欢迎光临澳大利亚新华书店网 [登录 | 免费注册]

    • UNIX\Linux网络日志分析与流量监控/信息科学与技术丛书
      • 作者:李晨光
      • 出版社:机械工业
      • ISBN:9787111479611
      • 出版日期:2015/01/01
      • 页数:448
    • 售价:31.6
  • 内容大纲

        李晨光编著的《UNIX\Linux网络日志分析与流量监控》以开源软件为基础,全面介绍了UNIX/Linux安全运维的各方面知识。第一篇从UNIX/Linux系统日志、Apache等各类应用日志的格式和收集方法讲起,内容涵盖异构网络系统日志收集和分析工具使用的多个方面;第二篇列举了二十多个常见网络故障案例,每个案例完整地介绍了故障的背景、发生、发展,以及最终的故障排除过程。其目的在于维护网络安全,通过开源工具的灵活运用,来解决运维实战工作中的各种复杂的故障;第三篇重点讲述了网络流量收集监控技术与OSSIM在异常流量监测中的应用。
        本书使用了大量开源工具解决方案,是运维工程师、网络安全从业人员不可多得的参考资料。
  • 作者介绍

        李晨光,毕业于中国科学院研究生院,就职于中国中铁,资深网络架构师、IBM精英讲师、Linux系统安全专家。现任中国计算机学会(CCF)高级会员、会员代表.5ICTO和TT专家网特邀专家。
  • 目录

    出版说明
    媒体推荐
    前言
    第一篇  日志分析基础
    第1章  网络日志获取与分析
      1.1  网络环境日志分类
        1.1.1  UNIX/Linux系统日志
        1.1.2  Windows日志
        1.1.3  Windows系统日志
        1.1.4  网络设备日志
        1.1.5  应用系统的日志
      1.2  Web日志分析
        1.2.1  访问日志记录过程
        1.2.2  Apache访问日志的作用
        1.2.3  访问日志的位置
        1.2.4  访问日志格式分析
        1.2.5  HTTP返回状态代码
        1.2.6  记录Apache虚拟机日志
        1.2.7  Web日志统计举例
        1.2.8  Apache错误日志分析
        1.2.9  日志轮询
        1.2.10  清空日志的技巧
        1.2.11  其他Linux平台Apache日志位置
        1.2.12  Nginx日志
        1.2.13  Tomcat日志
        1.2.14  常用Apache日志分析工具
      1.3  FTP服务器日志解析
        1.3.1  分析vsftpd.log和xferlog
        1.3.2  中文对Vsftp日志的影响
        1.3.3  用Logparser分析FTP日志
      1.4  用LogParser分析Windows系统日志
        1.4.1  LogParser概述
        1.4.2  LogParser结构
        1.4.3  安装LogParser
        1.4.4  LogParser应用举例
        1.4.5  图形化分析输出
      1.5  Squid服务日志分析
        1.5.1  Squid日志分类
        1.5.2  典型Squid访问日志分析
        1.5.3  Squid时间戳转换
        1.5.4  Squid日志位置
        1.5.5  图形化日志分析工具
        1.5.6  其他UNIX/Linux平台的Squid位置
      1.6  NFS服务日志分析
        1.6.1  Linux的NFS日志
        1.6.2  Solaris的NFS服务器日志
      1.7  iptables日志分析
      1.8  Samba日志审计
        1.8.1  Samba默认提供的日志
        1.8.2  Samba审计

