本文共 8148 字,大约阅读时间需要 27 分钟。
2014年11月 《Unix/Linux网络日志分析与流量监控》重磅新书出版
近日,历时3年创作的75万字书稿已完成,本书目前正在出版社清样阶段即将出版发行。本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从系统的原始日志(RawLog)采集与分析讲起,逐步深入到日志审计与取证环节,在本书提供多个案例,每个案例都以一种生动的记事手法讲述了网络遭到***之后,管理人员开展系统取证和恢复的过程,采用带有故事情节的案例分析手法,使读者身临其境的检验自己的应急响应和计算机取证能力。本书以运维工程师的视角,通过各种日志,脚本程序等信息来处理各种系统和网络故障,重在给读者传递一种解决问题的思路和方法,并展示一些开源安全工具的使用和部署,向广大IT从业者传递了一种积极向上的正能量。
本书特色
本书以Unix/Linux为主要平台,以开源软件为主要分析工具,企业网安全运维为大背景,其所选取案例覆盖了如今网络应用中典型的***类型,例如DDOS、恶意代码、Web应用***、无线网***及SQL注入***等内容,每个故事首先描述了一起安全事件的所有证据和取证信息(包括日志文件、拓扑图和设备配置文件)提出了一些问题引导读者自己分析***的原因,最后深入案例分析,用详细的证据来透彻解释***过程的来龙去脉,在每个案例最后提出了正对这类情况的防范手段和补救措施。本书最大亮点就是告诉大家如何使用Ossim开源系统来解决深入挖掘网络安全问题。
本书用精选了二十多个完整案例(星级越高难度越大)分析为广大读者分享的都是实实在在的干货,它对于提高网络维护水平和事件分析能力有着很大的参考价值,如果你关注网络安全,那么书中的案例一定会引起你的共鸣。本书适合有一定经验的网络工程师、系统管理员和信息安全人员参考。此前,已出版的畅销书《Linux企业应用案例精解》、《Linux企业应用案例精解第2版》,企业案例分析将加入不少虚拟化以及云计算实战第三版也在修订中,这些都是就是日志案例分析的姊妹篇,这本书中对企业最关心的Unix/Linux系统及网络全问题进行了更为深层次、多角度的阐释,本书分享了作者10年来运维Unix/Linux系统的苦与乐,全书三层次章节如下:第一篇日志分析基础
第1章网络日志获取与分析131.1网络环境日志分类141.1.1UNIX/Linux系统日志141.1.2Windows日志151.2.3Windows系统日志161.1.4网络设备日志161.1.5应用系统的日志171.2Web日志分析171.2.1访问日志记录过程171.2.2Apache访问日志作用181.2.3访问日志的位置181.2.4访问日志格式分析181.2.5HTTP返回状态代码191.2.6记录Apache虚拟机日志191.2.7Web日志统计举例201.2.6Apache错误日志分析211.2.7日志轮询231.2.8清空日志的技巧241.2.9其他Linux平台Apache日志位置251.2.10Nginx日志251.2.11Tomcat日志251.2.12常用Apache日志分析工具261.3FTP服务器日志解析271.3.1分析vsftpd.log和xferlog281.3.2中文对Vsftp日志的影响291.3.2用Logparser分析FTP日志301.4用LogParser分析Windows系统日志321.4.1LogParser概述321.4.2LogParser结构321.4.3安装LogParser331.4.4LogParser应用案例331.4.5图形化分析输出361.5Squid服务日志分析371.5.1Squid日志分类371.5.2典型Squid访问日志分析371.5.3Squid时间戳转换381.5.4Squid日志位置:391.5.5图形化日志分析工具401.5.6其他UNIX/Linux平台的Squid位置401.6NFS服务日志分析411.6.1Linux下的NFS日志411.6.2Solaris下NFS服务器日志411.7IPtables日志分析441.7.1对LOG日志格式的问题:451.8Samba日志审计471.8.1Samba默认提供的日志481.8.2Samba审计491.9DNS日志分析501.9.1DNS日志的位置501.9.2DNS日志的级别501.9.3DNS查询请求日志实例解释501.9.4DNS分析工具-DNStop511.10DHCP服务器日志521.11邮件服务器日志531.11.1Sendmail531.11.2Postfix541.12Linux下双机系统日志541.12.1Heartbeat的日志541.12.2备用节点上的日志信息551.12.3日志分割561.13其他UNIX系统日志分析GUI工具561.13.1用SMC分析系统日志561.13.2MacOSX的GUI日志查询工具571.14死机日志汇总分析1.15可视化日志分析工具581.15.1.