網(wǎng)絡入侵檢測分析員手冊

第1章 Mitnick攻擊
1.1 利用TCP
1.1.1 TCP回顧
1.1.2 SYN湮沒
1.1.3 TCP劫取
1.2 檢測Mitnick攻擊
1.3 預防Mitnick攻擊
1.4 小結(jié)
第2章 過濾器和攻擊特征介紹
2.1 過濾策略
2.1.1 拒絕一切
2.1.2 允許一切
2.2 攻擊特征
2.2.1 用來檢測攻擊特征的過濾器
2.2.2 升級特征
2.3 過濾器實例
2.3.1 Land攻擊
2.3.2 WinNuke攻擊
2.3.3 圣誕樹過濾器
2.3.4 Web服務器攻擊檢測過濾器示例
2.4 與目標過濾器相關的策略問題
2.4.1 非授權使用
2.4.2 壞雇員
2.4.3 到此為止
2.5 小結(jié)
第3章 體系結(jié)構(gòu)問題
3.1 關注的事件
3.2 觀測限制
3.3 簡易系統(tǒng)模式
3.4 人的因素對檢測的限制
3.4.1 分析員帶來的限制
3.4.2 CIRT帶來的限制
3.5 攻擊的嚴重性
3.5.1 系統(tǒng)重要性
3.5.2 攻擊的毀壞性
3.6 對策
3.7 檢測器位置
3.7.1 放在防火墻之外
3.7.2 檢測器在防火墻內(nèi)
3.7.3 防火墻內(nèi)外都有檢測器
3.7.4 檢測器的其他位置
3.8 推(Push)和拉(Pull)
3.9 分析員控制臺
3.9.1 快速控制臺
3.9.2 誤報警管理
3.9.3 顯示過濾器
3.9.4 標記分析事件
3.9.5 層層探究
3.9.6 關聯(lián)分析
3.9.7 好的報告
3.10 基于主機和基于網(wǎng)絡的入侵檢測
3.11 小結(jié)
第4章 互操作性和關聯(lián)性
4.1 多種方案協(xié)同工作
4.1.1 CIDF
4.1.2 CISL
4.2 商業(yè)入侵檢測系統(tǒng)互操作解決方案
4.2.1 OPSEC
4.2.2 CCI
4.2.3 ISS的ANSA
4.3 關聯(lián)性
4.3.1 源IP關聯(lián)
4.3.2 目標IP地址關聯(lián)
4.3.3 欺騙數(shù)據(jù)包特征關聯(lián)
4.3.4 新攻擊特征
4.3.5 時間周期
4.3.6 記錄
4.4 SQL數(shù)據(jù)庫
4.4.1 載入數(shù)據(jù)
4.4.2 數(shù)據(jù)縮減
4.4.3 查詢支持
4.4.4 交互性能
4.5 小結(jié)
第5章 基于網(wǎng)絡的入侵檢測解決方案
5.1 商業(yè)工具
5.2 運行于MS Windows上的系統(tǒng)
5.2.1 ISS的RealSecure
5.2.2 Axent的NetProwler
5.3 基于UNIX的系統(tǒng)
5.3.1 NFR (Network Flight Recorder)
5.3.2 Cisco的NetRanger
5.4 GOTS
5.4.1 EPIC2
5.4.2 網(wǎng)絡入侵檢測器(NID)
5.4.3 Shadow
5.5 評估入侵檢測系統(tǒng)
5.5.1 Mitre評測中心
5.5.2 InfowarCon
5.5.3 Lincoln實驗室的評估方法
5.5.4 ID99中的IDNet
5.5.5 供應商
5.6 小結(jié)
第6章 對攻擊的檢測
6.1 誤報警
6.1.1 沒有激勵，只有響應
6.1.2 SYN湮沒
6.1.3 Back Orifice
6.1.4 脆弱性標準
6.2 對IMAP的攻擊
6.2.1 10143源端口特征的IMAP攻擊
6.2.2 111特征的IMAP攻擊
6.3 SYN/FIN均設為1的端口攻擊
6.3.1 SYN/FIN均設為1，源端口為65535的攻擊
6.3.2 對DNS、NFS的攻擊
6.3.3 關于這種模式跟蹤記錄的其他答案
6.4 應用掃描程序攻擊
6.4.1 Mscan
6.4.2 Mscan的二代產(chǎn)品
6.4.3 Access Builder
6.5 portmap攻擊
6.5.1 Rexec
6.5.2 POP3
6.5.3 目標SGI系統(tǒng)
6.5.4 Discard
6.5.5 三端口掃描
6.5.6 一個古怪的Web掃描
6.5.7 協(xié)議類型掃描工具IP-191
6.5.8 SYN/FIN均設為1，源端口為23的掃描模式
6.6 小結(jié)
第7章 拒絕服務攻擊
7.1 檢測到的拒絕服務跟蹤記錄
7.1.1 廣播
7.1.2 病態(tài)的數(shù)據(jù)分段
7.1.3 echo和chargen
7.1.4 我們在玩Doom游戲
7.1.5 nmap 2.01版
7.2 極少出現(xiàn)的著名程序
7.2.1 land攻擊
7.2.2 Ping of Death
7.3 小結(jié)
第8章 情報收集技術
8.1 網(wǎng)絡和主機映射
8.1.1 ICMP主機掃描
8.1.2 利用UDP echo請求對主機進行掃描
8.1.3 ICMP協(xié)議廣播方式
8.1.4 基于網(wǎng)絡屏蔽的廣播方式
8.1.5 端口掃描
8.1.6 掃描特定端口
8.1.7 復雜的過程，可能的損害
8.1.8 "隨機"端口掃描
8.1.9 數(shù)據(jù)庫相關性報告
8.1.10 SNMP/ICMP
8.1.11 FTP 傳輸反射(bounce)
