Snort 2.0入侵檢測(cè)

定　價(jià)：￥56.00

作　者：	（美）卡斯維爾等著，宋勁松等譯；宋勁松譯
出版社：	Syngress Publishing
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

ISBN：	9787118033052	出版時(shí)間：	2004-01-01	包裝：	膠版紙
開本：	小16開	頁數(shù)：	395	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　Snort的創(chuàng)始人MartyRoesch把Snort定位為輕量級(jí)的入侵檢測(cè)系統(tǒng)。其實(shí)，這個(gè)定位是不妥當(dāng)?shù)?。無論對(duì)小的家庭用戶還是繁忙的公司網(wǎng)絡(luò)，Snort都有能力實(shí)時(shí)分析和記錄IP數(shù)據(jù)包，其基于規(guī)則的檢測(cè)引擎能夠檢測(cè)多種變種攻擊，包括CGI掃描，緩存區(qū)溢出攻擊，SMB探測(cè)等。還能為確定網(wǎng)絡(luò)中一些莫名其妙的服務(wù)都是做什么的提供幫助。Snort能運(yùn)行在眾多的硬件平臺(tái)和操作系統(tǒng)上。因?yàn)槠淇蓴U(kuò)展的體系結(jié)構(gòu)和開放源碼的發(fā)布模式，Snort成為入侵檢測(cè)軟件中非常流行的選擇。經(jīng)常有已經(jīng)花費(fèi)了數(shù)千美元購(gòu)買入侵檢測(cè)系統(tǒng)的管理員還使用Snort來填補(bǔ)網(wǎng)絡(luò)中的一些缺口。從本質(zhì)上說，Snort是網(wǎng)絡(luò)數(shù)據(jù)包嗅探器。只要運(yùn)行Snort時(shí)不加載規(guī)則，就可以把網(wǎng)絡(luò)中的數(shù)據(jù)包顯示出來。但是Snort的真正價(jià)值在于把數(shù)據(jù)包經(jīng)過規(guī)則處理的過程。Snort靈活的和強(qiáng)大的語言能對(duì)網(wǎng)絡(luò)中的所有數(shù)據(jù)包作充分的分析，決定如何處理任何特殊的數(shù)據(jù)包。Snort可以選擇的方式有忽略、記錄或告警管理員。Snort有很多種記錄或告警的方法，例如，syslog、寫入文件、寫入XML格式文件、發(fā)送WinPopup消息等。當(dāng)有了新的攻擊手段時(shí)，只要簡(jiǎn)單加入新的規(guī)則就可以升級(jí)Snort。盡管Snort設(shè)計(jì)得很簡(jiǎn)潔，但它并不是一個(gè)能夠即安即用的方案。要想把Snort用好，用戶必須對(duì)Snort的原理非常熟悉。本書的作者將花很多篇幅教讀者如何使用Snort，從基礎(chǔ)的安裝到高級(jí)的規(guī)則配置，覆蓋了使用Snort的方方面面，包括基本安裝、預(yù)處理插件配置、系統(tǒng)優(yōu)化等。在這些方面作者提供了珍貴的和有價(jià)值的經(jīng)驗(yàn)，并用簡(jiǎn)單易懂的語言描述出來。這是目前惟一如此深入地描述如何安裝、配置和使用Snort的文檔。Snort沒有打算做所有的事情，沒有打算和商業(yè)入侵檢測(cè)軟件作全面競(jìng)爭(zhēng)。但是在分析和定位惡意的網(wǎng)絡(luò)流量時(shí)，Snort會(huì)做得更好。秘訣就是Snort能讓使用者完全定制自己的規(guī)則。定制規(guī)則的前提是使用者有關(guān)于Snort規(guī)則的相關(guān)知識(shí)。第五章剖析了Snort規(guī)則的構(gòu)成，指導(dǎo)讀者如何完成一個(gè)高效和精確的規(guī)則，并詳細(xì)介紹了每個(gè)變量，選項(xiàng)和可能用到的動(dòng)作。

作者簡(jiǎn)介

　　BrianCaswell本書技術(shù)編輯，是Snort的團(tuán)隊(duì)中倍受尊敬的人物。他是Snort.org站點(diǎn)的管理者，是Snort系統(tǒng)規(guī)則的首席維護(hù)人。無論在小企業(yè)或大企業(yè)的用戶環(huán)境下，他對(duì)Snort的部署和配置都有非常豐富的經(jīng)驗(yàn)，并在2002年和2003年的CanSecWest年會(huì)上就此問題做了多次專題演講。Brian還是Source-fire的成員，Sourcefire由Snort的開發(fā)團(tuán)隊(duì)創(chuàng)辦，基于SnortIDS提供世界領(lǐng)先的和最靈活的入侵管理方案。2002年，Sourcefire被《信息安全雜志》評(píng)為IT安全市場(chǎng)最有影響的廠商之一。

