本書精選了OSSIM日常運維操作中總結的許多疑難問題,是OSSIM運維工程師故障速查手冊,專門針對OSSIM故障解答來編寫。本書主要介紹重點強調安全事件分類聚合、提取流程、關聯分析算法、Snort規則分析等技巧,介紹日誌收集方法和標準化實現思路以及在OSSIM中用HIDS/NIDS、Netflow抓包分析異常流量的方法,深入分析了Openvas架構和腳本分析方法。
基本介紹
- 書名:開源安全運維平台OSSIM疑難解析:提高篇
- 作者:李晨光
- ISBN:978-7-115-50647-4
- 類別:計算機網路運維
- 頁數:337
- 定價:89
- 出版社:人民郵電出版社
- 出版時間:2019-09-01
- 開本:16
第1章,檢測Snort與Suricata,講解檢測系統Snort和Suricata在OSSIM系統中的套用問題。
第2章,基於主機的***檢測——OSSEC,講解在HIDS-OSSEC部署過程中常見的故障並進行解答。
第3章,漏洞掃描OpenVAS,講解在漏洞掃描OpenVAS伺服器安裝過程中遇到的疑難問題。
第4章,Memcache、RabbitMQ與Redis協同工作,講解Memcache、RabbitMQ和Redis等快取和中間件系統在系統維護與管理中遇到的配置難點及疑點問題。
第5章,日誌採集與分析,講解利用OSSIM進行日誌採集和分析的問題。
第6章,關聯分析技術,講解OSSIM關聯分析技術問題。
第7章,資產管理,講解利用OSSIM進行資產管理的問題。
第8章,網路流量與主機高可用監控,講解利用Ntop和Nagios進行流量管理的問題。
第9章,NetFlow流量分析,講解利用NetFlow為OSSIM進行流量分析的問題。
第10章,OSSIM前端漢化技巧,講解OSSIM前端漢化技巧。
第11章,壓力測試及性能監控,講解利用開源工具對OSSIM進行性能測試以及調優的技巧問題。
第12章,數據包抓包分析技巧,講解抓包分析過程中的疑難問題。
目錄
第 1章 入侵檢測Snort與Suricata 1
Q001 Snort檢測規則存儲在何處?如果觸發規則Snort將會產生幾種動作類型? 1
Q002 Snort 2.9版本中主要有哪些預處理外掛程式,各有什麼功能? 2
Q003 如何利用Scapy測試Snort規則? 2
Q004 Snort有幾種工作模式,各有什麼特點? 4
Q005 舉例說明Snort採用什麼規則檢測可疑載荷? 9
Q006 Snort如何檢測Chargen/Echo DoS攻擊? 9
Q007 如何使用Snort的Packet logger模式將捕獲到的信息記錄到磁碟? 10
Q008 在同一個網段內如何部署多個IDS? 10
Q009 手動編譯安裝Snort時,需要做哪些準備工作? 10
Q010 如何在Linux下編譯安裝Snort? 11
Q011 如何將Snort報警存入MySQL資料庫? 15
Q012 如何搭建基於BASE的可視化入侵檢測系統? 19
Q013 OSSIM的PHP IDS組件採用什麼方法來接收和分析數據? 25
Q014 IP碎片攻擊對Snort會產生哪些危害? 25
Q015 在Snort規則中,msg、content、threshold、reference選項有何含義? 26
Q016 OSSIM中如何管理引用類型? 28
Q017 外部引用在OSSIM安全事件管理中起到什麼作用? 29
Q018 OSSIM5中的Suricata支持PF_RING嗎? 30
Q019 如何利用DARPA 2000數據集重構攻擊場景? 31
Q020 在Snort中如何使用參數查看數據鏈路層的包頭信息? 31
Q021 Snort的輸出外掛程式分為幾類?各有什麼作用? 32
Q022 sid-msg.map和gen-msg.map有什麼區別? 38
Q023 在 OSSIM 4.12檢測器中Snort狀態為DOWN,而Suricata為UP,這種狀態正常嗎?