8.2 關于NetBIOS的特殊跟蹤記錄
8.2.1 來自Web服務器的訪問
8.2.2 Null Session
8.3 隱秘攻擊(stealth attack)
8.3.1 直接的隱秘映射技術
8.3.2 反向映射
8.4 小結(jié)
第9章 黑客技術介紹
9.1 1998年的圣誕前夜
9.1.1 占領系統(tǒng)
9.1.2 設置偵察掃描
9.1.3 開始偵察掃描
9.1.4 準備進行殺傷
9.1.5 攻擊未能奏效
9.1.6 現(xiàn)在我真的很生氣
9.2 攻擊者的交易場所
9.2.1 全面的工具集
9.2.2 培訓過程
9.2.3 無法跟蹤的交易方式
9.2.4 輔導過程
9.3 通信網(wǎng)絡
9.3.1 IRC
9.3.2 網(wǎng)頁
9.3.3 電話會議
9.3.4 聲音郵箱
9.3.5 電子函件
9.3.6 共享系統(tǒng)
9.3.7 FTP貨倉
9.4 匿名
9.5 小結(jié)
第10章 協(xié)同攻擊
10.1 協(xié)同路由跟蹤
10.2 NetBIOS欺騙
10.3 關于TCP RESET
10.3.1 內(nèi)部的SYN/ACK請求
10.3.2 RESET作為TCP 劫取的指示器
10.3.3 RealSecure 自動生成RESET
10.3.4 欺騙
10.3.5 相關問題
10.4 SFRP掃描器
10.5 基于目標的分析
10.5.1 流量數(shù)據(jù)庫的重要性
10.5.2 檢測新攻擊
10.6 小結(jié)
第11章 其他工具
11.1 eNTrax
11.1.1 按時間進行，由事件推動
11.1.2 基于網(wǎng)絡的Sensor檢測器
11.1.3 脆弱性評估
11.1.4 策略
11.1.5 基于主機的入侵檢測
11.1.6 結(jié)束行
11.2 CMDS 4.0
11.3 tripwire
11.3.1 tripwire的價值
11.3.2 調(diào)整tripwire
11.3.3 結(jié)束行
11.4 nmap
11.4.1 發(fā)現(xiàn)新的攻擊模式
11.4.2 隨機掃描的特征分析
11.4.3 2.02版nmap
11.4.4 可開發(fā)端口掃描的特征分析
11.4.5 nmap的掃描效用
11.4.6 TCP fingerprinting
11.4.7 序列號預測
11.4.8 nmap 結(jié)束語
11.5 小結(jié)
第12章 風險管理和入侵檢測
12.1 安全模型中的入侵檢測
12.1.1 安全策略
12.1.2 應當關注的行業(yè)活動
12.1.3 安全基礎結(jié)構(gòu)
12.1.4 實施首選對策
12.1.5 定期復查
12.1.6 實施事故處理
12.2 定義風險
12.3 風險
12.3.1 接受風險
12.3.2 降低風險
12.3.3 轉(zhuǎn)移風險
12.4 定義威脅
12.4.1 有多不好-威脅所帶來的沖擊
12.4.2 威脅頻率-按年度計算
12.4.3 不確定性的識別
12.5 風險管理是由美元推動的
12.6 一種風險有多危險
12.6.1 定量的風險評估
12.6.2 定性的風險評估
12.6.3 為什么它們不起作用
12.7 小結(jié)
第13章 自動和人工響應
13.1 自動響應
13.1.1 壓制調(diào)速(Throttling)
13.1.2 SYN/ACK
13.1.3 RESETs
13.2 蜜罐
13.2.1 代理系統(tǒng)
13.2.2 DTK
13.2.3 空系統(tǒng)
13.2.4 蜜罐小結(jié)
13.3 人工響應
13.3.1 遏制事態(tài)發(fā)展
13.3.2 根除問題
13.3.3 恢復
13.3.4 總結(jié)經(jīng)驗教訓
13.4 小結(jié)
第14章 入侵檢測商業(yè)應用實例
14.1 第1部分--與管理部門相關的問題
14.1.1 利益大于投入
14.1.2 開支有限
14.1.3 該技術不會影響機構(gòu)的穩(wěn)定
14.1.4 更大戰(zhàn)略中的一部分
14.2 第2部分--威脅和脆弱性
14.2.1 威脅評估和分析
14.2.2 財產(chǎn)識別
14.2.3 定價
14.2.4 脆弱性分析
14.2.5 風險評價
14.3 第3部分--權衡和推薦的解決方案
14.3.1 定義信息保障風險管理體系結(jié)構(gòu)
14.3.2 確定該體系結(jié)構(gòu)中已經(jīng)就位的部分
14.3.3 確定你的提案
14.3.4 確定備選對策
14.3.5 開支與收益分析
14.3.6 項目進度
14.3.7 后續(xù)步驟
14.4 小結(jié)
第15章 將來的發(fā)展方向
15.1 增加的威脅
15.1.1 改進的工具
15.1.2 改進的目標尋找技術
15.1.3 機動代碼
15.1.4 陷門
15.2 計算機恐怖主義和2000年問題
15.3 受到信任的內(nèi)部人員
15.4 改進的響應方式
15.5 再談防病毒產(chǎn)業(yè)
15.6 基于硬件的入侵檢測
15.6.1 Toasters
15.6.2 交換網(wǎng)絡的入侵檢測
15.7 縱深防御
15.8 基于程序的入侵檢測
15.9 第63號總統(tǒng)決議和指示(PDD63)
15.10 聰明的審計人員
15.11 小結(jié)