      1.9  DNS日志分析
        1.9.1  DNS日志的位置
        1.9.2  DNS日志的级别
        1.9.3  DNS查询请求日志实例解释
        1.9.4  DNS分析工具dnstop
      1.10  DHCP服务器日志
      1.11  邮件服务器日志
        1.11.1  Sendmail
        1.11.2  Postfix
      1.12  Linux下双机系统日志
        1.12.1  Heartbeat的日志
        1.12.2  备用节点上的日志信息
        1.12.3  日志分割
      1.13  其他UNIX系统日志分析GUI工具
        1.13.1  用SMC分析系统日志
        1.13.2  Mac OS X的GUI日志查询工具
      1.14  可视化日志分析工具
        1.14.1  彩色日志工具ccze
        1.14.2  动态日志查看工具logstalgia
        1.14.3  三维日志显示工具gource
        1.14.4  用AWStats监控网站流量
    第2章  UNIX/Linux系统取证
      2.1  常见IP追踪方法
        2.1.1  IP追踪工具和技术
        2.1.2  DoS/DDoS 攻击源追踪思路
      2.2  重要信息收集
        2.2.1  收集正在运行的进程
        2.2.2  查看系统调用
        2.2.3  收集/proc系统中的信息
        2.2.4  UNIX文件存储与删除
        2.2.5  硬盘证据的收集方法
        2.2.6  从映像的文件系统上收集证据
        2.2.7  用ddrescue恢复数据
        2.2.8  查看详细信息
        2.2.9  收集隐藏目录和文件
        2.2.10  检查可执行文件
      2.3  常用搜索工具
        2.3.1  特殊文件处理
        2.3.2  The Coroner’s Toolkit(TCT工具箱)
        2.3.3  Forensix工具集
      2.4  集成取证工具箱介绍
        2.4.1  用光盘系统取证
        2.4.2  屏幕录制取证方法
      2.5  案例一:闪现Segmentation Fault为哪般
      事件背景
      互动问答
      疑难解析
      预防措施
      2.6  案例二:谁动了我的胶片
      事件背景

      了解业务流程
      公司内鬼所为?
      取证分析
      遗忘的Squid服务器
      互动问答
      疑点分析
      诱捕入侵者
      疑难解析
      预防措施
    第3章  建立日志分析系统
      3.1  日志采集基础
        3.1.1  Syslog协议
        3.1.2  Syslog日志记录的事件
        3.1.3  Syslog.conf配置文件详解
        3.1.4  Syslog操作
        3.1.5  Syslog的安全漏洞
        3.1.6  Rsyslog
        3.1.7  Syslog-ng
      3.2  时间同步
        3.2.1  基本概念
        3.2.2  识别日志中伪造的时间信息
        3.2.3  时间同步方法
      3.3  网络设备日志分析与举例
        3.3.1  路由器日志分析
        3.3.2  交换机日志分析
        3.3.3  防火墙日志分析
        3.3.4  实战:通过日志发现ARP病毒
        3.3.5  实战:交换机环路故障解决案例
      3.4  选择日志管理系统的十大问题
      3.5  利用日志管理工具更轻松
        3.5.1  日志主机系统的部署
        3.5.2  日志分析与监控
        3.5.3  利用Eventlog Analyzer分析网络日志
        3.5.4  分析防火墙日志
      3.6  用Sawmill搭建日志平台
        3.6.1  系统简介
        3.6.2  部署注意事项
        3.6.3  安装举例
        3.6.4  监测网络入侵
      3.7  使用Splunk分析日志
        3.7.1  Splunk简介
        3.7.2  Splunk安装
        3.7.3  设置自动运行
        3.7.4  系统配置
        3.7.5  设置日志分析目录
    第二篇  日志分析实战
    第4章  DNS系统故障分析
      4.1  案例三:邂逅DNS故障
      事件背景
      查看防火墙日志

      外部防火墙
      内部防火墙(NAT)
      互动问答
      取证分析
      问题解答
      预防措施
      4.2  DNS漏洞扫描方法
        4.2.1  DNS扫描的关键技术
        4.2.2  检查工具
      4.3  DNS Flood Detector让DNS更安全
        4.3.1  Linux下DNS面临的威胁
        4.3.2  BIND漏洞
        4.3.3  DNS管理
        4.3.4  应对DNS Flood攻击
        4.3.5  DNS Flood Detector保安全
    第5章  DoS防御分析
      5.1  案例四:网站遭遇DoS攻击
      事件背景
      交互问答
      事件推理
      针对措施
      疑难解答
      案例总结
      DoS扩展知识
      5.2  案例五:“太囧”防火墙
      事件背景
      路由器部分日志文件
      防火墙日志文件
      互动问答
      调查分析
      答疑解惑
      预防措施
    第6章  UNIX后门与溢出案例分析
      6.1  如何防范rootkit攻击
        6.1.1  认识rootkit
        6.1.2  rootkit的类型
      6.2  防范rootkit的工具
        6.2.1  使用chkrootkit工具
        6.2.2  Rootkit Hunter工具
      6.3  安装LIDS
        6.3.1  LIDS的主要功能
        6.3.2  配置LIDS
        6.3.3  使用Lidsadm工具
        6.3.4  使用LIDS保护系统
      6.4  安装与配置AIDE
        6.4.1  在Solaris中安装AIDE
        6.4.2  用AIDE加固OSSIM平台
        6.4.3  Tripwire
      6.5  案例六:围堵Solaris后门
      入侵背景

