UNIX/Linux网络日志分析与流量监控PDF|Epub|txt|kindle电子书版本网盘下载

UNIX/Linux网络日志分析与流量监控PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一篇 日志分析基础1

第1章 网络日志获取与分析1

1.1 网络环境日志分类1

1.1.1 UNIX/Linux系统日志1

1.1.2 Windows日志2

1.1.3 Windows系统日志3

1.1.4 网络设备日志4

1.1.5 应用系统的日志4

1.2 Web日志分析4

1.2.1 访问日志记录过程5

1.2.2 Apache访问日志的作用5

1.2.3 访问日志的位置5

1.2.4 访问日志格式分析6

1.2.5 HTTP返回状态代码6

1.2.6 记录Apache虚拟机日志7

1.2.7 Web日志统计举例7

1.2.8 Apache错误日志分析9

1.2.9 日志轮询11

1.2.10 清空日志的技巧12

1.2.11 其他Linux平台Apache日志位置13

1.2.12 Nginx日志13

1.2.13 Tomcat日志13

1.2.14 常用Apache日志分析工具14

1.3 FTP服务器日志解析15

1.3.1 分析vsftpd.log和xferlog16

1.3.2 中文对Vsftp日志的影响18

1.3.3 用Logparser分析FTP日志18

1.4 用LogParser分析Windows系统日志21

1.4.1 LogParser概述21

1.4.2 LogParser结构21

1.4.3 安装LogParser21

1.4.4 LogParser应用举例21

1.4.5 图形化分析输出25

1.5 Squid服务日志分析26

1.5.1 Squid日志分类26

1.5.2 典型Squid访问日志分析26

1.5.3 Squid时间戳转换28

1.5.4 Squid日志位置29

1.5.5 图形化日志分析工具29

1.5.6 其他UNIX/Linux平台的Squid位置29

1.6 NFS服务日志分析30

1.6.1 Linux的NFS日志31

1.6.2 Solaris的NFS服务器日志31

1.7 iptables日志分析35

1.8 Samba日志审计38

1.8.1 Samba默认提供的日志38

1.8.2 Samba审计39

1.9 DNS日志分析40

1.9.1 DNS日志的位置40

1.9.2 DNS日志的级别41

1.9.3 DNS查询请求日志实例解释41

1.9.4 DNS分析工具dnstop42

1.10 DHCP服务器日志43

1.11 邮件服务器日志45

1.11.1 Sendmail45

1.11.2 Postfix45

1.12 Linux下双机系统日志46

1.12.1 Heartbeat的日志46

1.12.2 备用节点上的日志信息47

1.12.3 日志分割47

1.13 其他UNIX系统日志分析GUI工具47

1.13.1 用SMC分析系统日志47

1.13.2 Mac OS x的GUI日志查询工具48

1.14 可视化日志分析工具49

1.14.1 彩色日志工具ccze49

1.14.2 动态日志查看工具logstalgia50

1.14.3 三维日志显示工具gource51

1.14.4 用AWStats监控网站流量52

第2章 UNIX/Linux系统取证57

2.1 常见IP追踪方法57

2.1.1 IP追踪工具和技术57

2.1.2 DoS/DDoS攻击源追踪思路59

2.2 重要信息收集60

2.2.1 收集正在运行的进程60

2.2.2 查看系统调用61

2.2.3 收集／proc系统中的信息64

2.2.4 UNIX文件存储与删除64

2.2.5 硬盘证据的收集方法65

2.2.6 从映像的文件系统上收集证据66

2.2.7 用ddrescue恢复数据69

2.2.8 查看详细信息70

2.2.9 收集隐藏目录和文件71

2.2.10 检查可执行文件72

2.3 常用搜索工具72

2.3.1 特殊文件处理72

2.3.2 The Coroner's Toolkit（TCT工具箱）73

2.3.3 Forensix工具集74

2.4 集成取证工具箱介绍74

2.4.1 用光盘系统取证74

2.4.2 屏幕录制取证方法75

2.5 案例一：闪现Segmentation Fault为哪般76

事件背景76

互动问答80

疑难解析80

预防措施82

2.6 案例二：谁动了我的胶片83

