Snort 2.0 Intrusion Detectin
副标题:无
分类号:
ISBN:9787118033052
微信扫一扫,移动浏览光盘
简介
Snort的创始人Marty Roesch把Snort定位为轻量级的入侵检测系统。其实,这个定位是不妥当的。无论对小的家庭用户还是繁忙的公司网络,Snort都有能力实时分析和记录IP数据包,其基于规则的检测引擎能够检测多种变种攻击,包括CGI扫描,缓存区溢出攻击,SMB探测等。还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。
Snort能运行在众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模式,Snort成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。
从本质上说,Snort是网络数据包嗅探器。只要运行Snort时不加载规则,就可以把网络中的数据包显示出来。但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中的所有数据包作充分的分析,决定如何处理任何特殊的数据包。Snort可以选择的方式有忽略、记录或告警管理员。Snort有很多种记录或告警的方法,例如,syslog、写入文件、写入XML格式文件、发送WinPopup消息等。当有了新的攻击手段时,只要简单加入新的规则就可以升级Snort。
尽管Snort设计得很简洁,但它并不是一个能够即安即用的方案。要想把Snort用好,用户必须对Snort的原理非常熟悉。本书的作者将花很多篇幅教读者如何使用Snort,从基础的安装到高级的规则配置,覆盖了使用Snort的方方面面,包括基本安装、预处理插件配置、系统优化等。在这些方面作者提供了珍贵的和有价值的经验,并用简单易懂的语言描述出来。这是目前惟一如此深入地描述如何安装、配置和使用Snort的文档。
Snort没有打算做所有的事情,没有打算和商业入侵检测软件作全面竞争。但是在分析和定位恶意的网络流量时,Snort会做得更好。秘诀就是Snort能让使用者完全定制自己的规则。定制规则的前提是使用者有关于Snort规则的相关知识。第五章剖析了Snort规则的构成,指导读者如何完成一个高效和精确的规则,并详细介绍了每个变量,选项和可能用到的动作。
目录
第一章 入侵检测系统
1.1 什么是入侵检测
1.1.1 nids
1.1.2 hids
1.1.3 dids
1.2 攻击三部曲
1.2.1 目录回溯漏洞
1.2.2 红色代码蠕虫
1.2.3 尼姆达蠕虫
1.2.4 什么是入侵
1.2.5 用snort发现入侵
1.3 为什么ids如此重要
1.3.1 为什么会受到攻击
1.3.2 ids布置在什么位置合适
1.3.3 防火墙能否替代ids
1.3.4 还有哪些常见的攻击类型
1.4 ids还能做什么
1.4.1 监视数据库应用
1.4.2 监视dns应用
1.4.3 保护邮件服务器
.1.4.4 利用ids监视公司的安全政策
小结
本章快速回顾
faq第二章 snort2.0介绍
2.1 什么是snort
2.2 snort系统需求
2.2.1 硬件
2.3 snort的特性
2.3.1 数据包嗅探器
2.3.2 预处理器
2.3.3 检测引擎模块
2.3.4 报警/日志模块
2.4 在网络中部署snort
2.4.1 snort的用途
2.4.2 snort和网络体系结构
2.4.3 运行snort时的弱点
2.5 snort的安全考虑
2.5.1 snort易受攻击
2.5.2 加固我们的snort系统
小结
本章快速回顾
faq
第三章 安装snort
3.1 关于linux发布版本的简要介绍
3.1.1 debian
3.1.2 slackware
3.1.3 gentoo
3.2 安装pcap
3.2.1 使用源码包安装libpcap
3.2.2 用rpm包安装libpcap
3.3 安装snort
3.3.1 从源代码安装snort
3.3.2 定制安装:编辑snort.conf文件
3.3.3 从rpm安装snort
3.3.4 在ms windows平台上的安装
3.3.5 安装bleeding-edge版本的snort
小结
本章快速回顾
faq
第四章 snort的内部工作
4.1 snort的主要部件