      分析脚本文件bd
      分析脚本doc
      分析脚本文件ps
      分析脚本update(一个嗅探器)
      分析脚本milk
      发现need.tar被植入系统
      问题
      答疑解惑
      预防措施
      6.6  案例七:遭遇溢出攻击
      事件背景
      分析日志
      网络入侵检测系统日志(取样)
      发现系统账号问题
      问题
      案例解码
      分析解答
      预防措施
      6.7  案例八:真假root账号
      事件背景
      恢复root密码
      取证分析
      互动问答
      问题解答
      预防措施
      6.8  案例九:为rootkit把脉
      事件背景
      可疑的/etc/xinetd.conf记录
      互动问答
      事件分析
      疑难解答
      预防措施
    第7章  UNIX系统防范案例
      7.1  案例十:当网页遭遇篡改之后
      事件背景
      日志获取
      互动问答
      入侵事件剖析
      疑难解答
      防护措施
      Web漏洞扫描工具——Nikto
      7.2  案例十一:UNIX下捉虫记
      事件背景
      取证分析
      互动问答
      入侵解析
      Sadmind/IIS蠕虫分析
      Unicode攻击逆向分析
      问题解答
      预防措施

      7.3  案例十二:泄露的裁员名单
      事件背景
      取证分析
      互动问答
      答疑解惑
      预防措施
    第8章  SQL注入防护案例分析
      8.1  案例十三:后台数据库遭遇SQL注入
      案例背景
      互动问答
      分析过程
      疑难解答
      预防与补救措施
      8.2  案例十四:大意的程序员之SQL注入
      事件背景
      互动问答
      分析取证
      总结
      答疑解惑
      总结
      预防措施
      8.3  利用OSSIM监测SQL注入
        8.3.1  SQL注入攻击的正则表达式规则
        8.3.2  用OSSIM检测SQL注入
        8.3.3  OSSIM系统中的Snort规则
      8.4  LAMP网站的SQL 注入预防
        8.4.1  服务器端的安全配置
        8.4.2  PHP代码的安全配置
        8.4.3  PHP代码的安全编写
      8.5  通过日志检测预防SQL注入
        8.5.1  通过Web访问日志发现SQL攻击
        8.5.2  用Visual Log Parser分析日志
    第9章  远程连接安全案例
      9.1  案例十五:修补SSH服务器漏洞
      事件背景
      SSH被攻击的日志举例
      加固SSH服务器
      通过OSSIM实现SSH登录失败告警功能
      预防措施
      9.2  案例十六:无辜的“跳板”
      事件背景
      交互问答
      案情分析
      疑难解答
      预防措施
    第10章  Snort系统部署及应用案例
        10.1  Snort安装与使用
          10.1.1  准备工作
          10.1.2  深入了解Snort
          10.1.3  安装Snort 程序

          10.1.4  维护Snort
          10.1.5  Snort的不足
        10.2  Snort日志分析
          10.2.1  基于文本的格式
          10.2.2  典型攻击日志举例
          10.2.3  Snort探针部署
          10.2.4  日志分析工具
        10.3  Snort 规则详解
          10.3.1  Snort 规则分析
          10.3.2  编写Snort规则
      10.4  基于OSSIM平台的WIDS系统
        10.4.1  安装无线网卡
        10.4.2  设置OSSIM无线传感器
      10.5  案例研究十七:IDS系统遭遇IP碎片攻击
      事件背景
      故障处理
      数据包解码
      疑难问题
      问题解答
      防范策略
      Snort与Iptables联动
      测试效果
      IP碎片攻击的预防措施
      评估NIDS工具
      IDS系统与网络嗅探器的区别
      总结
      10.6  案例十八:智取不速之客
      事件背景
      互动问答
      取证分析
      疑难解答
      预防措施
      案例启示
    第11章  WLAN案例分析
      11.1  WLAN安全漏洞与威胁
        11.1.1  WLAN主要安全漏洞
        11.1.2  WLAN面对的安全威胁
      11.2  案例十九:无线网遭受的攻击
      事件背景
      AP的日志
      寻找非法AP接入点
      互动问答
      将几段事件还原
      疑点解析
      预防措施
        11.2.1  WIFI上网日志的收集
        11.2.2  用开源NAC阻止非法网络访问
        11.2.3  企业中BYOD的隐患
      11.3  案例二十:无线会场的“不速之客”
      事件背景

