Snort 2.0入侵檢測(cè)

第一章入侵檢測(cè)系統(tǒng)
1.1什么是入侵檢測(cè)
1.1.1NIDS
1.1.2HIDS
1.1.3DIDS
1.2攻擊三部曲
1.2.1目錄回溯漏洞
1.2.2紅色代碼蠕蟲
1.2.3尼姆達(dá)蠕蟲
1.2.4什么是入侵
1.2.5用Snort發(fā)現(xiàn)入侵
1.3為什么IDS如此重要
1.3.1為什么會(huì)受到攻擊
1.3.2IDS布置在什么位置合適
1.3.3防火墻能否替代IDS
1.3.4還有哪些常見的攻擊類型
1.4IDS還能做什么
1.4.1監(jiān)視數(shù)據(jù)庫(kù)應(yīng)用
1.4.2監(jiān)視DNS應(yīng)用
1.4.3保護(hù)郵件服務(wù)器
1.4.4利用IDS監(jiān)視公司的安全政策
小結(jié)
本章快速回顧
FAQ第二章Snort2.0介紹
2.1什么是Snort
2.2Snort系統(tǒng)需求
2.2.1硬件
2.3Snort的特性
2.3.1數(shù)據(jù)包嗅探器
2.3.2預(yù)處理器
2.3.3檢測(cè)引擎模塊
2.3.4報(bào)警／日志模塊
2.4在網(wǎng)絡(luò)中部署Snort
2.4.1Snort的用途
2.4.2Snort和網(wǎng)絡(luò)體系結(jié)構(gòu)
2.4.3運(yùn)行Snort時(shí)的弱點(diǎn)
2.5Snort的安全考慮
2.5.1Snort易受攻擊
2.5.2加固我們的Snort系統(tǒng)
小結(jié)
本章快速回顧
FAQ
第三章安裝Snort
3.1關(guān)于Linux發(fā)布版本的簡(jiǎn)要介紹
3.1.1Debian
3.1.2Slackware
3.1.3Gentoo
3.2安裝PCAP
3.2.1使用源碼包安裝libpcap
3.2.2用RPM包安裝libpcap
3.3安裝Snort
3.3.1從源代碼安裝Snort
3.3.2定制安裝：編輯snort.conf文件
3.3.3從RPM安裝Snort
3.3.4在MSWindows平臺(tái)上的安裝
3.3.5安裝Bleeding-Edge版本的Snort
小結(jié)
本章快速回顧
FAQ
第四章Snort的內(nèi)部工作
4.1Snort的主要部件
4.1.1捕獲網(wǎng)絡(luò)流量
4.1.2抓包
4.2包解碼
4.3數(shù)據(jù)包處理
4.3.1預(yù)處理器
4.4規(guī)則解析和檢測(cè)引擎
4.4.1規(guī)則建立
4.4.2檢測(cè)插件
4.5輸出與日志
4.5.1將Snort用作快速嗅探器
4.5.2入侵檢測(cè)模式
4.5.3將Snort用作honeypot捕獲器和分析器
4.5.4記錄至數(shù)據(jù)庫(kù)
4.5.5使用SNMP方式報(bào)警
4.5.6以Barnyard和Unified格式輸出
小結(jié)
本章快速回顧
FAQ
第五章規(guī)則的運(yùn)行
5.1理解配置文件
5.1.1定義和使用變量
5.1.2配置項(xiàng)的靈活應(yīng)用
5.1.3包含規(guī)則文件
5.2規(guī)則頭
5.2.1規(guī)則動(dòng)作選項(xiàng)
5.2.2可支持的協(xié)議
5.2.3指派源和目的IP地址
5.2.4指派源和目的端口
5.2.5理解方向操作符
5.2.6Activate和Dynamic規(guī)則特性
5.3規(guī)則體
5.3.1規(guī)則Content選項(xiàng)
5.3.2IP選項(xiàng)集合
5.3.3TCP選項(xiàng)集合
5.3.4ICMP選項(xiàng)集合
5.3.5規(guī)則識(shí)別選項(xiàng)集合
5.3.6其他規(guī)則選項(xiàng)
5.4"好"規(guī)則的構(gòu)成
5.4.1規(guī)則動(dòng)作
5.4.2定義恰當(dāng)?shù)腃ontent
5.4.3合并子網(wǎng)掩碼
5.5測(cè)試規(guī)則
5.5.1壓力測(cè)試
5.5.2獨(dú)立規(guī)則測(cè)試
5.5.3測(cè)試BPF規(guī)則
5.6調(diào)整規(guī)則
5.6.1配置規(guī)則變量
5.6.2取消規(guī)則
5.6.3BPF
小結(jié)
本章快速回顧
FAQ
第六章預(yù)處理器
6.1什么是預(yù)處理器
