-
内容大纲
李晨光编著的《UNIX\Linux网络日志分析与流量监控》以开源软件为基础,全面介绍了UNIX/Linux安全运维的各方面知识。第一篇从UNIX/Linux系统日志、Apache等各类应用日志的格式和收集方法讲起,内容涵盖异构网络系统日志收集和分析工具使用的多个方面;第二篇列举了二十多个常见网络故障案例,每个案例完整地介绍了故障的背景、发生、发展,以及最终的故障排除过程。其目的在于维护网络安全,通过开源工具的灵活运用,来解决运维实战工作中的各种复杂的故障;第三篇重点讲述了网络流量收集监控技术与OSSIM在异常流量监测中的应用。
本书使用了大量开源工具解决方案,是运维工程师、网络安全从业人员不可多得的参考资料。 -
作者介绍
李晨光,毕业于中国科学院研究生院,就职于中国中铁,资深网络架构师、IBM精英讲师、Linux系统安全专家。现任中国计算机学会(CCF)高级会员、会员代表.5ICTO和TT专家网特邀专家。 -
目录
出版说明
媒体推荐
前言
第一篇 日志分析基础
第1章 网络日志获取与分析
1.1 网络环境日志分类
1.1.1 UNIX/Linux系统日志
1.1.2 Windows日志
1.1.3 Windows系统日志
1.1.4 网络设备日志
1.1.5 应用系统的日志
1.2 Web日志分析
1.2.1 访问日志记录过程
1.2.2 Apache访问日志的作用
1.2.3 访问日志的位置
1.2.4 访问日志格式分析
1.2.5 HTTP返回状态代码
1.2.6 记录Apache虚拟机日志
1.2.7 Web日志统计举例
1.2.8 Apache错误日志分析
1.2.9 日志轮询
1.2.10 清空日志的技巧
1.2.11 其他Linux平台Apache日志位置
1.2.12 Nginx日志
1.2.13 Tomcat日志
1.2.14 常用Apache日志分析工具
1.3 FTP服务器日志解析
1.3.1 分析vsftpd.log和xferlog
1.3.2 中文对Vsftp日志的影响
1.3.3 用Logparser分析FTP日志
1.4 用LogParser分析Windows系统日志
1.4.1 LogParser概述
1.4.2 LogParser结构
1.4.3 安装LogParser
1.4.4 LogParser应用举例
1.4.5 图形化分析输出
1.5 Squid服务日志分析
1.5.1 Squid日志分类
1.5.2 典型Squid访问日志分析
1.5.3 Squid时间戳转换
1.5.4 Squid日志位置
1.5.5 图形化日志分析工具
1.5.6 其他UNIX/Linux平台的Squid位置
1.6 NFS服务日志分析
1.6.1 Linux的NFS日志
1.6.2 Solaris的NFS服务器日志
1.7 iptables日志分析
1.8 Samba日志审计
1.8.1 Samba默认提供的日志
1.8.2 Samba审计
1.9 DNS日志分析
1.9.1 DNS日志的位置
1.9.2 DNS日志的级别
1.9.3 DNS查询请求日志实例解释
1.9.4 DNS分析工具dnstop
1.10 DHCP服务器日志
1.11 邮件服务器日志
1.11.1 Sendmail
1.11.2 Postfix
1.12 Linux下双机系统日志
1.12.1 Heartbeat的日志
1.12.2 备用节点上的日志信息
1.12.3 日志分割
1.13 其他UNIX系统日志分析GUI工具
1.13.1 用SMC分析系统日志
1.13.2 Mac OS X的GUI日志查询工具
1.14 可视化日志分析工具
1.14.1 彩色日志工具ccze
1.14.2 动态日志查看工具logstalgia
1.14.3 三维日志显示工具gource
1.14.4 用AWStats监控网站流量
第2章 UNIX/Linux系统取证
2.1 常见IP追踪方法
2.1.1 IP追踪工具和技术
2.1.2 DoS/DDoS 攻击源追踪思路
2.2 重要信息收集
2.2.1 收集正在运行的进程
2.2.2 查看系统调用
2.2.3 收集/proc系统中的信息
2.2.4 UNIX文件存储与删除
2.2.5 硬盘证据的收集方法
2.2.6 从映像的文件系统上收集证据
2.2.7 用ddrescue恢复数据
2.2.8 查看详细信息
2.2.9 收集隐藏目录和文件
2.2.10 检查可执行文件
2.3 常用搜索工具
2.3.1 特殊文件处理
2.3.2 The Coroner’s Toolkit(TCT工具箱)
2.3.3 Forensix工具集
2.4 集成取证工具箱介绍
2.4.1 用光盘系统取证
2.4.2 屏幕录制取证方法
2.5 案例一:闪现Segmentation Fault为哪般
事件背景
互动问答
疑难解析
预防措施
2.6 案例二:谁动了我的胶片
事件背景
了解业务流程
公司内鬼所为?
