Snort 2.0入侵檢測

定　價：￥56.00

作　者：	（美）卡斯維爾等著，宋勁松等譯；宋勁松譯
出版社：	Syngress Publishing
叢編項：
標　簽：	暫缺

購買這本書可以去

ISBN：	9787118033052	出版時間：	2004-01-01	包裝：	膠版紙
開本：	小16開	頁數(shù)：	395	字數(shù)：

內(nèi)容簡介

　　Snort的創(chuàng)始人MartyRoesch把Snort定位為輕量級的入侵檢測系統(tǒng)。其實，這個定位是不妥當?shù)摹o論對小的家庭用戶還是繁忙的公司網(wǎng)絡，Snort都有能力實時分析和記錄IP數(shù)據(jù)包，其基于規(guī)則的檢測引擎能夠檢測多種變種攻擊，包括CGI掃描，緩存區(qū)溢出攻擊，SMB探測等。還能為確定網(wǎng)絡中一些莫名其妙的服務都是做什么的提供幫助。Snort能運行在眾多的硬件平臺和操作系統(tǒng)上。因為其可擴展的體系結(jié)構(gòu)和開放源碼的發(fā)布模式，Snort成為入侵檢測軟件中非常流行的選擇。經(jīng)常有已經(jīng)花費了數(shù)千美元購買入侵檢測系統(tǒng)的管理員還使用Snort來填補網(wǎng)絡中的一些缺口。從本質(zhì)上說，Snort是網(wǎng)絡數(shù)據(jù)包嗅探器。只要運行Snort時不加載規(guī)則，就可以把網(wǎng)絡中的數(shù)據(jù)包顯示出來。但是Snort的真正價值在于把數(shù)據(jù)包經(jīng)過規(guī)則處理的過程。Snort靈活的和強大的語言能對網(wǎng)絡中的所有數(shù)據(jù)包作充分的分析，決定如何處理任何特殊的數(shù)據(jù)包。Snort可以選擇的方式有忽略、記錄或告警管理員。Snort有很多種記錄或告警的方法，例如，syslog、寫入文件、寫入XML格式文件、發(fā)送WinPopup消息等。當有了新的攻擊手段時，只要簡單加入新的規(guī)則就可以升級Snort。盡管Snort設計得很簡潔，但它并不是一個能夠即安即用的方案。要想把Snort用好，用戶必須對Snort的原理非常熟悉。本書的作者將花很多篇幅教讀者如何使用Snort，從基礎的安裝到高級的規(guī)則配置，覆蓋了使用Snort的方方面面，包括基本安裝、預處理插件配置、系統(tǒng)優(yōu)化等。在這些方面作者提供了珍貴的和有價值的經(jīng)驗，并用簡單易懂的語言描述出來。這是目前惟一如此深入地描述如何安裝、配置和使用Snort的文檔。Snort沒有打算做所有的事情，沒有打算和商業(yè)入侵檢測軟件作全面競爭。但是在分析和定位惡意的網(wǎng)絡流量時，Snort會做得更好。秘訣就是Snort能讓使用者完全定制自己的規(guī)則。定制規(guī)則的前提是使用者有關(guān)于Snort規(guī)則的相關(guān)知識。第五章剖析了Snort規(guī)則的構(gòu)成，指導讀者如何完成一個高效和精確的規(guī)則，并詳細介紹了每個變量，選項和可能用到的動作。

作者簡介

　　BrianCaswell本書技術(shù)編輯，是Snort的團隊中倍受尊敬的人物。他是Snort.org站點的管理者，是Snort系統(tǒng)規(guī)則的首席維護人。無論在小企業(yè)或大企業(yè)的用戶環(huán)境下，他對Snort的部署和配置都有非常豐富的經(jīng)驗，并在2002年和2003年的CanSecWest年會上就此問題做了多次專題演講。Brian還是Source-fire的成員，Sourcefire由Snort的開發(fā)團隊創(chuàng)辦，基于SnortIDS提供世界領先的和最靈活的入侵管理方案。2002年，Sourcefire被《信息安全雜志》評為IT安全市場最有影響的廠商之一。