它們能同時為狀態UP嗎? 39
Q024 網路主動探測與被動探測有什麼區別? 39
Q025 如何找出/var/log/suricata目錄下24小時內訪問過的日誌並且找到後立即刪除? 40
Q026 Snort感測器部署在企業網的什麼位置? 40
Q027 Suricata與Snort有何區別? 41
Q028 如何調整Suricata同時處理的數據包的數量? 42
Q029 如何設定Suricata的運行模式? 42
Q030 Suricata事件輸出分為哪幾種?如何記錄匹配的信息? 43
Q031 當Suricata檢測到可疑數據包時,以二進制格式將其存儲到什麼檔案?通過什麼
程式讀取? 43
Q032 Suricata通過什麼參數記錄真實客戶機的IP? 44
Q033 若讓Suricata記錄所有HTTP日誌,則該如何修改配置檔案? 44
Q034 如何保存經Suricata檢測的所有數據包? 44
Q035 如何啟用Suricata服務的Debug日誌? 45
Q036 如何將Suricata的報警信息輸出到Syslog檔案中? 45
Q037 數據包在Suricata檢測引擎中是如何匹配的? 45
Q038 Suricata檢測引擎的配置屬性分為幾種? 45
Q039 在多核心OSSIM伺服器上如何改善Suricata處理性能? 46
Q040 在高速複雜的網路環境中,如何提高Suricata規則檢測時的數據分片傳輸效率? 46
Q041 在Suricata的stream引擎中對數據包重組需要占用CPU資源,為了避免無限制地
重組數據包,應該修改什麼參數對其進行限制? 47
Q042 Suricata的日誌檔案suricata.log保存在什麼路徑中?該路徑由什麼配置檔案
定義? 48
Q043 OSSIM下Suricata的抓包方式採用AF_PACKET還是PF_RING? 48
Q044 如何定製Suricata規則? 49
Q045 如何更新AlienVault NIDS規則和簽名? 50
Q046 Snort可作為IPS使用嗎?如何部署? 51
Q047 在OSSIM 3中,PF_RING有哪幾種工作模式? 51
Q048 如何啟用新的ET規則? 52
Q049 如何在OSSIM系統中配置無線入侵系統? 52
Q050 OSSIM平台上的iptables模組在什麼位置? 58
Q051 舉例說明OSSIM如何發現Nmap掃描行為。 58
Q052 AIDE有什麼作用? 60
Q053 如何在CentOS Linux中安裝AIDE? 61
Q054 如何在OSSIM中安裝AIDE? 62
本章測試 64
第 2章 基於主機的入侵檢測——OSSEC 69
Q055 OSSEC Agent主要由哪些進程組成,各有什麼作用? 69
Q056 簡述OSSEC Server/Agent工作流程及其關鍵進程的作用。 70
Q057 什麼是Agent和Agentless監控? 70
Q058 如何測試OSSEC規則? 71
Q059 當因磁碟空間不足而造成OSSEC服務故障時,該如何處理? 71
Q060 分散式環境下OSSEC和Agent是如何通信的? 73
Q061 在Linux環境中如何安裝OSSEC Agent? 73
Q062 Linux下安裝OSSEC Agent報錯時應如何解決? 76
Q063 Nmap掃描和OpenVAS掃描有什麼區別? 77
Q064 OSSEC事件報警處理流程是什麼? 77
Q065 如何在Windows 8環境下安裝OSSEC Agent? 78
Q066 用於配置OSSEC Agent的檔案位於何處? 82
Q067 當OSSEC Agent無法連線伺服器時,該如何處理? 82
Q068 在Windows Server 2012中如何安裝OSSEC Agent? 83
Q069 如何在Web中查看OSSEC Agent狀態? 88
Q070 OSSEC日誌存儲在什麼位置? 89
Q071 Web UI中OSSEC調用規則的後台檔案位於何處? 90
Q072 如何監聽OSSEC Server和Agent之間的數據通信? 91
Q073 Windows平台中已安裝了OSSEC Agent,但在OSSIM伺服器中沒有接收到
日誌,這怎么解決? 92
Q074 OSSEC客戶端無法連線到OSSEC伺服器時,該如何處理? 92
Q075 /var/log/suricata/目錄下 JSON 檔案中的各個欄位表示什麼含義? 92
Q076 在OSSEC輸出外掛程式中的特定字元表示什麼含義? 93
本章測試 94
第3章 漏洞掃描OpenVAS 98
Q077 OpenVAS的掃描日誌存放在何處? 98
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什麼含義? 98
