြောင်းလဲခဲ့သည်။

ထောက်လှမ်းနည်းများ

ခေတ်မီကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းခြင်းနှင့် တားဆီးခြင်းဖြေရှင်းနည်းများသည် အမျိုးအစားသုံးမျိုးခွဲနိုင်သည့် အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်ကို ရှာဖွေဖော်ထုတ်ရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုသည်။ ၎င်းသည် ကျွန်ုပ်တို့အား စနစ်များကို အမျိုးအစားခွဲခြားခြင်းအတွက် နောက်ထပ်ရွေးချယ်ခွင့်ကို ပေးသည်-

• Signature-based IDS/IPS သည် ကွန်ရက်တိုက်ခိုက်မှု သို့မဟုတ် ကူးစက်ခံရမှုအား စုံစမ်းသိရှိရန် လမ်းကြောင်းဆိုင်ရာ ပုံစံများကို ရှာဖွေပါ သို့မဟုတ် စနစ်အခြေအနေပြောင်းလဲမှုများကို စောင့်ကြည့်ပါ။ ၎င်းတို့သည် လက်တွေ့အားဖြင့် အမှားအယွင်းများနှင့် မှားယွင်းသော အပြုသဘောများကို မပေးဆောင်သော်လည်း အမည်မသိသော ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်နိုင်ခြင်း မရှိပေ။
• ပုံမမှန်-ထောက်လှမ်းခြင်း IDS များသည် တိုက်ခိုက်ရေးလက်မှတ်များကို အသုံးမပြုပါ။ ၎င်းတို့သည် သတင်းစနစ်များ၏ ပုံမှန်မဟုတ်သော အပြုအမူများ (ကွန်ရက်အသွားအလာတွင် ကွဲလွဲချက်များ အပါအဝင်) ကို အသိအမှတ်ပြုကြပြီး အမည်မသိတိုက်ခိုက်မှုများကိုပင် သိရှိနိုင်သည်။ ထိုသို့သောစနစ်များသည် မှားယွင်းသောအပြုသဘောများစွာကိုပေးဆောင်ပြီး မမှန်မကန်အသုံးပြုပါက ဒေသတွင်းကွန်ရက်၏လည်ပတ်မှုကို ပျက်စေပါသည်။
• စည်းမျဥ်းအခြေခံ IDS များသည်- FACT ဖြစ်လျှင် ACTION။ အမှန်မှာ၊ ဤအရာများသည် အသိပညာအခြေခံများပါရှိသော ကျွမ်းကျင်သူစနစ်များဖြစ်သည်- အချက်အလက်များနှင့် စုံစုံညီညွှတ်မှုဆိုင်ရာ စည်းမျဉ်းများဖြစ်သည်။ ထိုသို့သောဖြေရှင်းနည်းများသည် စနစ်ထည့်သွင်းရန် အချိန်ကုန်ပြီး စီမံခန့်ခွဲသူသည် ကွန်ရက်အကြောင်းကို အသေးစိတ်နားလည်ရန် လိုအပ်သည်။ 

IDS ဖွံ့ဖြိုးတိုးတက်မှုသမိုင်း

အင်တာနက်နှင့် ကော်ပိုရိတ်ကွန်ရက်များ အရှိန်အဟုန်ဖြင့် ဖွံ့ဖြိုးတိုးတက်သည့်ခေတ်သည် ပြီးခဲ့သည့်ရာစုနှစ် 90s တွင် စတင်ခဲ့သော်လည်း ကျွမ်းကျင်သူများက အဆင့်မြင့်ကွန်ရက်လုံခြုံရေးနည်းပညာများကြောင့် အနည်းငယ်စောပြီး ပဟေဋ္ဌိဖြစ်ခဲ့ကြသည်။ 1986 ခုနှစ်တွင် Dorothy Denning နှင့် Peter Neumann တို့သည် ခေတ်အမီဆုံး ကျူးကျော်ဝင်ရောက်မှုရှာဖွေရေးစနစ်များ၏ အခြေခံဖြစ်လာသော IDES (Intrusion detection expert system) model ကိုထုတ်ဝေခဲ့သည်။ သူမသည် သိရှိထားသောတိုက်ခိုက်မှုများ၊ ကိန်းဂဏန်းဆိုင်ရာနည်းလမ်းများနှင့် အသုံးပြုသူ/စနစ်ပရိုဖိုင်များကို ရှာဖွေဖော်ထုတ်ရန် ကျွမ်းကျင်သူစနစ်တစ်ခုကို အသုံးပြုခဲ့သည်။ IDES သည် Sun workstations တွင် အလုပ်လုပ်ပြီး ကွန်ရက်အသွားအလာနှင့် အက်ပ်ဒေတာကို စစ်ဆေးသည်။ 1993 ခုနှစ်တွင် NIDES (Next-generation Intrusion Detection Expert System) - မျိုးဆက်သစ် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းဆိုင်ရာ ကျွမ်းကျင်သူစနစ် ကို ထုတ်ဝေခဲ့သည်။