取证分析
遗忘的Squid服务器
互动问答
疑点分析
诱捕入侵者
疑难解析
预防措施
第3章 建立日志分析系统
3.1 日志采集基础
3.1.1 Syslog协议
3.1.2 Syslog日志记录的事件
3.1.3 Syslog.conf配置文件详解
3.1.4 Syslog操作
3.1.5 Syslog的安全漏洞
3.1.6 Rsyslog
3.1.7 Syslog-ng
3.2 时间同步
3.2.1 基本概念
3.2.2 识别日志中伪造的时间信息
3.2.3 时间同步方法
3.3 网络设备日志分析与举例
3.3.1 路由器日志分析
3.3.2 交换机日志分析
3.3.3 防火墙日志分析
3.3.4 实战:通过日志发现ARP病毒
3.3.5 实战:交换机环路故障解决案例
3.4 选择日志管理系统的十大问题
3.5 利用日志管理工具更轻松
3.5.1 日志主机系统的部署
3.5.2 日志分析与监控
3.5.3 利用Eventlog Analyzer分析网络日志
3.5.4 分析防火墙日志
3.6 用Sawmill搭建日志平台
3.6.1 系统简介
3.6.2 部署注意事项
3.6.3 安装举例
3.6.4 监测网络入侵
3.7 使用Splunk分析日志
3.7.1 Splunk简介
3.7.2 Splunk安装
3.7.3 设置自动运行
3.7.4 系统配置
3.7.5 设置日志分析目录
第二篇 日志分析实战
第4章 DNS系统故障分析
4.1 案例三:邂逅DNS故障
事件背景
查看防火墙日志
外部防火墙
内部防火墙(NAT)
互动问答
取证分析
问题解答
预防措施
4.2 DNS漏洞扫描方法
4.2.1 DNS扫描的关键技术
4.2.2 检查工具
4.3 DNS Flood Detector让DNS更安全
4.3.1 Linux下DNS面临的威胁
4.3.2 BIND漏洞
4.3.3 DNS管理
4.3.4 应对DNS Flood攻击
4.3.5 DNS Flood Detector保安全
第5章 DoS防御分析
5.1 案例四:网站遭遇DoS攻击
事件背景
交互问答
事件推理
针对措施
疑难解答
案例总结
DoS扩展知识
5.2 案例五:“太囧”防火墙
事件背景
路由器部分日志文件
防火墙日志文件
互动问答
调查分析
答疑解惑
预防措施
第6章 UNIX后门与溢出案例分析
6.1 如何防范rootkit攻击
6.1.1 认识rootkit
6.1.2 rootkit的类型
6.2 防范rootkit的工具
6.2.1 使用chkrootkit工具
6.2.2 Rootkit Hunter工具
6.3 安装LIDS
6.3.1 LIDS的主要功能
6.3.2 配置LIDS
6.3.3 使用Lidsadm工具
6.3.4 使用LIDS保护系统
6.4 安装与配置AIDE
6.4.1 在Solaris中安装AIDE
6.4.2 用AIDE加固OSSIM平台
6.4.3 Tripwire
6.5 案例六:围堵Solaris后门
入侵背景
分析脚本文件bd
分析脚本doc
分析脚本文件ps
分析脚本update(一个嗅探器)
分析脚本milk
发现need.tar被植入系统
问题
答疑解惑
预防措施
6.6 案例七:遭遇溢出攻击
事件背景
分析日志
网络入侵检测系统日志(取样)
发现系统账号问题
问题
案例解码
分析解答
预防措施
6.7 案例八:真假root账号
事件背景
恢复root密码
取证分析
互动问答
问题解答
预防措施
6.8 案例九:为rootkit把脉
事件背景
可疑的/etc/xinetd.conf记录
互动问答
事件分析
疑难解答
预防措施
第7章 UNIX系统防范案例