Q079 OpenVAS主要進程和配置檔案有哪些? 100
Q080 OpenVAS腳本採用什麼語言編寫?請描述腳本載入過程。 101
Q081 OpenVAS掃描初期如何載入腳本? 102
Q082 漏洞掃描器中的腳本如何對目標進行安全檢測? 102
Q083 OpenVAS的掃描器openvas-scanner調用的私鑰證書檔案位於何處,證書由什麼
程式創建? 102
Q084 OpenVAS掃描過程分為幾個階段,伺服器端有幾個主要模組,它們之間工作
流程如何? 103
Q085 OpenVAS掃描器工作狀態出現Failed提示,表示什麼含義? 104
Q086 用OpenVAS進行掃描時出現故障如何排除? 104
Q087 在什麼情況下應終止漏洞掃描任務? 107
Q088 Nessus與OpenVAS的掃描效果有什麼區別? 108
Q089 OSSIM使用OpenVAS掃描系統時,為何還保留Nessus規則? 109
Q090 使用alienvault-update命令對系統升級之後出現OpenVAS無法正常工作的情況,
如何解決? 110
Q091 操作過程中無法連線到漏洞掃描器,這種故障該如何解決? 110
Q092 漏洞掃描時間過短會發生哪些問題? 111
Q093 掃描資源池之外的機器會出現什麼情況,如何處理? 111
Q094 如何手動更新CVE庫? 112
Q095 OSSIM系統中設定多長時間的漏洞掃描周期合適? 112
Q096 OpenVAS導出報告中針對漏洞分類使用了幾種顏色?各表示什麼含義? 113
Q097 X-Scan、Fluxay、Nessus及OpenVAS這幾款掃描軟體有何區別? 114
本章測試 115
第4章 Memcache、RabbitMQ與Redis協同工作 117
Q098 為何單執行緒的Redis速度還能這么快? 117
Q099 Memcache的作用是什麼? 117
Q100 如何增大Redis運行記憶體? 118
Q101 如何安裝MemCached監控探針? 119
Q102 OSSIM為什麼採用訊息中間件? 120
Q103 RabbitMQ在OSSIM系統中起到什麼作用? 122
Q104 如何查詢OSSIM伺服器上的訊息佇列以及連線信息? 122
Q105 如何重置RabbitMQ節點? 122
Q106 如何查看已啟用的RabbitMQ外掛程式? 123
Q107 OSSIM中的RabbitMQ如何打開Web管理後台? 123
Q108 OSSIM為何要引入Redis記憶體資料庫,採用key/value存儲? 125
Q109 OSSIM伺服器使用RabbitMQ有何優勢? 126
Q110 如何查看Redis伺服器實時轉儲收到的請求? 127
Q111 如何進入或退出Erlang Shell界面? 127
本章測試 128
第5章 日誌採集與分析 130
Q112 在OSSIM平台上日誌可視化體現在何處? 130
Q113 iptables日誌有幾種記錄形式?各有什麼區別? 131
Q114 如何將iptables日誌轉發到指定檔案中? 132
Q115 如何在Web界面中查看iptables事件? 134
Q116 如何發現日誌時間被篡改? 136
Q117 為什麼使用GNS3? 137
Q118 在實驗環境中使用GNS3有哪些短板? 137
Q119 GNS3如何模擬3層交換機? 138
Q120 如何將GNS3與本地網卡橋接? 138
Q121 如何用OSSIM採集Squid日誌? 139
Q122 如何通過Snare將Windows事件轉發至Linux日誌採集伺服器? 140
Q123 如何用Syslog-Slogger測試Syslog伺服器? 143
Q124 如何使用logger傳送測試日誌? 144
Q125 如何模擬Syslog流量? 144
Q126 WMI與Snare有什麼區別? 146
Q127 OSSIM日誌處理流程是什麼? 146
Q128 原始安全事件需要具備哪些屬性? 147
Q129 原始日誌和歸一化事件有什麼不同? 149
Q130 將Windows日誌轉換為Syslog日誌的工具有哪些? 149
Q131 如何選擇合適的日誌級別? 150
Q132 有哪些工具可以將Windows日誌轉換為Syslog? 151
Q133 如何利用Evtsys工具採集Windows日誌並轉發到Syslog伺服器? 152
Q134 如何收集Apache日誌? 153
Q135 為什麼在Zabbix伺服器上啟用Syslog訊息轉發後,伺服器會出現卡頓的現象? 154
Q136 如何利用Rsyslog協定採集日誌? 154
Q137 如何用Rsyslog將日誌傳送到不同的日誌收集器中? 155