事件背景83

了解业务流程83

公司内鬼所为？84

取证分析85

遗忘的Squid服务器86

互动问答88

疑点分析88

诱捕入侵者89

疑难解析90

预防措施92

第3章 建立日志分析系统93

3.1 日志采集基础93

3.1.1 Syslog协议93

3.1.2 Syslog日志记录的事件96

3.1.3 Syslog.conf配置文件详解96

3.1.4 Syslog操作97

3.1.5 Syslog的安全漏洞98

3.1.6 Rsyslog98

3.1.7 Syslog-ng100

3.2 时间同步100

3.2.1 基本概念100

3.2.2 识别日志中伪造的时间信息101

3.2.3 时间同步方法101

3.3 网络设备日志分析与举例101

3.3.1 路由器日志分析102

3.3.2 交换机日志分析102

3.3.3 防火墙日志分析103

3.3.4 实战：通过日志发现ARP病毒105

3.3.5 实战：交换机环路故障解决案例108

3.4 选择日志管理系统的十大问题109

3.5 利用日志管理工具更轻松114

3.5.1 日志主机系统的部署115

3.5.2 日志分析与监控116

3.5.3 利用Eventlog Analyzer分析网络日志117

3.5.4 分析防火墙日志120

3.6 用Sawmill搭建日志平台120

3.6.1 系统简介120

3.6.2 部署注意事项121

3.6.3 安装举例121

3.6.4 监测网络入侵124

3.7 使用Splunk分析日志124

3.7.1 Splunk简介124

3.7.2 Splunk安装124

3.7.3 设置自动运行125

3.7.4 系统配置126

3.7.5 设置日志分析目录127

第二篇 日志分析实战134

第4章 DNS系统故障分析134

4.1 案例三：邂逅DNS故障134

事件背景134

查看防火墙日志136

外部防火墙137

内部防火墙（NAT）138

互动问答138

取证分析138

问题解答141

预防措施141

4.2 DNS漏洞扫描方法143

4.2.1 DNS扫描的关键技术143

4.2.2 检查工具143

4.3 DNS Flood Detector让DNS更安全145

4.3.1 Linux下DNS面临的威胁145

4.3.2 BIND漏洞145

4.3.3 DNS管理146

4.3.4 应对DNS Flood攻击146

4.3.5 DNS Flood Detector保安全147

第5章 DoS防御分析149

5.1 案例四：网站遭遇DoS攻击149

事件背景149

交互问答151

事件推理151

针对措施152

疑难解答154

案例总结155

DoS扩展知识156

5.2 案例五：“太囧”防火墙157

事件背景157

路由器部分日志文件159

防火墙日志文件159

互动问答160

调查分析160

答疑解惑161

预防措施162

第6章 UNIX后门与溢出案例分析163

6.1 如何防范rootkit攻击163

6.1.1 认识rootkit163

6.1.2 rootkit的类型163

6.2 防范rootkit的工具164

6.2.1 使用chkrootkit工具164

6.2.2 Rootkit Hunter工具166

6.3 安装LIDS167

6.3.1 LIDS的主要功能167

6.3.2 配置LIDS167

6.3.3 使用Lidsadm工具169

6.3.4 使用LIDS保护系统170

6.4 安装与配置AIDE171

6.4.1 在Solaris中安装AIDE172

6.4.2 用AIDE加固OSSIM平台173

6.4.3 Tripwire175

6.5 案例六：围堵Solaris后门176

入侵背景176

分析脚本文件bd177

分析脚本doc179

分析脚本文件ps180

分析脚本update（一个嗅探器）180

分析脚本milk180

发现need.tar被植入系统180

问题182

答疑解惑182

预防措施182

6.6 案例七：遭遇溢出攻击183

事件背景184

分析日志184

网络入侵检测系统日志（取样）185

发现系统账号问题186

问题189

案例解码189

分析解答190

预防措施191

6.7 案例八：真假root账号191

事件背景192

恢复root密码193

取证分析194

互动问答195

问题解答196

预防措施197

6.8 案例九：为rootkit把脉197

事件背景197

可疑的／etc/xinetd.conf记录198

