书籍详情

Snort 2.0入侵检测

Snort 2.0入侵检测

作者:(美)卡斯维尔 等著,宋劲松 等译;宋劲松译

出版社:Syngress Publishing

出版时间:2004-01-01

ISBN:9787118033052

定价:¥56.00

购买这本书可以去
内容简介
  Snort的创始人MartyRoesch把Snort定位为轻量级的入侵检测系统。其实,这个定位是不妥当的。无论对小的家庭用户还是繁忙的公司网络,Snort都有能力实时分析和记录IP数据包,其基于规则的检测引擎能够检测多种变种攻击,包括CGI扫描,缓存区溢出攻击,SMB探测等。还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。Snort能运行在众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模式,Snort成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。从本质上说,Snort是网络数据包嗅探器。只要运行Snort时不加载规则,就可以把网络中的数据包显示出来。但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中的所有数据包作充分的分析,决定如何处理任何特殊的数据包。Snort可以选择的方式有忽略、记录或告警管理员。Snort有很多种记录或告警的方法,例如,syslog、写入文件、写入XML格式文件、发送WinPopup消息等。当有了新的攻击手段时,只要简单加入新的规则就可以升级Snort。尽管Snort设计得很简洁,但它并不是一个能够即安即用的方案。要想把Snort用好,用户必须对Snort的原理非常熟悉。本书的作者将花很多篇幅教读者如何使用Snort,从基础的安装到高级的规则配置,覆盖了使用Snort的方方面面,包括基本安装、预处理插件配置、系统优化等。在这些方面作者提供了珍贵的和有价值的经验,并用简单易懂的语言描述出来。这是目前惟一如此深入地描述如何安装、配置和使用Snort的文档。Snort没有打算做所有的事情,没有打算和商业入侵检测软件作全面竞争。但是在分析和定位恶意的网络流量时,Snort会做得更好。秘诀就是Snort能让使用者完全定制自己的规则。定制规则的前提是使用者有关于Snort规则的相关知识。第五章剖析了Snort规则的构成,指导读者如何完成一个高效和精确的规则,并详细介绍了每个变量,选项和可能用到的动作。
作者简介
  BrianCaswell本书技术编辑,是Snort的团队中倍受尊敬的人物。他是Snort.org站点的管理者,是Snort系统规则的首席维护人。无论在小企业或大企业的用户环境下,他对Snort的部署和配置都有非常丰富的经验,并在2002年和2003年的CanSecWest年会上就此问题做了多次专题演讲。Brian还是Source-fire的成员,Sourcefire由Snort的开发团队创办,基于SnortIDS提供世界领先的和最灵活的入侵管理方案。2002年,Sourcefire被《信息安全杂志》评为IT安全市场最有影响的厂商之一。
目录
第一章入侵检测系统
1.1什么是入侵检测
1.1.1NIDS
1.1.2HIDS
1.1.3DIDS
1.2攻击三部曲
1.2.1目录回溯漏洞
1.2.2红色代码蠕虫
1.2.3尼姆达蠕虫
1.2.4什么是入侵
1.2.5用Snort发现入侵
1.3为什么IDS如此重要
1.3.1为什么会受到攻击
1.3.2IDS布置在什么位置合适
1.3.3防火墙能否替代IDS
1.3.4还有哪些常见的攻击类型
1.4IDS还能做什么
1.4.1监视数据库应用
1.4.2监视DNS应用
1.4.3保护邮件服务器
1.4.4利用IDS监视公司的安全政策
小结
本章快速回顾
FAQ第二章Snort2.0介绍
2.1什么是Snort
2.2Snort系统需求
2.2.1硬件
2.3Snort的特性
2.3.1数据包嗅探器
2.3.2预处理器
2.3.3检测引擎模块
2.3.4报警/日志模块
2.4在网络中部署Snort
2.4.1Snort的用途
2.4.2Snort和网络体系结构
2.4.3运行Snort时的弱点
2.5Snort的安全考虑
2.5.1Snort易受攻击
2.5.2加固我们的Snort系统
小结
本章快速回顾
FAQ
第三章安装Snort
3.1关于Linux发布版本的简要介绍
3.1.1Debian
3.1.2Slackware
3.1.3Gentoo
3.2安装PCAP
3.2.1使用源码包安装libpcap
3.2.2用RPM包安装libpcap
3.3安装Snort
3.3.1从源代码安装Snort
3.3.2定制安装:编辑snort.conf文件
3.3.3从RPM安装Snort
3.3.4在MSWindows平台上的安装
3.3.5安装Bleeding-Edge版本的Snort
小结
本章快速回顾
FAQ
第四章Snort的内部工作
4.1Snort的主要部件
4.1.1捕获网络流量