Denning နှင့် Neumann တို့၏အလုပ်အပေါ်အခြေခံ၍ MIDAS (Multics intrusion detection and alerting system) ကျွမ်းကျင်သူစနစ် P-BEST နှင့် LISP ကိုအသုံးပြု၍ 1988 ခုနှစ်တွင် ပေါ်လာခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ ကိန်းဂဏန်းအချက်အလက်များကိုအခြေခံသော Haystack စနစ်ကိုဖန်တီးခဲ့သည်။ နောက်ထပ် ကိန်းဂဏန်းဆိုင်ရာ ကွဲလွဲမှားနေသော ထောက်လှမ်းကိရိယာ W&S (Wisdom & Sense) ကို တစ်နှစ်အကြာတွင် Los Alamos အမျိုးသားဓာတ်ခွဲခန်းတွင် တီထွင်ခဲ့သည်။ စက်မှုလုပ်ငန်းသည် အရှိန်အဟုန်ဖြင့် တိုးတက်လာသည်။ ဥပမာအားဖြင့်၊ 1990 တွင်၊ ပုံမှန်အသုံးပြုသူပုံစံများ (Common LISP language) တွင် inductive learning ကိုအသုံးပြု၍ TIM (Time-based inductive machine) စနစ်တွင် ကွဲလွဲစွာသိရှိနိုင်မှုကို စတင်လုပ်ဆောင်နေပြီဖြစ်သည်။ NSM (Network Security Monitor) သည် ပုံမှန်မဟုတ်သော ထောက်လှမ်းမှုအတွက် ဝင်ရောက်နိုင်သော matrices များကို နှိုင်းယှဉ်ပြီး ISOA (Information Security Officer's Assistant) သည် အမျိုးမျိုးသော ထောက်လှမ်းမှုဗျူဟာများကို ပံ့ပိုးပေးသည်- စာရင်းအင်းနည်းလမ်းများ၊ ပရိုဖိုင်စစ်ဆေးခြင်းနှင့် ကျွမ်းကျင်သူစနစ်။ AT&T Bell Labs တွင် ဖန်တီးထားသော ComputerWatch စနစ်သည် ကိန်းဂဏန်းဆိုင်ရာ နည်းလမ်းများနှင့် စည်းမျဉ်းများကို စိစစ်ရန်အတွက် အသုံးပြုခဲ့ပြီး ကယ်လီဖိုးနီးယားတက္ကသိုလ်မှ developer များသည် 1991 ခုနှစ်တွင် ဖြန့်ဝေထားသော IDS ၏ ပထမဆုံး ရှေ့ပြေးပုံစံကို ရရှိခဲ့သည် - DIDS (Distributed intrusion detection system) ကိုလည်း ကျွမ်းကျင်သူတစ်ဦးလည်းဖြစ်သည်။ စနစ်။