互动问答202

事件分析202

疑难解答204

预防措施204

第7章 UNIX系统防范案例205

7.1 案例十：当网页遭遇篡改之后205

事件背景205

日志获取205

互动问答206

入侵事件剖析206

疑难解答209

防护措施211

Web漏洞扫描工具——Nikto212

7.2 案例十一：UNIX下捉虫记214

事件背景214

取证分析215

互动问答217

入侵解析217

Sadmind/IIS蠕虫分析217

Unicode攻击逆向分析219

问题解答220

预防措施221

7.3 案例十二：泄露的裁员名单221

事件背景221

取证分析222

互动问答223

答疑解惑224

预防措施225

第8章 SQL注入防护案例分析227

8.1 案例十三：后台数据库遭遇SQL注入227

案例背景227

互动问答230

分析过程230

疑难解答231

预防与补救措施232

8.2 案例十四：大意的程序员之SQL注入232

事件背景232

互动问答234

分析取证234

总结235

答疑解惑235

总结237

预防措施239

8.3 利用OSSIM监测SQL注入239

8.3.1 SQL注入攻击的正则表达式规则239

8.3.2 用OSSIM检测SQL注入240

8.3.3 OSSIM系统中的Snort规则241

8.4 LAMP网站的SQL注入预防242

8.4.1 服务器端的安全配置242

8.4.2 PHP代码的安全配置243

8.4.3 PHP代码的安全编写243

8.5 通过日志检测预防SQL注入244

8.5.1 通过Web访问日志发现SQL攻击244

8.5.2 用Visual Log Parser分析日志245

第9章 远程连接安全案例247

9.1 案例十五：修补SSH服务器漏洞247

事件背景247

SSH被攻击的日志举例250

加固SSH服务器251

通过OSSIM实现SSH登录失败告警功能252

预防措施254

9.2 案例十六：无辜的“跳板”255

事件背景255

交互问答257

案情分析257

疑难解答258

预防措施258

第10章 Snort系统部署及应用案例259

10.1 Snort安装与使用259

10.1.1 准备工作259

10.1.2 深入了解Snort260

10.1.3 安装Snort程序262

10.1.4 维护Snort264

10.1.5 Snort的不足266

10.2 Snort日志分析267

10.2.1 基于文本的格式267

10.2.2 典型攻击日志举例269

10.2.3 Snort探针部署269

10.2.4 日志分析工具270

10.3 Snort规则详解270

10.3.1 Snort规则分析270

10.3.2 编写Snort规则271

10.4 基于OSSIM平台的WIDS系统274

10.4.1 安装无线网卡275

10.4.2 设置OSSIM无线传感器278

10.5 案例研究十七：IDS系统遭遇IP碎片攻击280

事件背景280

故障处理283

数据包解码284

疑难问题288

问题解答289

防范策略289

Snort与iptables联动289

测试效果289

IP碎片攻击的预防措施290

评估NIDS工具291

IDS系统与网络嗅探器的区别291

总结291

10.6 案例十八：智取不速之客292

事件背景292

互动问答295

取证分析295

疑难解答297

预防措施298

案例启示298

第11章 WLAN案例分析299

11.1 WLAN安全漏洞与威胁299

11.1.1 WLAN主要安全漏洞299

11.1.2 WLAN面对的安全威胁299

11.2 案例十九：无线网遭受的攻击300

事件背景300

AP的日志302

寻找非法AP接入点302

互动问答303

将几段事件还原303

疑点解析304

预防措施305

11.2.1 WIFI上网日志的收集305

11.2.2 用开源NAC阻止非法网络访问305

11.2.3 企业中BYOD的隐患308

11.3 案例二十：无线会场的“不速之客”308

事件背景308

取证分析311

第12章 数据加密与解密案例314

12.1 GPG概述314

12.1.1 创建密钥315

12.1.2 导入和签订密钥315

12.1.3 加密和解密315

12.1.4 签订和验证316

12.2 案例二十一：“神秘”的加密指纹316

事件背景316

疑难问题320

案情解码320

中间人攻击320