彩色日志工具:CCZE591.15.2动态日志查看工具:Logstalgia591.15.3三维日志显示工具:Gource601.15.4用AWStats监控网站流量61第2章UNIX/Linux系统取证652.1常见IP追踪方法652.1.1IP追踪工具和技术652.1.2DoS/DDoS***源追踪思路672.2重要信息收集692.2.1收集正在运行的进程692.2.2收集/proc系统中的信息722.2.3UNIX文件存储与删除732.2.4硬盘证据的收集方法732.2.5从映像的文件系统上收集证据752.2.6用Ddrescue恢复数据772.2.7查看详细信息782.2.8收集隐藏目录和文件782.2.9检查可执行文件802.3常用搜索工具802.3.1特殊文件处理802.3.2TheCoroner’sToolkit(TCT工具箱)812.3.3Forensix工具集812.4集成取证工具箱介绍822.4.1用光盘系统取证822.4.2屏幕录制取证方法832.5案例研究一:闪现SegmentationFault为哪般?83难度系数:★★★83事件背景84互动问答87疑难解析87预防措施:892.6案例研究二:谁动了我的胶片90难度系数:★★★★★90事件背景90取证分析92互动问答94疑点分析95疑难解析96预防措施99第3章建立日志分析系统1003.1日志采集基础1003.1.1SYSLOG协议1003.1.2Syslog日志记录的事件1023.1.3Syslog.conf配置文件详解1033.1.4Syslog操作1053.1.5Syslog的安全漏洞1053.1.6Rsyslog1063.1.7Syslog-ng1073.2时间同步1073.2.1基本概念1073.2.2识别日志中伪造的时间信息1083.2.3同步方法1083.3网络设备日志分析与举例1083.3.1路由器日志分析1093.3.2交换机日志分析1103.3.3防火墙日志分析1103.3.4通过日志发现ARP病毒1123.4选择日志管理系统的十大问题1163.5利用日志管理工具更轻松1203.5.1日志主机系统的部署1203.5.2日志分析与监控1223.5.3利用EventlogAnalyzer分析网络日志1223.5.4.分析防火墙日志1253.6用Sawmill搭建日志平台1263.6.1系统简介1263.6.2部署注意事项:1273.6.3安装举例:1273.6.4监测网络***1293.7使用Splunk分析日志1303.7.1Splunk简介1303.7.2Splunk安装:1313.7.3设置自动运行1313.7.4系统配置1323.7.5设置日志分析目录133 第二篇日志实战案例分析
第4章DNS系统故障分析140
4.1案例研究三:邂逅DNS故障140难度系数:★★★★140事件背景140互动问答143取证分析144问题解答146预防措施1474.2DNS漏洞扫描方法1484.2.1DNS扫描的关键技术1494.2.2检查工具:1494.3DNSFloodDetector让DNS更安全1504.3.1Linux下DNS面临的威胁1514.3.2BIND漏洞1514.3.3DNS管理1524.3.4应对DNSFlood***1524.3.5DNSFloodDetector保安全153第5章DOS***防御分析1555.1案例研究四:网站遭遇DOS***155难度系数:★★★155事件背景155针对措施159疑难解答161案例总结1625.2案例研究五:“太囧”防火墙164难度系数:★★★★164事件背景164互动问答166调查分析166答疑解惑168第6章UNIX后门与溢出案例分析1686.1如何防范RootKit***1696.1.1认识RootKit1696.1.2RootKit的类型1696.2防范RootKit的工具1716.2.1使用chkrootkit工具1716.2.2RootKitHunt工具1736.3安装LIDS1736.3.1LIDS的主要功能1736.3.2配置LIDS1746.3.3使用Lidsadm工具1756.3.4使用LIDS来保护系统