基本信息
作 者:孫偉,周繼軍,許德武 著 叢 書 名:出 版 社:北京郵電大學出版社ISBN:
內容簡介
《Snort輕量級入侵檢測系統全攻略》共11章,主要內容包括四個方面,較為全面地介紹了Snort入侵檢測系統的安裝部署、配置、調整及使用,基本涵蓋了Snort有關的方方面面。《Snort輕量級入侵檢測系統全攻略》的特點是實用性非常強,概念準確、實例豐富,能夠培養讀者建立一套實用IDS的實際動手能力。另外,《Snort輕量級入侵檢測系統全攻略》深入到Snort的具體技術細節中,是一本不可多得的全面掌握Snort的技術圖書。《Snort輕量級入侵檢測系統全攻略》面向的對象為具有基本網路技術知識的讀者,即使讀者以前從未接觸過IDS,書中穿插的實例也能幫助讀者成為IDS高手。對於資深網管,《Snort輕量級入侵檢測系統全攻略》能提供一種性價比高的安全解決方案。同時,對於已學習過網路課程的大中專在校生,《Snort輕量級入侵檢測系統全攻略》也可作為入侵檢測或信息安全課程的授課輔助材料。
目錄
第1章 入侵檢測基礎概念
1.1 入侵檢測系統的作用
1.2 IDS的標準結構
1.3 如何檢測入侵
1.4 IDS的分類
1.4.1 NIDS
1.4.2 HIDS
1.4.3 DIDS
1.5 攻擊的來源
1.6 IDS的部署和使用
1.6.1 IDS的選擇
1.6.2 IDS的部署
第2章 Snort套用基礎
2.1 Snort簡介
2.2 Snort原理
2.2.1 整體結構
2.2.2 Snort在網路層次模型中的位置
2.3 代碼流程
2.4 內部工作流程
2.4.1 捕獲網路流量
2.4.2 包解碼器
2.4.3 預處理器
2.4.4 規則解析扣探測引擎
2.4.5 報警輸出模組
2.5 Snort的部署
2.5.1 部署策略
2.5.2 作業系統平台的選擇
2.5.3 三層體系結構
2.5.4 三位一體的集成式安裝
第3章 面向小型網路的集成式安裝
3.1 安裝Snort IDS所需軟體
3.1.1 感測器層軟體
3.1.2 伺服器層軟體
3.1.3 集成工具包
3.1.4 管理員控制台
3.1.5Snort管理工具
3.1.6 各類庫
3.1.7 Snort虛擬機
3.2 Windows下的集成式安裝
3.2.1 安裝Snort和winpcap包
3.2.2 AppServ
3.2.3 安裝Adodb、jpgraph和ACID
3.2.4 配置Snort
3.2.5 系統測試
3.3 Linux下的集成式安裝
3.3.1 Linux平台下軟體的一般安裝方法
3.3.2 安裝Snort
3.3.3 安裝IDS套軟體
3.3.4 MySQL的安裝和配置
3.3.5 Adodb、ACID勺安裝和配置
3.3.6 Linux下的安裝測試
第4章 Snort的分離式安裝
4.1 分離式安裝中的安全連線
4.1.1 OpensSL
4.1.2 stunnel
4.1.3 OpensSH
4.1.4 其他SSH軟體
4.2 建立伺服器
4.2.1 安裝指南
4.2.2 Linux平台下安裝配置
4.2.3 Windows平台下安裝配置
4.3 建立感測器
4.3.1 安裝指南
4.3.2 安裝感測器
4.4 建立管理員控制台
4.4.1 PuTTY的安裝和使用
4.4.2 ScreenCRT的安裝和使用
第5章 Snort的使用
5.1 配置檔案
5.1.1 定義和使用變數
5.1.2 配置項的靈活套用
5.1.3 配置檔案中的其他關鍵要素
5.2 命令行參數
5.3 Snort的工作模式
5.3.1 嗅探器模式
5.3.2 數據包記錄器模式
5.3.3 網路入侵檢測模式(NIDS)
5.4 Snort的報警模式
5.4.1 fast模式
5.4.2 full模式
5.4.3 將報警傳送到Syslog
5.4.4 向SNMP傳送報警
5.5 輸出與日誌
5.5.1 前4種輸出模式
5.5.2 入侵檢測模式
5.5.3 記錄至資料庫
5.6 在隱秘模式下運行Snort
5.6.1 Snort的自動啟動和關閉
5.6.2 在多個網路接口上運行Snort
5.7 系統調整
5.7.1 過濾流量
5.7.2 配置網路變數進行過濾
5.7.3 伯克利包過濾器(BPF)
第6章 規則語法及使用
6.1 規則語法回顧
6.2 載入規則檔案
6.3 規則頭
6.3.1 規則動作選項
6.3.2 自定義規則
6.3.3 可支持的協定
6.3.4 指派IP位址和連線埠
6.3.5 非運算符“!”
6.3.6 方向操作符
6.4 規則體
6.4.1 規則選項列表
6.4.2 規則content選項
6.4.3 IP選項集合
6.4.4 TCP選項集合
6.4.5 ICMP選項集合
6.4.6 Snort回響選項集合
6.4.7 Meta選項關鍵字
6.4.8 其他選項集合
6.5 獲取規則
6.6 調整和組織規則
6.6.1 調整的原則
6.6.2 定義恰當的content
6.6.3 規則動作
6.6.4 合併子網掩碼
6.6.5 取消規則
6.6.6 規則檔案調整
6.6.7 配置規則變數
6.6.8 利用pass規則
6.7 升級與合併規則
6.7.1 oinkmaster
6.7.2 合併規則
6.8 編寫規則
6.8.1 原理
6.8.2 示例
6.9 測試規則
6.9.1 正確性測試
6.9.2 壓力測試
6.9.3 獨立規則測試
第7章 IDS攻擊與Snort預處理器
7.1 IDS攻擊
7.2 Snort攻擊工具介紹
7.2.1 Stick&Snot
7.2.2 ADMmutate
7.2.3 FragrOUte
7.3 IDS逃避技術和對策
7.3.1 多態URL編碼技術
7.3.2 多態shell代碼技術
7.3.3 會話分割
7.3.4 IP碎片攻擊
7.3.5 摻雜無效IP數據
7.3.6 基於TCP的攻擊
7.3.7 其他一些IDS逃避技術
7.4 對IDs本身的攻擊
7.5 IDs攻擊實例
……
第8章 輸出外掛程式和數據分析工具
第9章 Snort管理工具
第10章 IDS測試評估
第11章 Snort入侵檢測實例分析
參考文獻
前言
隨著網際網路的飛速發展,攻擊和入侵等安全問題與日俱增,給很多網路管理員帶來了巨大的壓力。考慮到網路數據的巨大價值,安全業務已持續成為各大公司和研究機構關注的重點。
面對這些挑戰,國內外很多公司近年來相繼開發出了各種專用入侵檢測系統(IDS,Intrusion Detection System),其價值動輒數萬元甚至數十萬元人民幣。廠商的宣傳往往讓用戶眼花繚亂,在面對形形色色價格昂貴的商用產品時難以適從。大部分技術人員往往更關心如何判斷產品的好壞,如何在網路中部署IDS,如何在使用中配置和調試IDS等問題,而這些從廠商的宣傳材料中是得不到的。
