網絡入侵檢測分析員手冊

第1章 Mitnick攻擊
1.1 利用TCP
1.1.1 TCP回顧
1.1.2 SYN湮沒
1.1.3 TCP劫取
1.2 檢測Mitnick攻擊
1.3 預防Mitnick攻擊
1.4 小結
第2章 過濾器和攻擊特征介紹
2.1 過濾策略
2.1.1 拒絕一切
2.1.2 允許一切
2.2 攻擊特征
2.2.1 用來檢測攻擊特征的過濾器
2.2.2 升級特征
2.3 過濾器實例
2.3.1 Land攻擊
2.3.2 WinNuke攻擊
2.3.3 圣誕樹過濾器
2.3.4 Web服務器攻擊檢測過濾器示例
2.4 與目標過濾器相關的策略問題
2.4.1 非授權使用
2.4.2 壞雇員
2.4.3 到此為止
2.5 小結
第3章 體系結構問題
3.1 關注的事件
3.2 觀測限制
3.3 簡易系統模式
3.4 人的因素對檢測的限制
3.4.1 分析員帶來的限制
3.4.2 CIRT帶來的限制
3.5 攻擊的嚴重性
3.5.1 系統重要性
3.5.2 攻擊的毀壞性
3.6 對策
3.7 檢測器位置
3.7.1 放在防火墻之外
3.7.2 檢測器在防火墻內
3.7.3 防火墻內外都有檢測器
3.7.4 檢測器的其他位置
3.8 推(Push)和拉(Pull)
3.9 分析員控制臺
3.9.1 快速控制臺
3.9.2 誤報警管理
3.9.3 顯示過濾器
3.9.4 標記分析事件
3.9.5 層層探究
3.9.6 關聯分析
3.9.7 好的報告
3.10 基于主機和基于網絡的入侵檢測
3.11 小結
第4章 互操作性和關聯性
4.1 多種方案協同工作
4.1.1 CIDF
4.1.2 CISL
4.2 商業(yè)入侵檢測系統互操作解決方案
4.2.1 OPSEC
4.2.2 CCI
4.2.3 ISS的ANSA
4.3 關聯性
4.3.1 源IP關聯
4.3.2 目標IP地址關聯
4.3.3 欺騙數據包特征關聯
4.3.4 新攻擊特征
4.3.5 時間周期
4.3.6 記錄
4.4 SQL數據庫
4.4.1 載入數據
4.4.2 數據縮減
4.4.3 查詢支持
4.4.4 交互性能
4.5 小結
第5章 基于網絡的入侵檢測解決方案
5.1 商業(yè)工具
5.2 運行于MS Windows上的系統
5.2.1 ISS的RealSecure
5.2.2 Axent的NetProwler
5.3 基于UNIX的系統
5.3.1 NFR (Network Flight Recorder)
5.3.2 Cisco的NetRanger
5.4 GOTS
5.4.1 EPIC2
5.4.2 網絡入侵檢測器(NID)
5.4.3 Shadow
5.5 評估入侵檢測系統
5.5.1 Mitre評測中心
5.5.2 InfowarCon
5.5.3 Lincoln實驗室的評估方法
5.5.4 ID99中的IDNet
5.5.5 供應商
5.6 小結
第6章 對攻擊的檢測
6.1 誤報警
6.1.1 沒有激勵，只有響應
6.1.2 SYN湮沒
6.1.3 Back Orifice
6.1.4 脆弱性標準
6.2 對IMAP的攻擊
6.2.1 10143源端口特征的IMAP攻擊
6.2.2 111特征的IMAP攻擊
6.3 SYN/FIN均設為1的端口攻擊
6.3.1 SYN/FIN均設為1，源端口為65535的攻擊
6.3.2 對DNS、NFS的攻擊
6.3.3 關于這種模式跟蹤記錄的其他答案
6.4 應用掃描程序攻擊
6.4.1 Mscan
6.4.2 Mscan的二代產品
6.4.3 Access Builder
6.5 portmap攻擊
6.5.1 Rexec
6.5.2 POP3
6.5.3 目標SGI系統
6.5.4 Discard
6.5.5 三端口掃描
6.5.6 一個古怪的Web掃描
6.5.7 協議類型掃描工具IP-191
6.5.8 SYN/FIN均設為1，源端口為23的掃描模式
6.6 小結
第7章 拒絕服務攻擊
7.1 檢測到的拒絕服務跟蹤記錄
7.1.1 廣播
7.1.2 病態(tài)的數據分段
7.1.3 echo和chargen
7.1.4 我們在玩Doom游戲
7.1.5 nmap 2.01版
7.2 極少出現的著名程序
7.2.1 land攻擊
7.2.2 Ping of Death
7.3 小結
第8章 情報收集技術
8.1 網絡和主機映射
8.1.1 ICMP主機掃描
8.1.2 利用UDP echo請求對主機進行掃描
8.1.3 ICMP協議廣播方式
8.1.4 基于網絡屏蔽的廣播方式
8.1.5 端口掃描
8.1.6 掃描特定端口
8.1.7 復雜的過程，可能的損害
8.1.8 "隨機"端口掃描
8.1.9 數據庫相關性報告
8.1.10 SNMP/ICMP
8.1.11 FTP 傳輸反射(bounce)
8.2 關于NetBIOS的特殊跟蹤記錄