1776.4安装与配置AIDE1786.4.1Solaris安装AIDE1786.4.2用Aide加固Ossim平台1796.4.3Tripwire1816.5Nabou安装与配置1826.5.1Nabou的功能及原理1826.5.2创建一对RSA密钥1826.5.3初始化数据库1836.5.4启用LIDS1836.5.5Nabou的数据库维护1836.5.6Nabou的应用实例1856.5.7Nabou的适用场合1866.6案例研究六:Solaris异常后门187难度系数:★★★★★187***背景187预防措施1936.7案例研究七:遭遇溢出***195难度系数:★★★★★195事件背景195分析日志195案例解码200预防措施2026.8案例研究八:真假Root账号203难度系数:★★★★203事件背景203取证分析206互动问答:207问题解答:208预防措施2096.9案例研究九:为RootKit把脉209难度系数:★★★★★209事件背景209互动问答214事件分析:214预防措施216第7章UNIX系统防范案例2177.1案例研究十:当网页遭遇篡改之后217难度系数:★★★★217事件背景218互动问答219***事件剖析219疑难解答221防护措施222Web漏洞扫描工具——Nikto2237.2案例十一UNIX下捉虫记225难度系数:★★★★★225事件背景225取证分析226互动问答228***解析229预防措施2337.3案例研究十二:泄露的裁员名单234难度系数:★★★★234事件背景234取证分析235互动问答236答疑解惑237预防措施238第8章SQL注入防护案例分析2398.1案例十三:后台数据库遭遇SQL注入239难度系数:★★★★239案例背景:239分析过程242预防与补救措施2448.2案例研究十四:大意的程序员之-SQL注入244难度系数:★★★★244事件背景244互动问答246分析取证246答疑解惑247预防措施2518.3利用OSSIM监测SQL注入2518.3.2用Ossim检测SQl注入252Ossim系统中的Snort规则2548.4LAMP网站的SQL注入预防2558.4.1服务器端的安全配置2558.4.2PHP代码的安全配置2558.4.3PHP代码的安全编写2568.5通过日志检测预防SQL注入2568.5.1通过WEB访问日志发现SQL***2578.5.2用VisualLogParser分析日志257第9章远程连接安全案例2599.1案例十五:修补SSH服务器259难度系数:★★★259事件背景259加固SSH服务器262通过Ossim实现SSH登录失败告警功能265预防措施2679.2案例研究十六:无辜的“跳板”268事件背景268预防措施272第10章Snort系统部署及应用案例27310.1Snort系统原理27310.2Snort安装与维护27310.1.1准备工作27310.1.2深入了解Snort27410.1.3安装Snort程序27610.1.4维护Snort27810.1.5Snort的不足28010.2Snort日志分析28010.2.1基于文本的格式28110.2.2典型***日志信息28210.2.2Snort探针部署28210.2.3日志分析工具28310.3Snort规则分析28310.3.1Snort规则28310.3.2编写SNORT规则28410.4基于Ossim平台的WIDS系统28710.4.1安装无线网卡28810.4.2设置Ossim无线传感器29010.5案例研究十七:IDS系统遭遇IP碎片***293难度系数:★★★★293事件背景293疑难问题301互动问答:30110.5.1防范与处理思路30110.5.2nort+Iptables联动30210.5.3IP碎片***的预防30310.5.4评估NIDS工具30310.5.5IDS系统与网络嗅探器的区别30410.6案例十八:智取不速之客305难度系数:★★★★305事件背景305互动问答307取证分析307疑难解答310预防措施311第11章WLAN案例分析31111.1WLAN安全漏洞与威胁31211.2案例研究十九:无线网遭受的***313难度系数:★★★★313事件背景313互动问答315疑点解析317预防措施31811.2.2有关WIFI上网日志的收集31811.2.3用开源NAC阻止非法网络访问31811.2.4企业中BYOD的隐患32011.3案例研究二十:无线会场的“不速之客”321难度系数:★★★★321事件背景:321取证分析324第12章数据加密与解密案例32712.1GPG概述32712.1.1创建密钥32712.1.2导入密钥32812.1.3加密和解密32812.1.4签订和验证32912.2案例研究二十一:“神秘”的加密指纹330难度系数:★★★330事件背景330疑难问题333案情解码333分析***过程337答疑解惑337预防措施338 第三篇网络流量与日志监控第13章网络流量监控33813.1网络监听关键技术339