Q138 如何在OSSIM中啟用SNMP服務? 155
Q139 如何讓Linux客戶機通過Syslog將日誌傳送到OSSIM伺服器? 156
Q140 alerts.log檔案中突然產生大量日誌,應如何處理? 157
Q141 Syslog中每條訊息的最大長度是多少? 157
Q142 在OSSIM企業版中如何從Web UI中導出日誌? 157
Q143 安全審計要求日誌保存時間是多久? 158
Q144 如何通過WMI方式接收日誌? 158
Q145 如何將VsFTP日誌傳送到OSSIM? 159
Q146 如何將客戶端的sudo日誌重定向到伺服器端指定的檔案中? 161
本章測試 162
第6章 關聯分析技術 164
Q147 OSSIM的關聯分析如何工作? 164
Q148 安全事件關聯分析的目的是什麼? 165
Q149 安全事件歸一化處理的步驟是什麼? 166
Q150 如何通過關聯分析來判斷攻擊? 167
Q151 OSSIM如何將網路安全事件進行分類? 167
Q152 舉例說明OSSIM關聯分析指令的結構? 171
Q153 如何新建關聯指令? 172
Q154 如何查看交叉關聯規則? 176
Q155 在交叉關聯規則中顯示數據源及外掛程式信息時為什麼比較慢? 176
Q156 RISK、PRIORITY、RELIABILITY這3個參數在關聯分析時有何關聯? 177
Q157 在儀錶盤中,Risk顯示的Risk Metric中C、A值表示什麼含義? 178
Q158 在評估主機風險時,事件屬性Risk的C、A值會發生哪些變化?這些變化
反映出什麼問題? 181
Q159 OSSEC與Snort事件能合併嗎? 182
Q160 如何聚合OSSEC報警信息? 183
Q161 如何判斷OSSEC產生的同類報警? 184
Q162 如何在Web UI中配置關聯指令? 185
Q163 OSSIM中關聯規則的基本屬性是什麼,各有何含義? 189
Q164 SIEM控制台如何將不同數據源的事件進行聚合處理? 191
Q165 OSSIM關聯規則樹由什麼構成?含義如何? 192
Q166 OSSIM關聯分析引擎分為幾種類型?可靠性和風險值在裡面起到了什麼作用? 195
Q167 如何理解安全事件的交叉關聯分析? 196
Q168 風險評估三要素是什麼?它們之間的關係如何? 196
Q169 為什麼說可靠性的值是動態變化的? 197
Q170 如果區域網路一台郵件伺服器的資產值設定為5,而優先權和可靠性的默認值設定為3,那么這台伺服器的風險值為多少? 198
Q171 OSSIM關聯引擎有何作用,工作過程是怎樣的? 198
本章測試 200
第7章 資產管理 203
Q172 OSSIM平台中需要對資產的哪些特徵進行監控? 203
Q173 如何為資產賦值? 204
Q174 OSSIM中資產列表位於什麼位置? 205
Q175 資產掃描有6個選項,各表示什麼含義? 205
Q176 如何設定Nmap掃描周期? 206
Q177 為什麼掃描192.168.1.0/24網段內的資產時,結果中卻包含其他網段的資產
信息? 206
Q178 如何通過CSV檔案導入資產信息? 207
Q179 如何設定OCS,使其進行周期性檢測? 209
Q180 調節資產的可靠性值會對風險產生什麼影響? 209
Q181 如何在OSSIM 5的Web UI中批量刪除資產? 211
Q182 在OSSIM中進行資產掃描時,如果定義網段不當則會出現“Scanning network
(172.16.0.0/12) with local Nmap,please wait...”提示,並且掃描停止。這一問題
如何解決? 212
Q183 OSSIM中Prads程式的作用是什麼? 213
Q184 Prads啟動失敗如何解決? 213
Q185 當監控的資產過多時,OSSIM系統頁面的刷新為什麼非常慢? 214
Q186 如何為資產啟用外掛程式? 214
Q187 在OSSIM中安裝iTop的詳細步驟是什麼? 216
Q188 如何將OSSIM產生的報警轉發到iTop的CMDB? 223
Q189 如何限制iTop上傳檔案的大小? 225
Q190 如何在外網訪問iTop站點? 225
Q191 在iTop安裝過程中若出現“iTop is read-only iTop is temporarily frozen,please
wait…”系統提示,該如何處理? 225
本章測試 226
第8章 網路流量與主機高可用監控 227
Q192 在OSSIM中Monit與Nagios服務有什麼區別? 227
Q193 RRDTool代表什麼含義,它在OSSIM中起到什麼作用? 227
Q194 RRDTool繪圖流程包括哪些內容? 228
Q195 如何用Nagios監控MySQL? 229