8.2.1 來自Web服務器的訪問
8.2.2 Null Session
8.3 隱秘攻擊(stealth attack)
8.3.1 直接的隱秘映射技術
8.3.2 反向映射
8.4 小結
第9章 黑客技術介紹
9.1 1998年的圣誕前夜
9.1.1 占領系統
9.1.2 設置偵察掃描
9.1.3 開始偵察掃描
9.1.4 準備進行殺傷
9.1.5 攻擊未能奏效
9.1.6 現在我真的很生氣
9.2 攻擊者的交易場所
9.2.1 全面的工具集
9.2.2 培訓過程
9.2.3 無法跟蹤的交易方式
9.2.4 輔導過程
9.3 通信網絡
9.3.1 IRC
9.3.2 網頁
9.3.3 電話會議
9.3.4 聲音郵箱
9.3.5 電子函件
9.3.6 共享系統
9.3.7 FTP貨倉
9.4 匿名
9.5 小結
第10章 協同攻擊
10.1 協同路由跟蹤
10.2 NetBIOS欺騙
10.3 關于TCP RESET
10.3.1 內部的SYN/ACK請求
10.3.2 RESET作為TCP 劫取的指示器
10.3.3 RealSecure 自動生成RESET
10.3.4 欺騙
10.3.5 相關問題
10.4 SFRP掃描器
10.5 基于目標的分析
10.5.1 流量數據庫的重要性
10.5.2 檢測新攻擊
10.6 小結
第11章 其他工具
11.1 eNTrax
11.1.1 按時間進行，由事件推動
11.1.2 基于網絡的Sensor檢測器
11.1.3 脆弱性評估
11.1.4 策略
11.1.5 基于主機的入侵檢測
11.1.6 結束行
11.2 CMDS 4.0
11.3 tripwire
11.3.1 tripwire的價值
11.3.2 調整tripwire
11.3.3 結束行
11.4 nmap
11.4.1 發(fā)現新的攻擊模式
11.4.2 隨機掃描的特征分析
11.4.3 2.02版nmap
11.4.4 可開發(fā)端口掃描的特征分析
11.4.5 nmap的掃描效用
11.4.6 TCP fingerprinting
11.4.7 序列號預測
11.4.8 nmap 結束語
11.5 小結
第12章 風險管理和入侵檢測
12.1 安全模型中的入侵檢測
12.1.1 安全策略
12.1.2 應當關注的行業(yè)活動
12.1.3 安全基礎結構
12.1.4 實施首選對策
12.1.5 定期復查
12.1.6 實施事故處理
12.2 定義風險
12.3 風險
12.3.1 接受風險
12.3.2 降低風險
12.3.3 轉移風險
12.4 定義威脅
12.4.1 有多不好-威脅所帶來的沖擊
12.4.2 威脅頻率-按年度計算
12.4.3 不確定性的識別
12.5 風險管理是由美元推動的
12.6 一種風險有多危險
12.6.1 定量的風險評估
12.6.2 定性的風險評估
12.6.3 為什么它們不起作用
12.7 小結
第13章 自動和人工響應
13.1 自動響應
13.1.1 壓制調速(Throttling)
13.1.2 SYN/ACK
13.1.3 RESETs
13.2 蜜罐
13.2.1 代理系統
13.2.2 DTK
13.2.3 空系統
13.2.4 蜜罐小結
13.3 人工響應
13.3.1 遏制事態(tài)發(fā)展
13.3.2 根除問題
13.3.3 恢復
13.3.4 總結經驗教訓
13.4 小結
第14章 入侵檢測商業(yè)應用實例
14.1 第1部分--與管理部門相關的問題
14.1.1 利益大于投入
14.1.2 開支有限
14.1.3 該技術不會影響機構的穩(wěn)定
14.1.4 更大戰(zhàn)略中的一部分
14.2 第2部分--威脅和脆弱性
14.2.1 威脅評估和分析
14.2.2 財產識別
14.2.3 定價
14.2.4 脆弱性分析
14.2.5 風險評價
14.3 第3部分--權衡和推薦的解決方案
14.3.1 定義信息保障風險管理體系結構
14.3.2 確定該體系結構中已經就位的部分
14.3.3 確定你的提案
14.3.4 確定備選對策
14.3.5 開支與收益分析
14.3.6 項目進度
14.3.7 后續(xù)步驟
14.4 小結
第15章 將來的發(fā)展方向
15.1 增加的威脅
15.1.1 改進的工具
15.1.2 改進的目標尋找技術
15.1.3 機動代碼
15.1.4 陷門
15.2 計算機恐怖主義和2000年問題
15.3 受到信任的內部人員
15.4 改進的響應方式
15.5 再談防病毒產業(yè)
15.6 基于硬件的入侵檢測
15.6.1 Toasters
15.6.2 交換網絡的入侵檢測
15.7 縱深防御
15.8 基于程序的入侵檢測
15.9 第63號總統決議和指示(PDD63)
15.10 聰明的審計人員
15.11 小結