MITM通常采用的手段322

一种ARP欺骗的预防措施323

分析攻击过程323

答疑解惑324

预防措施325

第三篇 网络流量与日志监控326

第13章 网络流量监控326

13.1 网络监听关键技术326

13.1.1 网络监听326

13.1.2 SNMP协议的不足326

13.1.3 监听关键技术327

13.1.4 NetFlow与sFlow的区别327

13.1.5 协议和应用识别327

13.1.6 网络数据流采集技术327

13.1.7 SPAN的局限328

13.2 用NetFlow分析网络异常流量328

13.2.1 NetFlow的Cache管理329

13.2.2 NetFlow的输出格式329

13.2.3 NetFlow的抽样机制329

13.2.4 NetFlow的性能影响330

13.2.5 NetFlow在蠕虫病毒监测中的应用330

13.3 VMware ESXi服务器监控335

13.4 应用层数据包解码339

13.4.1 概述339

13.4.2 系统架构340

13.4.3 Xplico的数据获取方法340

13.4.4 Xplico部署341

13.4.5 应用Xplico341

13.4.6 深入分析Xplico344

13.5 网络嗅探器的检测及预防348

13.5.1 嗅探器的检测348

13.5.2 网络嗅探的预防348

第14章 OSSIM综合应用350

14.1 OSSIM的产生350

14.1.1 概况350

14.1.2 从SIM到OSSIM351

14.1.3 安全信息和事件管理（SIEM）351

14.2 OSSIM架构与原理352

14.2.1 OSSIM架构352

14.2.2 Agent事件类型357

14.2.3 RRD绘图引擎360

14.2.4 OSSIM工作流程分析360

14.3 部署OSSIM360

14.3.1 准备工作360

14.3.2 OSSIM服务器的选择362

14.3.3 分布式OSSIM系统探针布署364

14.3.4 OSSIM系统安装步骤364

14.4 OSSIM安装后续工作370

14.4.1 时间同步问题370

14.4.2 系统升级371

14.4.3 防火墙设置372

14.4.4 访问数据库372

14.4.5 OSSIM数据库分析工具373

14.4.6 同步OpenVAS插件375

14.4.7 安装远程管理工具376

14.4.8 安装X-Windows378

14.5 使用OSSIM系统380

14.5.1 熟悉主界面380

14.5.2 SIEM事件控制台382

14.6 风险评估方法385

14.6.1 风险评估三要素385

14.6.2 OSSIM系统风险度量387

14.7 OSSIM关联分析技术388

14.7.1 关联分析388

14.7.2 OSSIM的通用关联检测规则390

14.8 OSSIM日志管理平台394

14.8.1 OSSIM日志处理流程394

14.8.2 Snare395

14.8.3 通过WMI收集Windows日志396

14.8.4 配置OSSIM397

14.8.5 Snare与WMI的区别398

14.9 OSSIM系统中的IDS应用399

14.9.1 HIDS/NIDS399

14.9.2 OSSEC HIDS Agent安装400

14.9.3 在ESXi中安装OSSEC411

14.9.4 OSSEC代理监控的局限412

14.10 OSSIM流量监控工具应用412

14.10.1 流量过滤412

14.10.2 Ntop监控413

14.10.3 流量分析414

14.10.4 Ntop故障排除417

14.10.5 网络天气图417

14.10.6 设置NetFlow418

14.10.7 Nagios监视419

14.10.8 与第三方监控软件集成422

14.11 OSSM应用资产管理423

14.11.1 OCS Inventory NG架构424

14.11.2 OCS安装与使用424

14.12 OSSM在蠕虫预防中的应用425

14.13 监测shellcode427

14.14 OSSIM在漏洞扫描中的应用429

14.14.1 漏洞评估方法430

14.14.2 漏洞库430

14.14.3 采用OpenVAS扫描431

14.14.4 分布式漏洞扫描432

14.14.5 Metasploit的渗透测试435

14.14.6 在Metasploit中加载Nessus437

14.15 常见OSSIM应用问答438