4.1.1 捕获网络流量
4.1.2 抓包
4.2 包解码
4.3 数据包处理
4.3.1 预处理器
4.4 规则解析和检测引擎
4.4.1 规则建立
4.4.2 检测插件
4.5 输出与日志
4.5.1 将snort用作快速嗅探器
4.5.2 入侵检测模式
4.5.3 将snort用作honeypot捕获器和分析器
4.5.4 记录至数据库
4.5.5 使用snmp方式报警
4.5.6 以barnyard和unified格式输出
小结
本章快速回顾
faq
第五章 规则的运行
5.1 理解配置文件
5.1.1 定义和使用变量
5.1.2 配置项的灵活应用
5.1.3 包含规则文件
5.2 规则头
5.2.1 规则动作选项
5.2.2 可支持的协议
5.2.3 指派源和目的ip地址
5.2.4 指派源和目的端口
5.2.5 理解方向操作符
5.2.6 activate和dynamic规则特性
5.3 规则体
5.3.1 规则content选项
5.3.2 ip选项集合
5.3.3 tcp选项集合
5.3.4 icmp选项集合
5.3.5 规则识别选项集合
5.3.6 其他规则选项
5.4 "好"规则的构成
5.4.1 规则动作
5.4.2 定义恰当的content
5.4.3 合并子网掩码
5.5 测试规则
5.5.1 压力测试
5.5.2 独立规则测试
5.5.3 测试bpf规则
5.6 调整规则
5.6.1 配置规则变量
5.6.2 取消规则
5.6.3 bpf
小结
本章快速回顾
faq
第六章 预处理器
6.1 什么是预处理器
6.2 包重组的预处理器选项
6.2.1 stream4预处理器
6.2.2 frag2--分片重组和攻击检测
6.3 协议解码和规范化的预处理器选项
6.3.1 telnet协商
6.3.2 http规范化
6.3.3 rpc_decode
6.4 非规则和异常检测预处理器选项
6.4.1 端口扫描
6.4.2 back orifice
6.4.3 非规则检测
6.5 实验阶段的预处理器
6.5.1 arpspoof
6.5.2 asnl_decode
6.5.3 fnord
6.5.4 portscan2和conversation预处理器
6.5.5 perfmonitor
6.6 书写自己的预处理器
6.6.1 包重组
6.6.2 解码协议
6.6.3 非规则的或基于异常的检测
6.6.4 建立自己的预处理器
6.6.5 snort给了我什么
6.6.6 在snort内加入预处理器
小结
本章快速回顾
faq
第七章 snort输出插件的实现
7.1 什么是输出插件
7.2 输出插件选项
7.2.1 缺省的日志方式
7.2.2 syslog
7.2.3 pcap日志
7.2.4 snortdb
7.2.5 unified日志
7.3 编写输出插件
7.3.1 为什么编写输出插件
7.3.2 建立定制的输出插件
7.3.3 snort的输出处理
小结
本章快速回顾
faq
第八章 数据分析工具的使用
8.1 使用swatch
8. 1.1 安装swatch
8.1.2 配置swatch
8.1.3 使用swatch
8.2 使用acid
8.2.1 安装acid
8.2.2 配置acid
8.2.3 acid的使用
8.3 使用snortsnarf
8.3.1 安装snortsnarf
8.3.2 配置snort使其和snortsnarf一起工作
8.3.3 snortsnarf的基本用途
8.4 使用idscenter
8.4.1 安装idscenter
8.4.2 配置idscenter
8.4.3 idscenter基本用法
小结
本章快速回顾
faq
第九章 snort的升级
9.1 打补丁
9.2 升级规则
9.2.1 规则如何维护
9.2.2 如何获得规则的更新
9.2.3 如何合并规则
9.3 测试规则更新
9.4 关注规则更新
小结
本章快速回顾
faq
第十章 snort的优化
10.1 如何选择硬件
10.1.1 什么构成了"好"硬件
10.1.2 如何测试硬件
10.2 如何选择操作系统
10.2.1 对于nids来说什么是"好"操作系统
10.2.2 应该使用何种操作系统
10.2.3 如何测试所选择的操作系统
10.3 加速snort安装
10.3.1 决定使用哪些规则
10.3.2 配置预处理器以提高速度