အစပိုင်းတွင် IDS သည် မူပိုင်ဖြစ်သော်လည်း ၁၉၉၈ ခုနှစ်တွင် အမျိုးသားဓာတ်ခွဲခန်းဖြစ်သည်။ Berkeley မှ Lawrence သည် libpcap ဒေတာကိုခွဲခြမ်းစိတ်ဖြာရန်အတွက် ၎င်း၏ကိုယ်ပိုင်စည်းမျဉ်းဘာသာစကားကိုအသုံးပြုသည့် အဖွင့်အရင်းအမြစ်စနစ်ဖြစ်သည့် Bro (1998 ခုနှစ်တွင် Zeek ဟုအမည်ပြောင်းခဲ့သည်) ကို ထုတ်ပြန်ခဲ့သည်။ ထိုနှစ်နိုဝင်ဘာလတွင်၊ libpcap ကိုအသုံးပြု၍ APE ပက်ကတ်ကို sniffer ပေါ်လာပြီး တစ်လအကြာတွင် Snort ဟုအမည်ပြောင်းခဲ့ပြီး နောက်ပိုင်းတွင် ပြည့်စုံသော IDS/IPS ဖြစ်လာခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ မူပိုင်ခွင့်ဆိုင်ရာ ဖြေရှင်းချက်များစွာ ပေါ်လာခဲ့သည်။

Snort နှင့် Suricata

ကုမ္ပဏီများစွာသည် အခမဲ့နှင့် ပွင့်လင်းသောအရင်းအမြစ် IDS/IPS ကိုနှစ်သက်ကြသည်။ ဖော်ပြပြီးသား Snort ကို စံဖြေရှင်းချက်အဖြစ် အချိန်အတော်ကြာအောင် ယူဆခဲ့သော်လည်း ယခုအခါ Suricata စနစ်ဖြင့် အစားထိုးလိုက်ပါပြီ။ ၎င်းတို့၏ အားသာချက်များနှင့် အားနည်းချက်များကို အနည်းငယ်အသေးစိတ် သုံးသပ်ကြည့်ပါ။ Snort သည် အချိန်နှင့်တစ်ပြေးညီ မမှန်မကန် သိရှိခြင်းနှင့်အတူ လက်မှတ်နည်းလမ်း၏ အကျိုးကျေးဇူးများကို ပေါင်းစပ်ထားသည်။ Suricata သည် တိုက်ခိုက်ရေး လက်မှတ်ရှာဖွေခြင်းအပြင် အခြားနည်းလမ်းများကိုလည်း ခွင့်ပြုပါသည်။ Snort ပရောဂျက်မှခွဲထွက်ပြီး ဗားရှင်း 1.4 ကတည်းက IPS အင်္ဂါရပ်များကို ပံ့ပိုးပေးသည့် developer များအုပ်စုမှ ဖန်တီးထားကာ ကျူးကျော်ဝင်ရောက်မှုကို ကာကွယ်ခြင်းမှာ နောက်ပိုင်းတွင် Snort တွင် ပေါ်လာသည်။

လူကြိုက်များသော ထုတ်ကုန်နှစ်ခုကြားတွင် အဓိကကွာခြားချက်မှာ IDS ကွန်ပျူတာအတွက် GPU ကို အသုံးပြုနိုင်သည့် Suricata နှင့် ပိုမိုအဆင့်မြင့်သော IPS တို့ဖြစ်သည်။ စနစ်သည် မူလက multi-threading အတွက် ဒီဇိုင်းထုတ်ထားပြီး Snort သည် single-threaded ထုတ်ကုန်ဖြစ်သည်။ ၎င်း၏ရှည်လျားသောသမိုင်းကြောင်းနှင့် အမွေအနှစ်ကုဒ်များကြောင့်၊ ၎င်းသည် multi-processor/multi-core ဟာ့ဒ်ဝဲပလပ်ဖောင်းများကို အကောင်းဆုံးအသုံးမပြုနိုင်သော်လည်း Suricata သည် ပုံမှန်ယေဘူယျရည်ရွယ်ချက်ကွန်ပျူတာများတွင် 10 Gbps အထိ traffic ကို ကိုင်တွယ်နိုင်သည်။ စနစ်နှစ်ခုကြားရှိ ဆင်တူယိုးမှားများနှင့် ကွဲပြားမှုများကို အချိန်အတော်ကြာအောင် သင်ပြောဆိုနိုင်သော်လည်း Suricata အင်ဂျင်သည် ပိုမိုမြန်ဆန်စွာ အလုပ်လုပ်သော်လည်း ကျယ်ပြန့်လွန်းသော ချန်နယ်များအတွက်မူ အရေးမကြီးပါ။