圖書目錄

第一章入侵檢測系統(tǒng)
1.1什么是入侵檢測
1.1.1NIDS
1.1.2HIDS
1.1.3DIDS
1.2攻擊三部曲
1.2.1目錄回溯漏洞
1.2.2紅色代碼蠕蟲
1.2.3尼姆達蠕蟲
1.2.4什么是入侵
1.2.5用Snort發(fā)現(xiàn)入侵
1.3為什么IDS如此重要
1.3.1為什么會受到攻擊
1.3.2IDS布置在什么位置合適
1.3.3防火墻能否替代IDS
1.3.4還有哪些常見的攻擊類型
1.4IDS還能做什么
1.4.1監(jiān)視數(shù)據(jù)庫應用
1.4.2監(jiān)視DNS應用
1.4.3保護郵件服務器
1.4.4利用IDS監(jiān)視公司的安全政策
小結(jié)
本章快速回顧
FAQ第二章Snort2.0介紹
2.1什么是Snort
2.2Snort系統(tǒng)需求
2.2.1硬件
2.3Snort的特性
2.3.1數(shù)據(jù)包嗅探器
2.3.2預處理器
2.3.3檢測引擎模塊
2.3.4報警／日志模塊
2.4在網(wǎng)絡中部署Snort
2.4.1Snort的用途
2.4.2Snort和網(wǎng)絡體系結(jié)構(gòu)
2.4.3運行Snort時的弱點
2.5Snort的安全考慮
2.5.1Snort易受攻擊
2.5.2加固我們的Snort系統(tǒng)
小結(jié)
本章快速回顧
FAQ
第三章安裝Snort
3.1關(guān)于Linux發(fā)布版本的簡要介紹
3.1.1Debian
3.1.2Slackware
3.1.3Gentoo
3.2安裝PCAP
3.2.1使用源碼包安裝libpcap
3.2.2用RPM包安裝libpcap
3.3安裝Snort
3.3.1從源代碼安裝Snort
3.3.2定制安裝：編輯snort.conf文件
3.3.3從RPM安裝Snort
3.3.4在MSWindows平臺上的安裝
3.3.5安裝Bleeding-Edge版本的Snort
小結(jié)
本章快速回顧
FAQ
第四章Snort的內(nèi)部工作
4.1Snort的主要部件
4.1.1捕獲網(wǎng)絡流量
4.1.2抓包
4.2包解碼
4.3數(shù)據(jù)包處理
4.3.1預處理器
4.4規(guī)則解析和檢測引擎
4.4.1規(guī)則建立
4.4.2檢測插件
4.5輸出與日志
4.5.1將Snort用作快速嗅探器
4.5.2入侵檢測模式
4.5.3將Snort用作honeypot捕獲器和分析器
4.5.4記錄至數(shù)據(jù)庫
4.5.5使用SNMP方式報警
4.5.6以Barnyard和Unified格式輸出
小結(jié)
本章快速回顧
FAQ
第五章規(guī)則的運行
5.1理解配置文件
5.1.1定義和使用變量
5.1.2配置項的靈活應用
5.1.3包含規(guī)則文件
5.2規(guī)則頭
5.2.1規(guī)則動作選項
5.2.2可支持的協(xié)議
5.2.3指派源和目的IP地址
5.2.4指派源和目的端口
5.2.5理解方向操作符
5.2.6Activate和Dynamic規(guī)則特性
5.3規(guī)則體
5.3.1規(guī)則Content選項
5.3.2IP選項集合
5.3.3TCP選項集合
5.3.4ICMP選項集合
5.3.5規(guī)則識別選項集合
5.3.6其他規(guī)則選項
5.4"好"規(guī)則的構(gòu)成
5.4.1規(guī)則動作
5.4.2定義恰當?shù)腃ontent
5.4.3合并子網(wǎng)掩碼
5.5測試規(guī)則
5.5.1壓力測試
5.5.2獨立規(guī)則測試
5.5.3測試BPF規(guī)則
5.6調(diào)整規(guī)則
5.6.1配置規(guī)則變量
5.6.2取消規(guī)則
5.6.3BPF
小結(jié)
本章快速回顧
FAQ
第六章預處理器
6.1什么是預處理器
6.2包重組的預處理器選項
6.2.1stream4預處理器