10.3.3 使用通用变量
10.3.4 选择输出插件
10.4 配置的基准测试
10.4.1 基准测试的特征
10.4.2 哪些工具可用于基准测试
小结
本章快速回顾
faq
第十一章 barnyard插件
11.1 barnyard是什么
11.2 barnyard的准备与安装
11.3 barnyard的工作方式
11.3.1 使用barnyard配置文件
11.3.2 深入barnyard
11.3.3 创建并显示二进制日志输出文件
11.4 barnyard输出选项
11.5 如何设置个性化输出
11.5.1 输出插件的例子
小结
本章快速回顾
faq
第十二章 深入snort
12.1 基于策略的ids
12.1.1 定义ids的网络策略
12.1.2 基于策略ids的例子
12.1.3 制作基于策略的ids
12. 2 内嵌式ids
12.2.1 基于snort的内嵌式ids
12.2.2 安装snort为内嵌模式
12.2.3 使用内嵌式ids保护网络
小结
本章快速回顾
faq
附录
1.1 什么是入侵检测
1.1.1 nids
1.1.2 hids
1.1.3 dids
1.2 攻击三部曲
1.2.1 目录回溯漏洞
1.2.2 红色代码蠕虫
1.2.3 尼姆达蠕虫
1.2.4 什么是入侵
1.2.5 用snort发现入侵
1.3 为什么ids如此重要
1.3.1 为什么会受到攻击
1.3.2 ids布置在什么位置合适
1.3.3 防火墙能否替代ids
1.3.4 还有哪些常见的攻击类型
1.4 ids还能做什么
1.4.1 监视数据库应用
1.4.2 监视dns应用
1.4.3 保护邮件服务器
.1.4.4 利用ids监视公司的安全政策
小结
本章快速回顾
faq第二章 snort2.0介绍
2.1 什么是snort
2.2 snort系统需求
2.2.1 硬件
2.3 snort的特性
2.3.1 数据包嗅探器
2.3.2 预处理器
2.3.3 检测引擎模块
2.3.4 报警/日志模块
2.4 在网络中部署snort
2.4.1 snort的用途
2.4.2 snort和网络体系结构
2.4.3 运行snort时的弱点
2.5 snort的安全考虑
2.5.1 snort易受攻击
2.5.2 加固我们的snort系统
小结
本章快速回顾
faq
第三章 安装snort
3.1 关于linux发布版本的简要介绍
3.1.1 debian
3.1.2 slackware
3.1.3 gentoo
3.2 安装pcap
3.2.1 使用源码包安装libpcap
3.2.2 用rpm包安装libpcap
3.3 安装snort
3.3.1 从源代码安装snort
3.3.2 定制安装:编辑snort.conf文件
3.3.3 从rpm安装snort
3.3.4 在ms windows平台上的安装
3.3.5 安装bleeding-edge版本的snort
小结
本章快速回顾
faq
第四章 snort的内部工作
4.1 snort的主要部件
4.1.1 捕获网络流量
4.1.2 抓包
4.2 包解码
4.3 数据包处理
4.3.1 预处理器
4.4 规则解析和检测引擎
4.4.1 规则建立
4.4.2 检测插件
4.5 输出与日志
4.5.1 将snort用作快速嗅探器
4.5.2 入侵检测模式
4.5.3 将snort用作honeypot捕获器和分析器
4.5.4 记录至数据库
4.5.5 使用snmp方式报警
4.5.6 以barnyard和unified格式输出
小结
本章快速回顾
faq
第五章 规则的运行
5.1 理解配置文件
5.1.1 定义和使用变量
5.1.2 配置项的灵活应用
5.1.3 包含规则文件
5.2 规则头
5.2.1 规则动作选项
5.2.2 可支持的协议
5.2.3 指派源和目的ip地址
5.2.4 指派源和目的端口
5.2.5 理解方向操作符
5.2.6 activate和dynamic规则特性
5.3 规则体
5.3.1 规则content选项
5.3.2 ip选项集合
5.3.3 tcp选项集合
5.3.4 icmp选项集合
5.3.5 规则识别选项集合
5.3.6 其他规则选项
5.4 "好"规则的构成
5.4.1 规则动作
5.4.2 定义恰当的content
5.4.3 合并子网掩码
5.5 测试规则
5.5.1 压力测试