7.1 案例十:当网页遭遇篡改之后
事件背景
日志获取
互动问答
入侵事件剖析
疑难解答
防护措施
Web漏洞扫描工具——Nikto
7.2 案例十一:UNIX下捉虫记
事件背景
取证分析
互动问答
入侵解析
Sadmind/IIS蠕虫分析
Unicode攻击逆向分析
问题解答
预防措施
7.3 案例十二:泄露的裁员名单
事件背景
取证分析
互动问答
答疑解惑
预防措施
第8章 SQL注入防护案例分析
8.1 案例十三:后台数据库遭遇SQL注入
案例背景
互动问答
分析过程
疑难解答
预防与补救措施
8.2 案例十四:大意的程序员之SQL注入
事件背景
互动问答
分析取证
总结
答疑解惑
总结
预防措施
8.3 利用OSSIM监测SQL注入
8.3.1 SQL注入攻击的正则表达式规则
8.3.2 用OSSIM检测SQL注入
8.3.3 OSSIM系统中的Snort规则
8.4 LAMP网站的SQL 注入预防
8.4.1 服务器端的安全配置
8.4.2 PHP代码的安全配置
8.4.3 PHP代码的安全编写
8.5 通过日志检测预防SQL注入
8.5.1 通过Web访问日志发现SQL攻击
8.5.2 用Visual Log Parser分析日志
第9章 远程连接安全案例
9.1 案例十五:修补SSH服务器漏洞
事件背景
SSH被攻击的日志举例
加固SSH服务器
通过OSSIM实现SSH登录失败告警功能
预防措施
9.2 案例十六:无辜的“跳板”
事件背景
交互问答
案情分析
疑难解答
预防措施
第10章 Snort系统部署及应用案例
10.1 Snort安装与使用
10.1.1 准备工作
10.1.2 深入了解Snort
10.1.3 安装Snort 程序
10.1.4 维护Snort
10.1.5 Snort的不足
10.2 Snort日志分析
10.2.1 基于文本的格式
10.2.2 典型攻击日志举例
10.2.3 Snort探针部署
10.2.4 日志分析工具
10.3 Snort 规则详解
10.3.1 Snort 规则分析
10.3.2 编写Snort规则
10.4 基于OSSIM平台的WIDS系统
10.4.1 安装无线网卡
10.4.2 设置OSSIM无线传感器
10.5 案例研究十七:IDS系统遭遇IP碎片攻击
事件背景
故障处理
数据包解码
疑难问题
问题解答
防范策略
Snort与Iptables联动
测试效果
IP碎片攻击的预防措施
评估NIDS工具
IDS系统与网络嗅探器的区别
总结
10.6 案例十八:智取不速之客
事件背景
互动问答
取证分析
疑难解答
预防措施
案例启示
第11章 WLAN案例分析
11.1 WLAN安全漏洞与威胁
11.1.1 WLAN主要安全漏洞
11.1.2 WLAN面对的安全威胁
11.2 案例十九:无线网遭受的攻击
事件背景
AP的日志
寻找非法AP接入点
互动问答
将几段事件还原
疑点解析
预防措施
11.2.1 WIFI上网日志的收集
11.2.2 用开源NAC阻止非法网络访问
11.2.3 企业中BYOD的隐患
11.3 案例二十:无线会场的“不速之客”
事件背景
取证分析
第12章 数据加密与解密案例
12.1 GPG概述
12.1.1 创建密钥
12.1.2 导入和签订密钥
12.1.3 加密和解密
12.1.4 签订和验证
12.2 案例二十一:“神秘”的加密指纹
事件背景
疑难问题
案情解码
中间人攻击
MITM通常采用的手段
一种ARP欺骗的预防措施
分析攻击过程
答疑解惑
预防措施
第三篇 网络流量与日志监控
第13章 网络流量监控
13.1 网络监听关键技术
13.1.1 网络监听
13.1.2 SNMP协议的不足
13.1.3 监听关键技术