Q196 如何在命令行下使用Nagios外掛程式? 229
Q197 如何通過Nagios外掛程式來檢測負載? 230
Q198 如何利用Nagios外掛程式來檢查交換分區和記憶體? 230
Q199 添加Nagios來監控主機後,打開Web UI時報錯該如何處理? 231
Q200 Nagios中顯示的返回碼包括哪幾種,各表示什麼含義? 232
Q201 Ntop流量採集方式有什麼特點? 233
Q202 網路中數據包大小變化的背後隱藏了哪些玄機?Ntop如何統計流量的變化? 233
Q203 用Ntop分析網路數據時,需要在交換機上設定連線埠鏡像嗎? 235
Q204 如何重置Ntop的admin密碼? 236
Q205 當OSSIM系統中存在多個感測器時,如何選擇Ntop的默認感測器? 236
Q206 打開Ntop時出現“Sensor not available”提示,應如何處理? 237
Q207 打開Ntop主界面時速度緩慢,如何處理? 237
Q208 如何設定Ntop中的流向統計功能? 238
Q209 若在分散式系統中為感測器設定多塊網卡,使用Ntop時提示“Sensor not available
please select for the above dropdown”,該如何處理? 239
Q210 在Ntop中設定Local Network Traffic Map時出現錯誤提示,應如何處理? 239
Q211 如何在OSSIM中安裝Ntopng? 239
Q212 蠕蟲爆發時,流量、協定以及數據包大小會發生哪些異常,Ntop如何感知這些
變化? 240
Q213 如何監控OSSIM伺服器和感測器中的磁碟、網路、系統進程及Postfix? 242
Q214 如何通過Ntop顯示受控伺服器的IP流量? 244
Q215 如何採用phpMyAdmin工具監控OSSIM伺服器的流量? 245
本章測試 246
第9章 NetFlow流量分析 247
Q216 OSSIM伺服器中的NetFlow模組由幾部分組成,分別有什麼作用? 247
Q217 nfdump模組由哪些進程組成,各有什麼功能? 247
Q218 NetFlow數據流存儲路徑定義在什麼檔案中?修改配置後若生效該如何處理? 248
Q219 如何在感測器中啟用NetFlow功能? 248
Q220 在OSSIM分散式系統中,NetFlow數據存儲在伺服器端還是感測器端? 249
Q221 OSSIM系統中如何分析NetFlow數據包? 249
Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等參數
表示什麼含義? 250
Q223 分散式環境下如何監測NetFlow數據流? 250
Q224 如何清理NetFlow採集的數據? 253
Q225 NetFlow採集的抽樣數據可保存多長時間? 254
Q226 如何通過命令行讀取NetFlow數據? 255
Q227 NetFlow數據集能在Web UI的儀錶盤中顯示嗎? 255
Q228 在分散式部署的OSSIM環境中,感測器如何區別來自不同感測器的NetFlow
數據? 256
Q229 在OSSIM平台上利用NetFlow採集路由器流量會對路由器的工作造成影響嗎? 257
Q230 在OSSIM平台上將NetFlow數據與谷歌地圖結合有什麼優點? 257
Q231 NetFlow能否檢測出SYN泛洪攻擊? 258
Q232 在nfsend進程中出現“Connection refused”報錯時該如何處理? 258
Q233 OSSIM如何分析網路異常行為? 259
Q234 sFlow協定有什麼功能?哪些軟體可以分析sFlow的數據包? 262
Q235 sFlow與NetFlow的協定有何區別? 262
Q236 NetFlow接收不到流數據該如何處理? 262
本章測試 266
第 10章 OSSIM前端漢化技巧 269
Q237 OSSIM 5.3中的Web UI選單調用源碼位於何處? 269
Q238 locale參數的作用是什麼?如何查詢和修改locale? 271
Q239 如何漢化OSSIM中的Web UI選單? 271
Q240 在漢化OSSIM時需要修改原始碼嗎? 275
Q241 對於漢化後的Web UI界面,若使用IE 10瀏覽器應該如何選擇編碼方式才能
顯示中文? 276
Q242 在OSSIM終端界面上如何顯示和輸入中文字元? 276
Q243 Windows環境下使用什麼工具編輯PHP檔案?需要注意些什麼? 277
Q244 用SecureCRT遠程連線到OSSIM系統,當直接修改漢化後的PHP代碼時,
瀏覽器中顯示都是亂碼,如何處理? 278
Q245 如何修改Favicon圖示? 278