5.5.2 独立规则测试
5.5.3 测试bpf规则
5.6 调整规则
5.6.1 配置规则变量
5.6.2 取消规则
5.6.3 bpf
小结
本章快速回顾
faq
第六章 预处理器
6.1 什么是预处理器
6.2 包重组的预处理器选项
6.2.1 stream4预处理器
6.2.2 frag2--分片重组和攻击检测
6.3 协议解码和规范化的预处理器选项
6.3.1 telnet协商
6.3.2 http规范化
6.3.3 rpc_decode
6.4 非规则和异常检测预处理器选项
6.4.1 端口扫描
6.4.2 back orifice
6.4.3 非规则检测
6.5 实验阶段的预处理器
6.5.1 arpspoof
6.5.2 asnl_decode
6.5.3 fnord
6.5.4 portscan2和conversation预处理器
6.5.5 perfmonitor
6.6 书写自己的预处理器
6.6.1 包重组
6.6.2 解码协议
6.6.3 非规则的或基于异常的检测
6.6.4 建立自己的预处理器
6.6.5 snort给了我什么
6.6.6 在snort内加入预处理器
小结
本章快速回顾
faq
第七章 snort输出插件的实现
7.1 什么是输出插件
7.2 输出插件选项
7.2.1 缺省的日志方式
7.2.2 syslog
7.2.3 pcap日志
7.2.4 snortdb
7.2.5 unified日志
7.3 编写输出插件
7.3.1 为什么编写输出插件
7.3.2 建立定制的输出插件
7.3.3 snort的输出处理
小结
本章快速回顾
faq
第八章 数据分析工具的使用
8.1 使用swatch
8. 1.1 安装swatch
8.1.2 配置swatch
8.1.3 使用swatch
8.2 使用acid
8.2.1 安装acid
8.2.2 配置acid
8.2.3 acid的使用
8.3 使用snortsnarf
8.3.1 安装snortsnarf
8.3.2 配置snort使其和snortsnarf一起工作
8.3.3 snortsnarf的基本用途
8.4 使用idscenter
8.4.1 安装idscenter
8.4.2 配置idscenter
8.4.3 idscenter基本用法
小结
本章快速回顾
faq
第九章 snort的升级
9.1 打补丁
9.2 升级规则
9.2.1 规则如何维护
9.2.2 如何获得规则的更新
9.2.3 如何合并规则
9.3 测试规则更新
9.4 关注规则更新
小结
本章快速回顾
faq
第十章 snort的优化
10.1 如何选择硬件
10.1.1 什么构成了"好"硬件
10.1.2 如何测试硬件
10.2 如何选择操作系统
10.2.1 对于nids来说什么是"好"操作系统
10.2.2 应该使用何种操作系统
10.2.3 如何测试所选择的操作系统
10.3 加速snort安装
10.3.1 决定使用哪些规则
10.3.2 配置预处理器以提高速度
10.3.3 使用通用变量
10.3.4 选择输出插件
10.4 配置的基准测试
10.4.1 基准测试的特征
10.4.2 哪些工具可用于基准测试
小结
本章快速回顾
faq
第十一章 barnyard插件
11.1 barnyard是什么
11.2 barnyard的准备与安装
11.3 barnyard的工作方式
11.3.1 使用barnyard配置文件
11.3.2 深入barnyard
11.3.3 创建并显示二进制日志输出文件
11.4 barnyard输出选项
11.5 如何设置个性化输出
11.5.1 输出插件的例子
小结
本章快速回顾
faq
第十二章 深入snort
12.1 基于策略的ids
12.1.1 定义ids的网络策略
12.1.2 基于策略ids的例子
12.1.3 制作基于策略的ids
12. 2 内嵌式ids
12.2.1 基于snort的内嵌式ids
12.2.2 安装snort为内嵌模式
12.2.3 使用内嵌式ids保护网络
小结
本章快速回顾
faq
附录
Snort 2.0 Intrusion Detectin
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
亲爱的云图用户,
光盘内的文件都可以直接点击浏览哦
无需下载,在线查阅资料!
