《UNIX/Linux網(wǎng)絡日志分析與流量監(jiān)控》以開源軟件為基礎,全面介紹了UNIX/Linux安全運維的各方面知識。第一篇從UNIX/Linux系統(tǒng)日志、Apache等各類應用日志的格式和收集方法講起,內容涵蓋異構網(wǎng)絡系統(tǒng)日志收集和分析工具使用的多個方面;第二篇列舉了二十多個常見網(wǎng)絡故障案例,每個案例完整地介紹了故障的背景、發(fā)生、發(fā)展,以及最終的故障排除過程。其目的在于維護網(wǎng)絡安全,通過開源工具的靈活運用,來解決運維實戰(zhàn)工作中的各種復雜的故障;第三篇重點講述了網(wǎng)絡流量收集監(jiān)控技術與OSSIM在異常流量監(jiān)測中的應用。
本書使用了大量開源工具解決方案,是運維工程師、網(wǎng)絡安全從業(yè)人員不可多得的參考資料。
國內已出版了不少網(wǎng)絡攻防等安全方面的書籍,其中多數(shù)是以Windows平臺為基礎。但互聯(lián)網(wǎng)應用服務器大多架構在UNIX/Linux系統(tǒng)之上,讀者迫切需要了解有關這些系統(tǒng)的安全案例。所以我決心寫一本基于UNIX/Linux的書,從一個白帽的視角,為大家講述企業(yè)網(wǎng)中UNIX/Linux系統(tǒng)在面臨各種網(wǎng)絡威脅時,如何通過日志信息查找問題的蛛絲馬跡,修復網(wǎng)絡漏洞,構建安全的網(wǎng)絡環(huán)境。
書中案例覆蓋了如今網(wǎng)絡應用中典型的攻擊類型,例如DDoS、惡意代碼、緩沖區(qū)溢出、Web應用攻擊、IP碎片攻擊、中間人攻擊、無線網(wǎng)攻擊及SQL注入攻擊等內容。每段故事首先描述一起安全事件。然后由管理員進行現(xiàn)場勘查,收集各種信息(包括日志文件、拓撲圖和設備配置文件),再對各種安全事件報警信息進行交叉關聯(lián)分析,并引導讀者自己分析入侵原因,將讀者帶入案例中。最后作者給出入侵過程的來龍去脈,在每個案例結尾提出針對這類攻擊的防范手段和補救措施,重點在于告訴讀者如何進行系統(tǒng)和網(wǎng)絡取證,查找并修復各種漏洞,從而進行有效防御。
作者
李晨光,畢業(yè)于中國科學院研究生院,就職于世界500強企業(yè),資深網(wǎng)絡架構師、51CTO學院講師、IBM精英講師、UNIX/Linux系統(tǒng)安全專家,現(xiàn)任中國計算機學會(CCF)高級會員;曾獲2011~2013年度全國IT博客10強。從事IDC機房網(wǎng)絡設備運維十多年,持有多個IT認證;對Linux/UNIX、網(wǎng)絡安全防護有深入研究。曾出版暢銷書《Linux企業(yè)應用案例精解》和《Linux企業(yè)應用案例精解第2版》,多次在國內信息安全大會發(fā)表技術演講,2012年受邀擔任中國系統(tǒng)架構師大會(SACC)運維開發(fā)專場嘉賓主持人;先后在國內《計算機安全》、《程序員》、《計算機世界》、《網(wǎng)絡運維與管理》、《黑客防線》等專業(yè)雜志發(fā)表論文六十余篇,撰寫的技術博文廣泛刊登在51CTO、IT168、ChinaUnix、賽迪網(wǎng)、天極網(wǎng)、比特網(wǎng)等國內知名IT網(wǎng)站。
第一篇 日志分析基礎
第1章 網(wǎng)絡日志獲取與分析
1.1 網(wǎng)絡環(huán)境日志分類
1.2 Web日志分析
1.3 FTP服務器日志解析
1.4 用LogParser分析Windows系統(tǒng)日志
1.5 Squid服務日志分析
1.6 NFS服務日志分析
1.7 iptables日志分析
1.8 Samba日志審計
1.9 DNS日志分析
1.10 DHCP服務器日志
1.11 郵件服務器日志
1.12 Linux下雙機系統(tǒng)日志