圖書目錄

第一章入侵檢測(cè)系統(tǒng)
1.1什么是入侵檢測(cè)
1.1.1NIDS
1.1.2HIDS
1.1.3DIDS
1.2攻擊三部曲
1.2.1目錄回溯漏洞
1.2.2紅色代碼蠕蟲
1.2.3尼姆達(dá)蠕蟲
1.2.4什么是入侵
1.2.5用Snort發(fā)現(xiàn)入侵
1.3為什么IDS如此重要
1.3.1為什么會(huì)受到攻擊
1.3.2IDS布置在什么位置合適
1.3.3防火墻能否替代IDS
1.3.4還有哪些常見的攻擊類型
1.4IDS還能做什么
1.4.1監(jiān)視數(shù)據(jù)庫(kù)應(yīng)用
1.4.2監(jiān)視DNS應(yīng)用
1.4.3保護(hù)郵件服務(wù)器
1.4.4利用IDS監(jiān)視公司的安全政策
小結(jié)
本章快速回顧
FAQ第二章Snort2.0介紹
2.1什么是Snort
2.2Snort系統(tǒng)需求
2.2.1硬件
2.3Snort的特性
2.3.1數(shù)據(jù)包嗅探器
2.3.2預(yù)處理器
2.3.3檢測(cè)引擎模塊
2.3.4報(bào)警／日志模塊
2.4在網(wǎng)絡(luò)中部署Snort
2.4.1Snort的用途
2.4.2Snort和網(wǎng)絡(luò)體系結(jié)構(gòu)
2.4.3運(yùn)行Snort時(shí)的弱點(diǎn)
2.5Snort的安全考慮
2.5.1Snort易受攻擊
2.5.2加固我們的Snort系統(tǒng)
小結(jié)
本章快速回顧
FAQ
第三章安裝Snort
3.1關(guān)于Linux發(fā)布版本的簡(jiǎn)要介紹
3.1.1Debian
3.1.2Slackware
3.1.3Gentoo
3.2安裝PCAP
3.2.1使用源碼包安裝libpcap
3.2.2用RPM包安裝libpcap
3.3安裝Snort
3.3.1從源代碼安裝Snort
3.3.2定制安裝：編輯snort.conf文件
3.3.3從RPM安裝Snort
3.3.4在MSWindows平臺(tái)上的安裝
3.3.5安裝Bleeding-Edge版本的Snort
小結(jié)
本章快速回顧
FAQ
第四章Snort的內(nèi)部工作
4.1Snort的主要部件
4.1.1捕獲網(wǎng)絡(luò)流量
4.1.2抓包
4.2包解碼
4.3數(shù)據(jù)包處理
4.3.1預(yù)處理器
4.4規(guī)則解析和檢測(cè)引擎
4.4.1規(guī)則建立
4.4.2檢測(cè)插件
4.5輸出與日志
4.5.1將Snort用作快速嗅探器
4.5.2入侵檢測(cè)模式
4.5.3將Snort用作honeypot捕獲器和分析器
4.5.4記錄至數(shù)據(jù)庫(kù)
4.5.5使用SNMP方式報(bào)警
4.5.6以Barnyard和Unified格式輸出
小結(jié)
本章快速回顧
FAQ
第五章規(guī)則的運(yùn)行
5.1理解配置文件
5.1.1定義和使用變量
5.1.2配置項(xiàng)的靈活應(yīng)用
5.1.3包含規(guī)則文件
5.2規(guī)則頭
5.2.1規(guī)則動(dòng)作選項(xiàng)
5.2.2可支持的協(xié)議
5.2.3指派源和目的IP地址
5.2.4指派源和目的端口
5.2.5理解方向操作符
5.2.6Activate和Dynamic規(guī)則特性
5.3規(guī)則體
5.3.1規(guī)則Content選項(xiàng)
5.3.2IP選項(xiàng)集合
5.3.3TCP選項(xiàng)集合
5.3.4ICMP選項(xiàng)集合
5.3.5規(guī)則識(shí)別選項(xiàng)集合
5.3.6其他規(guī)則選項(xiàng)
5.4"好"規(guī)則的構(gòu)成
5.4.1規(guī)則動(dòng)作
5.4.2定義恰當(dāng)?shù)腃ontent
5.4.3合并子網(wǎng)掩碼
5.5測(cè)試規(guī)則
5.5.1壓力測(cè)試
5.5.2獨(dú)立規(guī)則測(cè)試
5.5.3測(cè)試BPF規(guī)則
5.6調(diào)整規(guī)則
5.6.1配置規(guī)則變量
5.6.2取消規(guī)則
5.6.3BPF
小結(jié)
本章快速回顧
FAQ
第六章預(yù)處理器
6.1什么是預(yù)處理器