Q246 如何修改Logo圖示? 278
Q247 如何修改Web UI中的Title標識? 279
Q248 如何修改選項卡名稱? 280
Q249 如何更換OSSIM系統的Web UI背景? 281
Q250 OSSIM系統中的ADOdb包有什麼作用?它的配置檔案在什麼位置? 281
Q251 在OSSIM Web UI儀錶盤中,雷達圖主要顯示感測器收集事件的數量。在該
雷達圖中,可以描述多少個不同的感測器的信息? 281
Q252 如何將Loading Widget修改成中文字元? 282
Q253 如何修改OSSIM的Web UI選單? 283
Q254 如何修改Web UI儀錶盤的名稱? 286
Q255 如何修改Alarm數據的300s刷新時間? 288
Q256 OSSIM中的Web UI如何實現動態載入頁面? 288
Q257 如何將UTC(世界標準時間)轉化為本地時間? 289
Q258 jQuery外掛程式中的/usr/shre/ossim/www/js/geo_autocomplete.js腳本有什麼作用? 289
Q259 腳本jquery.dynatree.js有什麼作用?若發生故障會影響Web UI的哪些功能? 290
本章測試 290
第 11章 壓力測試及性能監控 293
Q260 如何利用Netperf測試網路性能? 293
Q261 如何使用I/O分析工具dstat? 295
Q262 如何用sysbench測試資料庫? 296
Q263 如何用dd工具測試系統I/O性能? 297
Q264 如何使用OSSIM自帶的性能測試工具? 298
Q265 如何測試系統的IOPS? 299
Q266 當OSSIM伺服器產生大量套接字連線時,如何查看全局統計信息? 300
Q267 OSSIM系統空間不足時如何查找大檔案? 301
Q268 如何檢測OSSIM系統的整體狀態? 302
Q269 如何使用圖形化監控工具nmon? 303
Q270 如何用atop監控Linux系統資源和進程? 303
Q271 如何找出最消耗記憶體的進程? 304
Q272 如何測試OSSIM Web UI頁面的回響速度? 306
Q273 如何對OSSIM系統目錄的大小進行排序? 306
Q274 如何使用OSSIM的流量監控工具iftop? 307
Q275 如何利用Apache自帶的ab工具測試OSSIM的回響速度? 309
Q276 如何詳細了解OSSIM系統進程的網路頻寬占用情況? 310
Q277 OSSIM下如何使用nload軟體監控流量? 310
Q278 如何對OSSIM系統進行壓力測試? 311
Q279 OSSIM中如何套用hping3進行測試? 312
Q280 OSSIM下如何安裝工具Knocker? 313
Q281 OSSIM下如何安裝sendip工具? 314
Q282 OSSIM中如何安裝Smokeping? 316
Q283 如何在OSSIM Server上安裝Cacti? 318
Q284 如何在OSSIM感測器上安裝Zabbix? 320
Q285 如何利用Munin工具進行性能監控? 321
Q286 如何安裝Glances工具? 322
本章測試 324
第 12章 數據抓包分析技巧 326
Q287 如何預防網路嗅探? 326
Q288 SPAN連線埠鏡像技術有何局限? 327
Q289 採集數據流分為幾類,各有什麼特點? 328
Q290 通過Traffic Capture抓包的數據存放在什麼位置? 328
Q291 若在千兆網路環境中存儲30天的完整抓包數據,需要多大的硬碟空間? 328
Q292 協定分析包括哪些內容,常用的分析工具有哪些? 329
Q293 如何用tcpdump監聽由感測器傳送到連線埠的數據包? 329
Q294 如何用tcpdump獲取Syslog數據包? 330
Q295 如何將tcpdump抓包存入檔案? 330
Q296 採用OSSIM監控千兆網路環境會遇到哪些問題? 330
Q297 使用SecureCRT遠程連線到OSSIM進行抓包,如何顯示從網卡eth0獲取的
TCP 22連線埠之外的全部流量? 331
Q298 如何利用Traffic Capture遠程排除網路故障? 331
Q299 在使用OSSIM Web UI的Traffic Capture時提示“This traffic capture is empty”,
應如何處理? 332
Q300 Traffic Capture分析數據包時如何對協定進行過濾? 332
Q301 Traffic Capture數據包捕獲的時間範圍是多少? 333
Q302 Traffic Capture數據包過濾技巧有哪些? 333
本章測試 333
附錄 Snort安裝包用途及安裝路線 335