6.2包重組的預(yù)處理器選項(xiàng)
6.2.1stream4預(yù)處理器
6.2.2frag2--分片重組和攻擊檢測(cè)
6.3協(xié)議解碼和規(guī)范化的預(yù)處理器選項(xiàng)
6.3.1Telnet協(xié)商
6.3.2HTTP規(guī)范化
6.3.3rpc_decode
6.4非規(guī)則和異常檢測(cè)預(yù)處理器選項(xiàng)
6.4.1端口掃描
6.4.2BackOrifice
6.4.3非規(guī)則檢測(cè)
6.5實(shí)驗(yàn)階段的預(yù)處理器
6.5.1arpspoof
6.5.2asnl_decode
6.5.3fnord
6.5.4portscan2和conversation預(yù)處理器
6.5.5perfmonitor
6.6書寫自己的預(yù)處理器
6.6.1包重組
6.6.2解碼協(xié)議
6.6.3非規(guī)則的或基于異常的檢測(cè)
6.6.4建立自己的預(yù)處理器
6.6.5Snort給了我什么
6.6.6在Snort內(nèi)加入預(yù)處理器
小結(jié)
本章快速回顧
FAQ
第七章Snort輸出插件的實(shí)現(xiàn)
7.1什么是輸出插件
7.2輸出插件選項(xiàng)
7.2.1缺省的日志方式
7.2.2Syslog
7.2.3PCAP日志
7.2.4Snortdb
7.2.5unified日志
7.3編寫輸出插件
7.3.1為什么編寫輸出插件
7.3.2建立定制的輸出插件
7.3.3Snort的輸出處理
小結(jié)
本章快速回顧
FAQ
第八章數(shù)據(jù)分析工具的使用
8.1使用Swatch
8.1.1安裝Swatch
8.1.2配置Swatch
8.1.3使用Swatch
8.2使用ACID
8.2.1安裝ACID
8.2.2配置ACID
8.2.3ACID的使用
8.3使用SnortSnarf
8.3.1安裝SnortSnarf
8.3.2配置Snort使其和SnortSnarf一起工作
8.3.3SnortSnarf的基本用途
8.4使用IDScenter
8.4.1安裝IDScenter
8.4.2配置IDScenter
8.4.3IDScenter基本用法
小結(jié)
本章快速回顧
FAQ
第九章Snort的升級(jí)
9.1打補(bǔ)丁
9.2升級(jí)規(guī)則
9.2.1規(guī)則如何維護(hù)
9.2.2如何獲得規(guī)則的更新
9.2.3如何合并規(guī)則
9.3測(cè)試規(guī)則更新
9.4關(guān)注規(guī)則更新
小結(jié)
本章快速回顧
FAQ
第十章Snort的優(yōu)化
10.1如何選擇硬件
10.1.1什么構(gòu)成了"好"硬件
10.1.2如何測(cè)試硬件
10.2如何選擇操作系統(tǒng)
10.2.1對(duì)于NIDS來(lái)說什么是"好"操作系統(tǒng)
10.2.2應(yīng)該使用何種操作系統(tǒng)
10.2.3如何測(cè)試所選擇的操作系統(tǒng)
10.3加速Snort安裝
10.3.1決定使用哪些規(guī)則
10.3.2配置預(yù)處理器以提高速度
10.3.3使用通用變量
10.3.4選擇輸出插件
10.4配置的基準(zhǔn)測(cè)試
10.4.1基準(zhǔn)測(cè)試的特征
10.4.2哪些工具可用于基準(zhǔn)測(cè)試
小結(jié)
本章快速回顧
FAQ
第十一章Barnyard插件
11.1Barnyard是什么
11.2Barnyard的準(zhǔn)備與安裝
11.3Barnyard的工作方式
11.3.1使用Barnyard配置文件
11.3.2深入Barnyard
11.3.3創(chuàng)建并顯示二進(jìn)制日志輸出文件
11.4Barnyard輸出選項(xiàng)
11.5如何設(shè)置個(gè)性化輸出
11.5.1輸出插件的例子
小結(jié)
本章快速回顧
FAQ
第十二章深入Snort
12.1基于策略的IDS
12.1.1定義IDS的網(wǎng)絡(luò)策略
12.1.2基于策略IDS的例子
12.1.3制作基于策略的IDS
12.2內(nèi)嵌式IDS
12.2.1基于Snort的內(nèi)嵌式IDS
12.2.2安裝Snort為內(nèi)嵌模式
12.2.3使用內(nèi)嵌式IDS保護(hù)網(wǎng)絡(luò)
小結(jié)
本章快速回顧
FAQ
附錄