6.2包重組的預(yù)處理器選項(xiàng)
6.2.1stream4預(yù)處理器
6.2.2frag2--分片重組和攻擊檢測(cè)
6.3協(xié)議解碼和規(guī)范化的預(yù)處理器選項(xiàng)
6.3.1Telnet協(xié)商
6.3.2HTTP規(guī)范化
6.3.3rpc_decode
6.4非規(guī)則和異常檢測(cè)預(yù)處理器選項(xiàng)
6.4.1端口掃描
6.4.2BackOrifice
6.4.3非規(guī)則檢測(cè)
6.5實(shí)驗(yàn)階段的預(yù)處理器
6.5.1arpspoof
6.5.2asnl_decode
6.5.3fnord
6.5.4portscan2和conversation預(yù)處理器
6.5.5perfmonitor
6.6書寫自己的預(yù)處理器
6.6.1包重組
6.6.2解碼協(xié)議
6.6.3非規(guī)則的或基于異常的檢測(cè)
6.6.4建立自己的預(yù)處理器
6.6.5Snort給了我什么
6.6.6在Snort內(nèi)加入預(yù)處理器
小結(jié)
本章快速回顧
FAQ
第七章Snort輸出插件的實(shí)現(xiàn)
7.1什么是輸出插件
7.2輸出插件選項(xiàng)
7.2.1缺省的日志方式
7.2.2Syslog
7.2.3PCAP日志
7.2.4Snortdb
7.2.5unified日志
7.3編寫輸出插件
7.3.1為什么編寫輸出插件
7.3.2建立定制的輸出插件
7.3.3Snort的輸出處理
小結(jié)
本章快速回顧
FAQ
第八章數(shù)據(jù)分析工具的使用
8.1使用Swatch
8.1.1安裝Swatch
8.1.2配置Swatch
8.1.3使用Swatch
8.2使用ACID
8.2.1安裝ACID
8.2.2配置ACID
8.2.3ACID的使用
8.3使用SnortSnarf
8.3.1安裝SnortSnarf
8.3.2配置Snort使其和SnortSnarf一起工作
8.3.3SnortSnarf的基本用途
8.4使用IDScenter
8.4.1安裝IDScenter
8.4.2配置IDScenter
8.4.3IDScenter基本用法
小結(jié)
本章快速回顧
FAQ
第九章Snort的升級(jí)
9.1打補(bǔ)丁
9.2升級(jí)規(guī)則
9.2.1規(guī)則如何維護(hù)
9.2.2如何獲得規(guī)則的更新
9.2.3如何合并規(guī)則
9.3測(cè)試規(guī)則更新
9.4關(guān)注規(guī)則更新
小結(jié)
本章快速回顧
FAQ
第十章Snort的優(yōu)化
10.1如何選擇硬件
10.1.1什么構(gòu)成了"好"硬件
10.1.2如何測(cè)試硬件
10.2如何選擇操作系統(tǒng)
10.2.1對(duì)于NIDS來說什么是"好"操作系統(tǒng)
10.2.2應(yīng)該使用何種操作系統(tǒng)
10.2.3如何測(cè)試所選擇的操作系統(tǒng)
10.3加速Snort安裝
10.3.1決定使用哪些規(guī)則
10.3.2配置預(yù)處理器以提高速度
10.3.3使用通用變量
10.3.4選擇輸出插件
10.4配置的基準(zhǔn)測(cè)試
10.4.1基準(zhǔn)測(cè)試的特征
10.4.2哪些工具可用于基準(zhǔn)測(cè)試
小結(jié)
本章快速回顧
FAQ
第十一章Barnyard插件
11.1Barnyard是什么
11.2Barnyard的準(zhǔn)備與安裝
11.3Barnyard的工作方式
11.3.1使用Barnyard配置文件
11.3.2深入Barnyard
11.3.3創(chuàng)建并顯示二進(jìn)制日志輸出文件
11.4Barnyard輸出選項(xiàng)
11.5如何設(shè)置個(gè)性化輸出
11.5.1輸出插件的例子
小結(jié)
本章快速回顧
FAQ
第十二章深入Snort
12.1基于策略的IDS
12.1.1定義IDS的網(wǎng)絡(luò)策略
12.1.2基于策略IDS的例子
12.1.3制作基于策略的IDS
12.2內(nèi)嵌式IDS
12.2.1基于Snort的內(nèi)嵌式IDS
12.2.2安裝Snort為內(nèi)嵌模式
12.2.3使用內(nèi)嵌式IDS保護(hù)網(wǎng)絡(luò)
小結(jié)
本章快速回顧
FAQ
附錄