13.1.4 NetFlow与sFlow的区别
13.1.5 协议和应用识别
13.1.6 网络数据流采集技术
13.1.7 SPAN的局限
13.2 用Netflow分析网络异常流量
13.2.1 NetFlow的Cache管理
13.2.2 NetFlow的输出格式
13.2.3 NetFlow的抽样机制
13.2.4 NetFlow的性能影响
13.2.5 NetFlow在蠕虫病毒监测中的应用
13.3 VMware ESXi服务器监控
13.4 应用层数据包解码
13.4.1 概述
13.4.2 系统架构
13.4.3 Xplico的数据获取方法
13.4.4 Xplico部署
13.4.5 应用Xplico
13.4.6 深入分析Xplico
13.5 网络嗅探器的检测及预防
13.5.1 嗅探器的检测
13.5.2 网络嗅探的预防
第14章 OSSIM综合应用
14.1 OSSIM的产生
14.1.1 概况
14.1.2 从SIM到OSSIM
14.1.3 安全信息和事件管理(SIEM)
14.2 OSSIM架构与原理
14.2.1 OSSIM架构
14.2.2 Agent事件类型
14.2.3 RRD绘图引擎
14.2.4 OSSIM工作流程分析
14.3 部署OSSIM
14.3.1 准备工作
14.3.2 OSSIM服务器的选择
14.3.3 分布式OSSIM系统探针布署
14.3.4 OSSIM 系统安装步骤
14.4 OSSIM安装后续工作
14.4.1 时间同步问题
14.4.2 系统升级
14.4.3 防火墙设置
14.4.4 访问数据库
14.4.5 OSSIM数据库分析工具
14.4.6 同步OpenVAS插件
14.4.7 安装远程管理工具
14.4.8 安装X-Windows
14.5 使用OSSIM系统
14.5.1 熟悉主界面
14.5.2 SIEM事件控制台
14.6 风险评估方法
14.6.1 风险评估三要素
14.6.2 OSSIM系统风险度量
14.7 OSSIM关联分析技术
14.7.1 关联分析
14.7.2 OSSIM的通用关联检测规则
14.8 OSSIM日志管理平台
14.8.1 OSSIM日志处理流程
14.8.2 Snare
14.8.3 通过WMI收集Windows日志
14.8.4 配置OSSIM
14.8.5 Snare与WMI的区别
14.9 OSSIM系统中的IDS应用
14.9.1 HIDS/NIDS
14.9.2 OSSEC HIDS Agent安装
14.9.3 在ESXi中安装OSSEC
14.9.4 OSSEC代理监控的局限
14.10 OSSIM流量监控工具应用
14.10.1 流量过滤
14.10.2 Ntop监控
14.10.3 流量分析
14.10.4 Ntop故障排除
14.10.5 网络天气图
14.10.6 设置Netflow
14.10.7 Nagios监视
14.10.8 与第三方监控软件集成
14.11 OSSIM应用资产管理
14.11.1 OCS Inventory NG 架构
14.11.2 OCS安装与使用
14.12 OSSIM在蠕虫预防中的应用
14.13 监测shellcode
14.14 OSSIM在漏洞扫描中的应用
14.14.1 漏洞评估方法
14.14.2 漏洞库
14.14.3 采用OpenVAS扫描
14.14.4 分布式漏洞扫描
14.14.5 Metasploit的渗透测试
14.14.6 在Metasploit中加载Nessus
14.15 常见OSSIM应用问答
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...