13.1.1网络监听33913.1.2SNMP协议的不足33913.1.3监听关键技术33913.1.4NetFlow与sFlow的区别34013.1.5协议和应用识别34013.1.6网络数据流采集技术34013.1.7SPAN的局限性34113.2用Netflow分析网络异常流量34113.2.1Netflow的Cache管理34213.2.2NetFlow的输出格式34213.2.3NetFlow的抽样机制34213.2.4NetFlow的性能影响34313.2.5NetFlow在蠕虫病毒监测上的应用34313.3VMwareESXi服务器监控34713.4应层数据包解码35113.4.1概述35113.4.2系统架构35113.4.3Xplico的数据获取方法35213.4.4Xplico部署35213.4.5应用Xplico35313.5.网络嗅探器的检测及预防35813.5.1嗅探器的检测35813.5.2网络嗅探的预防359第14章OSSIM综合应用36014.1OSSIM的产生36014.1.1概况36014.1.2从SIM到OSSIM36114.1.3安全信息和事件管理(SIEM)36214.2Ossim架构与原理36314.2.1Ossim架构36314.2.2Agent事件类型36814.2.3RRD绘图引擎37014.2.4OSSIM工作流程分析37114.3部署OSSIM37114.3.1准备工作:37114.3.2Ossim服务器的选择37314.3.3分布式Ossim系统探针布局37414.3.4Ossim系统安装步骤:37414.4Ossim安装后续工作37914.4.1时间同步问题37914.4.2系统升级38014.4.3防火墙设置38114.4.4访问数据库38114.4.5同步Openvas插件38414.4.6安装远程管理工具38514.4.7安装X-window38614.5使用Ossim系统38714.5.1熟悉主界面38714.5.2SIEM事件控制台38914.6风险评估方法392Ossim系统风险度量方法39314.7Ossim关联分析技术39414.7.1关联分析39414.7.2Ossim的通用关联检测规则39514.8OSSIM日志管理平台39814.8.1Ossim日志处理流程39814.8.2Snare39814.8.3通过WMI收集Windows日志39914.8.4配置Ossim39914.8.5Snare与WMI的区别40114.9应用Ossim系统的IDS40114.9.1HIDS/NIDS40114.9.2OSSECHIDSAgent安装40214.10Ossim流量监控工具应用41314.10.1流量过滤41314.10.3流量分析41514.10.4网络天气图41714.10.5设置Netflow41814.10.6Nagios监视41914.10.7与第三方监控软件集成42114.11检测Shellcode***14.12Ossim应用资产管理42214.12.1OCSInventoryNG架构42214.12.2OCS使用42314.13Ossim在蠕虫预防中的应用42314.14监测Shellcode42614.15漏洞扫描应用42714.15.1漏洞评估方法42714.15.2漏洞库详解42814.16采用Openvas扫描42914.16.1分布式漏洞扫描43014.17Metasploit的***测试43214.17.1Metasploit+Nessus联动分析43414.18常见Ossim部署与应用问答437附录附件A分布式蜜罐系统部署460
附件B监控软件对比464附录C全文索引466
在图书创作的1000多个日日夜夜里,每天除了上班,回到家就开始写作。回忆着过去的经历,整理着曾近记录的笔记,然后开始创作,每当深夜是我创作灵感写作效率最高的时段,那时没人打搅你,你可以全身心的投入。其写作的艰辛恐怕只有经历过的才能体会到吧,希望通过这本书的安全日志分析能给从事安全运维的人员以启迪。
转载地址:http://cfbxl.baihongyu.com/