本書以開源軟體為基礎,全面介紹了UNIX/Linux安全運維的各方面知識。第一篇從UNIX/Linux系統日誌、Apache等各類套用日誌的格式和收集方法講起,內容涵蓋異構網路系統日誌收集和分析工具使用的多個方面;第二篇列舉了二十多個常見網路故障案例,每個案例完整地介紹了故障的背景、發生、發展,以及最終的故障排除過程。其目的在於維護網路安全,通過開源工具的靈活運用,來解決運維實戰工作中的各種複雜的故障;第三篇重點講述了網路流量收集監控技術與OSSIM在異常流量監測中的套用。 本書使用了大量開源工具解決方案,是運維工程師、網路安全從業人員不可多得的參考資料。
基本介紹
- 書名:UNIX/Linux網路日誌分析與流量監控
- 作者:李晨光
- ISBN:978-7-111-47961-1
- 類別:信息安全
- 頁數:448
- 定價:79
- 出版社:機械工業出版社
- 出版時間:2014-12-1
- 裝幀:平裝
內容簡介,作者簡介,目錄,
內容簡介
本書以開源軟體為基礎,全面介紹了UNIX/Linux安全運維的各方面知識。第一篇從UNIX/Linux系統日誌、Apache等各類套用日誌的格式和收集方法講起,內容涵蓋異構網路系統日誌收集和分析工具使用的多個方面;第二篇列舉了二十多個常見網路故障案例,每個案例完整地介紹了故障的背景、發生、發展,以及最終的故障排除過程。其目的在於維護網路安全,通過開源工具的靈活運用,來解決運維實戰工作中的各種複雜的故障;第三篇重點講述了網路流量收集監控技術與OSSIM在異常流量監測中的套用。本書使用了大量開源工具解決方案,是運維工程師、網路安全從業人員不可多得的參考資料。
國內已出版了不少網路攻防等安全方面的書籍,其中多數是以Windows平台為基礎。但網際網路套用伺服器大多架構在UNIX/Linux系統之上,讀者迫切需要了解有關這些系統的安全案例。所以我決心寫一本基於UNIX/Linux的書,從一個白帽的視角,為大家講述企業網中UNIX/Linux系統在面臨各種網路威脅時,如何通過日誌信息查找問題的蛛絲馬跡,修復網路漏洞,構建安全的網路環境。
書中案例覆蓋了如今網路套用中典型的攻擊類型,例如DDoS、惡意代碼、緩衝區溢出、Web套用攻擊、IP碎片攻擊、中間人攻擊、無線網攻擊及SQL注入攻擊等內容。每段故事首先描述一起安全事件。然後由管理員進行現場勘查,收集各種信息(包括日誌檔案、拓撲圖和設備配置檔案),再對各種安全事件報警信息進行交叉關聯分析,並引導讀者自己分析入侵原因,將讀者帶入案例中。最後作者給出入侵過程的來龍去脈,在每個案例結尾提出針對這類攻擊的防範手段和補救措施,重點在於告訴讀者如何進行系統和網路取證,查找並修復各種漏洞,從而進行有效防禦。
書中案例覆蓋了如今網路套用中典型的攻擊類型,例如DDoS、惡意代碼、緩衝區溢出、Web套用攻擊、IP碎片攻擊、中間人攻擊、無線網攻擊及SQL注入攻擊等內容。每段故事首先描述一起安全事件。然後由管理員進行現場勘查,收集各種信息(包括日誌檔案、拓撲圖和設備配置檔案),再對各種安全事件報警信息進行交叉關聯分析,並引導讀者自己分析入侵原因,將讀者帶入案例中。最後作者給出入侵過程的來龍去脈,在每個案例結尾提出針對這類攻擊的防範手段和補救措施,重點在於告訴讀者如何進行系統和網路取證,查找並修復各種漏洞,從而進行有效防禦。
作者簡介
李晨光,畢業於中國科學院研究生院,就職於世界500強企業,資深網路架構師、51CTO學院講師、IBM精英講師、UNIX/Linux系統安全專家,現任中國計算機學會(CCF)高級會員;曾獲2011~2013年度全國IT部落格10強。從事IDC機房網路設備運維十多年,持有多個IT認證;對Linux/UNIX、網路安全防護有深入研究。曾出版暢銷書《Linux企業套用案例精解》和《Linux企業套用案例精解第2版》,多次在國內信息安全大會發表技術演講。