4.1.2抓包
4.2包解码
4.3数据包处理
4.3.1预处理器
4.4规则解析和检测引擎
4.4.1规则建立
4.4.2检测插件
4.5输出与日志
4.5.1将Snort用作快速嗅探器
4.5.2入侵检测模式
4.5.3将Snort用作honeypot捕获器和分析器
4.5.4记录至数据库
4.5.5使用SNMP方式报警
4.5.6以Barnyard和Unified格式输出
小结
本章快速回顾
FAQ
第五章规则的运行
5.1理解配置文件
5.1.1定义和使用变量
5.1.2配置项的灵活应用
5.1.3包含规则文件
5.2规则头
5.2.1规则动作选项
5.2.2可支持的协议
5.2.3指派源和目的IP地址
5.2.4指派源和目的端口
5.2.5理解方向操作符
5.2.6Activate和Dynamic规则特性
5.3规则体
5.3.1规则Content选项
5.3.2IP选项集合
5.3.3TCP选项集合
5.3.4ICMP选项集合
5.3.5规则识别选项集合
5.3.6其他规则选项
5.4"好"规则的构成
5.4.1规则动作
5.4.2定义恰当的Content
5.4.3合并子网掩码
5.5测试规则
5.5.1压力测试
5.5.2独立规则测试
5.5.3测试BPF规则
5.6调整规则
5.6.1配置规则变量
5.6.2取消规则
5.6.3BPF
小结
本章快速回顾
FAQ
第六章预处理器
6.1什么是预处理器
6.2包重组的预处理器选项
6.2.1stream4预处理器
6.2.2frag2--分片重组和攻击检测
6.3协议解码和规范化的预处理器选项
6.3.1Telnet协商
6.3.2HTTP规范化
6.3.3rpc_decode
6.4非规则和异常检测预处理器选项
6.4.1端口扫描
6.4.2BackOrifice
6.4.3非规则检测
6.5实验阶段的预处理器
6.5.1arpspoof
6.5.2asnl_decode
6.5.3fnord
6.5.4portscan2和conversation预处理器
6.5.5perfmonitor
6.6书写自己的预处理器
6.6.1包重组
6.6.2解码协议
6.6.3非规则的或基于异常的检测
6.6.4建立自己的预处理器
6.6.5Snort给了我什么
6.6.6在Snort内加入预处理器
小结
本章快速回顾
FAQ
第七章Snort输出插件的实现
7.1什么是输出插件
7.2输出插件选项
7.2.1缺省的日志方式
7.2.2Syslog
7.2.3PCAP日志
7.2.4Snortdb
7.2.5unified日志
7.3编写输出插件
7.3.1为什么编写输出插件
7.3.2建立定制的输出插件
7.3.3Snort的输出处理
小结
本章快速回顾
FAQ
第八章数据分析工具的使用
8.1使用Swatch
8.1.1安装Swatch
8.1.2配置Swatch
8.1.3使用Swatch
8.2使用ACID
8.2.1安装ACID
8.2.2配置ACID
8.2.3ACID的使用
8.3使用SnortSnarf
8.3.1安装SnortSnarf
8.3.2配置Snort使其和SnortSnarf一起工作
8.3.3SnortSnarf的基本用途
8.4使用IDScenter
8.4.1安装IDScenter
8.4.2配置IDScenter
8.4.3IDScenter基本用法
小结
本章快速回顾
FAQ
第九章Snort的升级
9.1打补丁
9.2升级规则
9.2.1规则如何维护
9.2.2如何获得规则的更新
9.2.3如何合并规则
9.3测试规则更新
9.4关注规则更新
小结
本章快速回顾
FAQ
第十章Snort的优化
10.1如何选择硬件
10.1.1什么构成了"好"硬件
10.1.2如何测试硬件
10.2如何选择操作系统
10.2.1对于NIDS来说什么是"好"操作系统
10.2.2应该使用何种操作系统
10.2.3如何测试所选择的操作系统
10.3加速Snort安装
10.3.1决定使用哪些规则
10.3.2配置预处理器以提高速度
10.3.3使用通用变量
10.3.4选择输出插件
10.4配置的基准测试
10.4.1基准测试的特征
10.4.2哪些工具可用于基准测试
小结
本章快速回顾
FAQ
第十一章Barnyard插件
11.1Barnyard是什么
11.2Barnyard的准备与安装
11.3Barnyard的工作方式
11.3.1使用Barnyard配置文件
11.3.2深入Barnyard
11.3.3创建并显示二进制日志输出文件
11.4Barnyard输出选项
11.5如何设置个性化输出
11.5.1输出插件的例子
小结
本章快速回顾
FAQ
第十二章深入Snort
12.1基于策略的IDS
12.1.1定义IDS的网络策略
12.1.2基于策略IDS的例子
12.1.3制作基于策略的IDS
12.2内嵌式IDS
12.2.1基于Snort的内嵌式IDS
12.2.2安装Snort为内嵌模式
12.2.3使用内嵌式IDS保护网络
小结
本章快速回顾
FAQ
附录

猜您喜欢

读书导航