1.13 其他UNIX系統(tǒng)日志分析GUI工具
1.14 可視化日志分析工具
第2章 UNIX/Linux系統(tǒng)取證
2.1 常見IP追蹤方法
2.2 重要信息收集
2.3 常用搜索工具
2.4 集成取證工具箱介紹
2.5 案例一:閃現(xiàn)Segmentation Fault為哪般
2.6 案例二:誰動了我的膠片
第3章 建立日志分析系統(tǒng)
3.1 日志采集基礎
3.2 時間同步
3.3 網(wǎng)絡設備日志分析與舉例
3.4 選擇日志管理系統(tǒng)的十大問題
3.5 利用日志管理工具更輕松
3.6 用Sawmill搭建日志平臺
3.7 使用Splunk分析日志
第二篇 日志分析實戰(zhàn)
第4章 DNS系統(tǒng)故障分析
4.1 案例三:邂逅DNS故障
4.2 DNS漏洞掃描方法
4.3 DNS Flood Detector讓DNS更安全
第5章 DoS防御分析
5.1 案例四:網(wǎng)站遭遇DoS攻擊
5.2 案例五:“太囧”防火墻
第6章 UNIX后門與溢出案例分析
6.1 如何防范rootkit攻擊
6.2 防范rootkit的工具
6.3 安裝LIDS
6.4 安裝與配置AIDE
6.5 案例六:圍堵Solaris后門
6.6 案例七:遭遇溢出攻擊
6.7 案例八:真假root賬號
6.8 案例九:為rootkit把脈
第7章 UNIX系統(tǒng)防范案例
7.1 案例十:當網(wǎng)頁遭遇篡改之后
7.2 案例十一:UNIX下捉蟲記
7.3 案例十二:泄露的裁員名單
第8章 SQL注入防護案例分析
8.1 案例十三:后臺數(shù)據(jù)庫遭遇SQL注入
8.2 案例十四:大意的程序員之SQL注入
8.3 利用OSSIM監(jiān)測SQL注入
8.4 LAMP網(wǎng)站的SQL 注入預防
8.5 通過日志檢測預防SQL注入
第9章 遠程連接安全案例
9.1 案例十五:修補SSH服務器漏洞
9.2 案例十六:無辜的“跳板”
第10章 Snort系統(tǒng)部署及應用案例
10.1 Snort安裝與使用
10.2 Snort日志分析
10.3 Snort 規(guī)則詳解
10.4 基于OSSIM平臺的WIDS系統(tǒng)
10.5 案例研究十七:IDS系統(tǒng)遭遇IP碎片攻擊
10.6 案例十八:智取不速之客
第11章 WLAN案例分析
11.1 WLAN安全漏洞與威脅
11.2 案例十九:無線網(wǎng)遭受的攻擊
11.3 案例二十:無線會場的“不速之客”
第12章 數(shù)據(jù)加密與解密案例
12.1 GPG概述
12.2 案例二十一:“神秘”的加密指紋
第三篇 網(wǎng)絡流量與日志監(jiān)控
第13章 網(wǎng)絡流量監(jiān)控
13.1 網(wǎng)絡監(jiān)聽關鍵技術
13.2 用NetFlow分析網(wǎng)絡異常流量
13.3 VMware ESXi服務器監(jiān)控
13.4 應用層數(shù)據(jù)包解碼
13.5 網(wǎng)絡嗅探器的檢測及預防
第14章 OSSIM綜合應用
14.1 OSSIM的產生
14.2 OSSIM架構與原理
14.3 部署OSSIM
14.4 OSSIM安裝后續(xù)工作
14.5 使用OSSIM系統(tǒng)
14.6 風險評估方法
14.7 OSSIM關聯(lián)分析技術
14.8 OSSIM日志管理平臺
14.9 OSSIM系統(tǒng)中的IDS應用
14.10 OSSIM流量監(jiān)控工具應用
14.11 OSSIM應用資產管理
14.12 OSSIM在蠕蟲預防中的應用
14.13 監(jiān)測shellcode
14.14 OSSIM在漏洞掃描中的應用
14.15 常見OSSIM應用問答