目錄
第一篇 日誌分析基礎 第1章 網路日誌獲取與分析 1.1 網路環境日誌分類 1.2 Web日誌分析 1.3 FTP伺服器日誌解析 1.4 用LogParser分析Windows系統日誌 1.5 Squid服務日誌分析 1.6 NFS服務日誌分析 1.7 iptables日誌分析 1.8 Samba日誌審計 1.9 DNS日誌分析 1.10 DHCP伺服器日誌 1.11 郵件伺服器日誌 1.12 Linux下雙機系統日誌 1.13 其他UNIX系統日誌分析GUI工具 1.14 可視化日誌分析工具 第2章 UNIX/Linux系統取證 2.1 常見IP追蹤方法 2.2 重要信息收集 2.3 常用搜尋工具 2.4 集成取證工具箱介紹 2.5 案例一:閃現Segmentation Fault為哪般 2.6 案例二:誰動了我的膠片 第3章 建立日誌分析系統 3.1 日誌採集基礎 3.2 時間同步 3.3 網路設備日誌分析與舉例 3.4 選擇日誌管理系統的十大問題 3.5 利用日誌管理工具更輕鬆 3.6 用Sawmill搭建日誌平台 3.7 使用Splunk分析日誌 第二篇 日誌分析實戰 第4章 DNS系統故障分析 4.1 案例三:邂逅DNS故障 4.2 DNS漏洞掃描方法 4.3 DNS Flood Detector讓DNS更安全 第5章 DoS防禦分析 5.1 案例四:網站遭遇DoS攻擊 5.2 案例五:“太囧”防火牆 第6章 UNIX後門與溢出案例分析 6.1 如何防範rootkit攻擊 6.2 防範rootkit的工具 6.3 安裝LIDS 6.4 安裝與配置AIDE 6.5 案例六:圍堵Solaris後門 6.6 案例七:遭遇溢出攻擊 6.7 案例八:真假root賬號 6.8 案例九:為rootkit把脈 第7章 UNIX系統防範案例 7.1 案例十:當網頁遭遇篡改之後 7.2 案例十一:UNIX下捉蟲記 7.3 案例十二:泄露的裁員名單 第8章 SQL注入防護案例分析 8.1 案例十三:後台資料庫遭遇SQL注入 8.2 案例十四:大意的程式設計師之SQL注入 8.3 利用OSSIM監測SQL注入 8.4 LAMP網站的SQL 注入預防 8.5 通過日誌檢測預防SQL注入 第9章 遠程連線安全案例 9.1 案例十五:修補SSH伺服器漏洞 9.2 案例十六:無辜的“跳板” 第10章 Snort系統部署及套用案例 10.1 Snort安裝與使用 10.2 Snort日誌分析 10.3 Snort 規則詳解 10.4 基於OSSIM平台的WIDS系統 10.5 案例研究十七:IDS系統遭遇IP碎片攻擊 10.6 案例十八:智取不速之客 第11章 WLAN案例分析 11.1 WLAN安全漏洞與威脅 11.2 案例十九:無線網遭受的攻擊 11.3 案例二十:無線會場的“不速之客” 第12章 數據加密與解密案例 12.1 GPG概述 12.2 案例二十一:“神秘”的加密指紋 第三篇 網路流量與日誌監控 第13章 網路流量監控 13.1 網路監聽關鍵技術 13.2 用NetFlow分析網路異常流量 13.3 VMware ESXi伺服器監控 13.4 套用層數據包解碼 13.5 網路嗅探器的檢測及預防 第14章 OSSIM綜合套用 14.1 OSSIM的產生 14.2 OSSIM架構與原理 14.3 部署OSSIM 14.4 OSSIM安裝後續工作 14.5 使用OSSIM系統 14.6 風險評估方法 14.7 OSSIM關聯分析技術 14.8 OSSIM日誌管理平台 14.9 OSSIM系統中的IDS套用 14.10 OSSIM流量監控工具套用 14.11 OSSIM套用資產管理 14.12 OSSIM在蠕蟲預防中的套用 14.13 監測shellcode 14.14 OSSIM在漏洞掃描中的套用 14.15 常見OSSIM套用問答 |