6.2.2frag2--分片重組和攻擊檢測
6.3協(xié)議解碼和規(guī)范化的預處理器選項
6.3.1Telnet協(xié)商
6.3.2HTTP規(guī)范化
6.3.3rpc_decode
6.4非規(guī)則和異常檢測預處理器選項
6.4.1端口掃描
6.4.2BackOrifice
6.4.3非規(guī)則檢測
6.5實驗階段的預處理器
6.5.1arpspoof
6.5.2asnl_decode
6.5.3fnord
6.5.4portscan2和conversation預處理器
6.5.5perfmonitor
6.6書寫自己的預處理器
6.6.1包重組
6.6.2解碼協(xié)議
6.6.3非規(guī)則的或基于異常的檢測
6.6.4建立自己的預處理器
6.6.5Snort給了我什么
6.6.6在Snort內(nèi)加入預處理器
小結(jié)
本章快速回顧
FAQ
第七章Snort輸出插件的實現(xiàn)
7.1什么是輸出插件
7.2輸出插件選項
7.2.1缺省的日志方式
7.2.2Syslog
7.2.3PCAP日志
7.2.4Snortdb
7.2.5unified日志
7.3編寫輸出插件
7.3.1為什么編寫輸出插件
7.3.2建立定制的輸出插件
7.3.3Snort的輸出處理
小結(jié)
本章快速回顧
FAQ
第八章數(shù)據(jù)分析工具的使用
8.1使用Swatch
8.1.1安裝Swatch
8.1.2配置Swatch
8.1.3使用Swatch
8.2使用ACID
8.2.1安裝ACID
8.2.2配置ACID
8.2.3ACID的使用
8.3使用SnortSnarf
8.3.1安裝SnortSnarf
8.3.2配置Snort使其和SnortSnarf一起工作
8.3.3SnortSnarf的基本用途
8.4使用IDScenter
8.4.1安裝IDScenter
8.4.2配置IDScenter
8.4.3IDScenter基本用法
小結(jié)
本章快速回顧
FAQ
第九章Snort的升級
9.1打補丁
9.2升級規(guī)則
9.2.1規(guī)則如何維護
9.2.2如何獲得規(guī)則的更新
9.2.3如何合并規(guī)則
9.3測試規(guī)則更新
9.4關(guān)注規(guī)則更新
小結(jié)
本章快速回顧
FAQ
第十章Snort的優(yōu)化
10.1如何選擇硬件
10.1.1什么構(gòu)成了"好"硬件
10.1.2如何測試硬件
10.2如何選擇操作系統(tǒng)
10.2.1對于NIDS來說什么是"好"操作系統(tǒng)
10.2.2應該使用何種操作系統(tǒng)
10.2.3如何測試所選擇的操作系統(tǒng)
10.3加速Snort安裝
10.3.1決定使用哪些規(guī)則
10.3.2配置預處理器以提高速度
10.3.3使用通用變量
10.3.4選擇輸出插件
10.4配置的基準測試
10.4.1基準測試的特征
10.4.2哪些工具可用于基準測試
小結(jié)
本章快速回顧
FAQ
第十一章Barnyard插件
11.1Barnyard是什么
11.2Barnyard的準備與安裝
11.3Barnyard的工作方式
11.3.1使用Barnyard配置文件
11.3.2深入Barnyard
11.3.3創(chuàng)建并顯示二進制日志輸出文件
11.4Barnyard輸出選項
11.5如何設置個性化輸出
11.5.1輸出插件的例子
小結(jié)
本章快速回顧
FAQ
第十二章深入Snort
12.1基于策略的IDS
12.1.1定義IDS的網(wǎng)絡策略
12.1.2基于策略IDS的例子
12.1.3制作基于策略的IDS
12.2內(nèi)嵌式IDS
12.2.1基于Snort的內(nèi)嵌式IDS
12.2.2安裝Snort為內(nèi)嵌模式
12.2.3使用內(nèi)嵌式IDS保護網(wǎng)絡
小結(jié)
本章快速回顧
FAQ
附錄