ဖြန့်ကျက်ရွေးချယ်စရာများ

စနစ်သည် ၎င်း၏ထိန်းချုပ်မှုအောက်တွင် ကွန်ရက်အပိုင်းများကို စောင့်ကြည့်နိုင်စေရန် IPS ကို ထားရှိရပါမည်။ အများစုမှာ၊ ၎င်းသည် အထူးသီးသန့်ကွန်ပျူတာဖြစ်ပြီး၊ edge devices များနောက်တွင် ချိတ်ဆက်ကာ ၎င်းတို့အား လုံခြုံမှုမရှိသော အများသူငှာကွန်ရက်များ (အင်တာနက်) သို့ “ကြည့်” ပေးသည့် မျက်နှာပြင်တစ်ခုဖြစ်သည်။ အခြား IPS အင်တာဖေ့စ်သည် အသွားအလာအားလုံးကို စနစ်မှတဆင့် ဖြတ်သန်းပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်ရန် ကာကွယ်ထားသော အပိုင်း၏ ထည့်သွင်းမှုသို့ ချိတ်ဆက်ထားသည်။ ပိုမိုရှုပ်ထွေးသောကိစ္စများတွင်၊ အကာအကွယ်ပေးထားသော အပိုင်းများစွာရှိနိုင်သည်- ဥပမာအားဖြင့်၊ ကော်ပိုရိတ်ကွန်ရက်များတွင် စစ်မဲ့ဇုန် (DMZ) ကို အင်တာနက်မှ ရရှိနိုင်သောဝန်ဆောင်မှုများဖြင့် ခွဲဝေပေးလေ့ရှိသည်။

ထိုသို့သော IPS သည် port scanning သို့မဟုတ် brute force တိုက်ခိုက်မှုများ၊ mail server၊ web server သို့မဟုတ် scripts များနှင့် အခြားသော ပြင်ပတိုက်ခိုက်မှုအမျိုးအစားများတွင် အားနည်းချက်များကို အသုံးချခြင်းကို တားဆီးနိုင်သည်။ ပြည်တွင်းကွန်ရက်ရှိ ကွန်ပျူတာများတွင် malware ကူးစက်ခံရပါက၊ IDS သည် ၎င်းတို့အား ပြင်ပ botnet ဆာဗာများနှင့် ဆက်သွယ်ခြင်းမှ တားဆီးပေးမည်ဖြစ်သည်။ အတွင်းကွန်ရက်၏ ပိုမိုလေးနက်သော ကာကွယ်မှုသည် ဖြန့်ဝေမှုစနစ်ဖြင့် ရှုပ်ထွေးသော ဖွဲ့စည်းမှုပုံစံတစ်ခု လိုအပ်ပြီး ဆိပ်ကမ်းများထဲမှ တစ်ခုနှင့် ချိတ်ဆက်ထားသော IDS အင်တာဖေ့စ်အတွက် အသွားအလာကို ထင်ဟပ်နိုင်သည့် တန်ဖိုးကြီးသော စီမံခန့်ခွဲသည့် ခလုတ်များ လိုအပ်ပါသည်။