      取证分析
    第12章  数据加密与解密案例
      12.1  GPG概述
        12.1.1  创建密钥
        12.1.2  导入和签订密钥
        12.1.3  加密和解密
        12.1.4  签订和验证
      12.2  案例二十一:“神秘”的加密指纹
      事件背景
      疑难问题
      案情解码
      中间人攻击
      MITM通常采用的手段
      一种ARP欺骗的预防措施
      分析攻击过程
      答疑解惑
      预防措施
    第三篇  网络流量与日志监控
    第13章  网络流量监控
      13.1  网络监听关键技术
        13.1.1  网络监听
        13.1.2  SNMP协议的不足
        13.1.3  监听关键技术
        13.1.4  NetFlow与sFlow的区别
        13.1.5  协议和应用识别
        13.1.6  网络数据流采集技术
        13.1.7  SPAN的局限
      13.2  用Netflow分析网络异常流量
        13.2.1  NetFlow的Cache管理
        13.2.2  NetFlow的输出格式
        13.2.3  NetFlow的抽样机制
        13.2.4  NetFlow的性能影响
        13.2.5  NetFlow在蠕虫病毒监测中的应用
      13.3  VMware ESXi服务器监控
      13.4  应用层数据包解码
        13.4.1  概述
        13.4.2  系统架构
        13.4.3  Xplico的数据获取方法
        13.4.4  Xplico部署
        13.4.5  应用Xplico
        13.4.6  深入分析Xplico
      13.5  网络嗅探器的检测及预防
        13.5.1  嗅探器的检测
        13.5.2  网络嗅探的预防
    第14章  OSSIM综合应用
      14.1  OSSIM的产生
        14.1.1  概况
        14.1.2  从SIM到OSSIM
        14.1.3  安全信息和事件管理(SIEM)
      14.2  OSSIM架构与原理

        14.2.1  OSSIM架构
        14.2.2  Agent事件类型
        14.2.3  RRD绘图引擎
        14.2.4  OSSIM工作流程分析
      14.3  部署OSSIM
        14.3.1  准备工作
        14.3.2  OSSIM服务器的选择
        14.3.3  分布式OSSIM系统探针布署
        14.3.4  OSSIM 系统安装步骤
      14.4  OSSIM安装后续工作
        14.4.1  时间同步问题
        14.4.2  系统升级
        14.4.3  防火墙设置
        14.4.4  访问数据库
        14.4.5  OSSIM数据库分析工具
        14.4.6  同步OpenVAS插件
        14.4.7  安装远程管理工具
        14.4.8  安装X-Windows
      14.5  使用OSSIM系统
        14.5.1  熟悉主界面
        14.5.2  SIEM事件控制台
      14.6  风险评估方法
        14.6.1  风险评估三要素
        14.6.2  OSSIM系统风险度量
      14.7  OSSIM关联分析技术
        14.7.1  关联分析
        14.7.2  OSSIM的通用关联检测规则
      14.8  OSSIM日志管理平台
        14.8.1  OSSIM日志处理流程
        14.8.2  Snare
        14.8.3  通过WMI收集Windows日志
        14.8.4  配置OSSIM
        14.8.5  Snare与WMI的区别
      14.9  OSSIM系统中的IDS应用
        14.9.1  HIDS/NIDS
        14.9.2  OSSEC HIDS Agent安装
        14.9.3  在ESXi中安装OSSEC
        14.9.4  OSSEC代理监控的局限
      14.10  OSSIM流量监控工具应用
        14.10.1  流量过滤
        14.10.2  Ntop监控
        14.10.3  流量分析
        14.10.4  Ntop故障排除
        14.10.5  网络天气图
        14.10.6  设置Netflow
        14.10.7  Nagios监视
        14.10.8  与第三方监控软件集成
      14.11  OSSIM应用资产管理
        14.11.1  OCS Inventory NG 架构
        14.11.2  OCS安装与使用

      14.12  OSSIM在蠕虫预防中的应用
      14.13  监测shellcode
      14.14  OSSIM在漏洞扫描中的应用
        14.14.1  漏洞评估方法
        14.14.2  漏洞库
        14.14.3  采用OpenVAS扫描
        14.14.4  分布式漏洞扫描
        14.14.5  Metasploit的渗透测试
        14.14.6  在Metasploit中加载Nessus
      14.15  常见OSSIM应用问答