မကြာခဏဆိုသလို ကော်ပိုရိတ်ကွန်ရက်များသည် ဖြန့်ဝေထားသော ငြင်းပယ်ခြင်း-ဝန်ဆောင်မှု (DDoS) တိုက်ခိုက်မှုများကို ခံရတတ်သည်။ ခေတ်မီ IDS များသည် ၎င်းတို့ကို ကိုင်တွယ်ဖြေရှင်းနိုင်သော်လည်း၊ အထက်ဖော်ပြပါ ဖြန့်ကျက်ရွေးချယ်မှုမှာ ဤနေရာတွင် အကူအညီအနည်းငယ်သာရှိသည်။ စနစ်သည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို အသိအမှတ်ပြုပြီး ဆိုးရွားသော အသွားအလာများကို ပိတ်ဆို့ထားသော်လည်း ၎င်းအတွက် ပက်ကတ်များသည် ပြင်ပအင်တာနက်ချိတ်ဆက်မှုမှတစ်ဆင့် ဖြတ်သန်းပြီး ၎င်း၏ကွန်ရက်မျက်နှာပြင်သို့ ရောက်ရှိရမည်ဖြစ်သည်။ တိုက်ခိုက်မှု၏ပြင်းထန်မှုအပေါ်မူတည်၍ ဒေတာထုတ်လွှင့်သည့်ချန်နယ်သည် ဝန်အားကိုထိန်းကျောင်းနိုင်မည်မဟုတ်သည့်အပြင် တိုက်ခိုက်သူများ၏ပန်းတိုင်ကို အောင်မြင်နိုင်မည်ဖြစ်သည်။ ထိုသို့သောကိစ္စများအတွက်၊ ကျွန်ုပ်တို့သည် လူသိများသော အင်တာနက်ချိတ်ဆက်မှုဖြင့် ပိုမိုကောင်းမွန်သော အင်တာနက်ချိတ်ဆက်မှုဖြင့် virtual ဆာဗာတွင် IDS ကို အသုံးပြုရန် အကြံပြုပါသည်။ သင်သည် VPS ကို VPN တစ်ခုမှတစ်ဆင့် ဒေသတွင်းကွန်ရက်သို့ ချိတ်ဆက်နိုင်ပြီး၊ ထို့နောက် ၎င်းမှတစ်ဆင့် ပြင်ပအသွားအလာအားလုံးကို လမ်းကြောင်းသတ်မှတ်ရန် လိုအပ်မည်ဖြစ်သည်။ ထို့နောက်၊ DDoS တိုက်ခိုက်မှုတစ်ခုတွင်၊ ဝန်ဆောင်မှုပေးသူထံသို့ ချိတ်ဆက်မှုမှတစ်ဆင့် packet များကို မောင်းနှင်ရန် မလိုအပ်ဘဲ ၎င်းတို့ကို ပြင်ပ host တွင် ပိတ်ဆို့သွားမည်ဖြစ်သည်။

ရှေးခယျြမှု၏ပြဿနာ

လွတ်လပ်သောစနစ်များကြားတွင် ခေါင်းဆောင်တစ်ဦးကို ခွဲခြားသတ်မှတ်ရန် အလွန်ခက်ခဲသည်။ IDS/IPS ၏ရွေးချယ်မှုအား ကွန်ရက် topology၊ လိုအပ်သောကာကွယ်မှုလုပ်ဆောင်ချက်များ၊ စီမံခန့်ခွဲသူ၏ကိုယ်ရေးကိုယ်တာအကြိုက်များနှင့် ဆက်တင်များနှင့်ပတ်သက်လိုစိတ်ဖြင့်ဆုံးဖြတ်သည်။ Snort တွင် ရှည်လျားသော မှတ်တမ်းရှိပြီး Suricata ၏ အချက်အလက်သည် အွန်လိုင်းတွင် ရှာဖွေရန် လွယ်ကူသော်လည်း မှတ်တမ်းမှတ်ရာ ပိုကောင်းပါသည်။ မည်သို့ပင်ဆိုစေကာမူ စနစ်အား ကျွမ်းကျင်စေရန်အတွက် သင်သည် အချို့သော ကြိုးပမ်းအားထုတ်မှုများ ပြုလုပ်ရမည်ဖြစ်ပြီး နောက်ဆုံးတွင် အမြတ်အစွန်းရနိုင်သည် - စီးပွားဖြစ် ဟာ့ဒ်ဝဲနှင့် ဟာ့ဒ်ဝဲဆော့ဖ်ဝဲလ် IDS / IPS တို့သည် အလွန်စျေးကြီးပြီး ဘတ်ဂျက်နှင့် အမြဲမကိုက်ညီပါ။ စီမံခန့်ခွဲသူကောင်းတစ်ဦးသည် အလုပ်ရှင်၏ကုန်ကျစရိတ်ဖြင့် သူ့အရည်အချင်းများကို အမြဲတိုးတက်စေသောကြောင့် သုံးစွဲခဲ့သည့်အချိန်ကို နောင်တရရန်မထိုက်တန်ပါ။ ဒီအခြေအနေမှာ လူတိုင်းက နိုင်ကြပါတယ်။ နောက်ဆောင်းပါးတွင်၊ Suricata ဖြန့်ကျက်မှုရွေးချယ်စရာအချို့ကို ကြည့်ရှုပြီး ပိုမိုခေတ်မီသောစနစ်အား လက်တွေ့တွင် classic IDS/IPS Snort နှင့် နှိုင်းယှဉ်ပါမည်။

source: www.habr.com