编辑推荐
重量级的UNIX/Linux平台日志分析与攻防取证教程
51CTO专家博主的新力作
内容简介
《UNIX/Linux网络日志分析与流量监控》以开源软件为基础,全面介绍了UNIX/Linux安全运维的各方面知识。第一篇从UNIX/Linux系统日志、Apache等各类应用日志的格式和收集方法讲起,内容涵盖异构网络系统日志收集和分析工具使用的多个方面;第二篇列举了二十多个常见网络故障案例,每个案例完整地介绍了故障的背景、发生、发展,以及最终的故障排除过程。其目的在于维护网络安全,通过开源工具的灵活运用,来解决运维实战工作中的各种复杂的故障;第三篇重点讲述了网络流量收集监控技术与OSSIM在异常流量监测中的应用。
《UNIX/Linux网络日志分析与流量监控》使用了大量开源工具解决方案,是运维工程师、网络安全从业人员不可多得的参考资料。
作者简介
李晨光,毕业于中国科学院研究生院,就职于世界500强企业,资深网络架构师、51CTO学院讲师、IBM精英讲师、UNIX/Linux系统安全专家,现任中国计算机学会(CCF)高级会员;曾获2011-2013年度全国IT博客10强。从事IDC机房网络设备运维十多年,持有多个IT认证;对Linux/UNIX、网络安全防护有深入研究。曾出版畅销书《Linux企业应用案例精解》和《Linux企业应用案例精解第2版》,多次在国内信息安全大会发表技术演讲,2012年受邀担任中国系统架构师大会(SACC)运维开发专场嘉宾主持人;先后在国内《计算机安全》、《程序员》、《计算机世界》、《网络运维与管理》、《黑客防线》等专业杂志发表论文六十余篇,撰写的技术博文广泛刊登在51CTO、IT168、ChinaUnix、赛迪网、天极网、比特网等国内知名IT网站。精彩书评
李晨光老师是ChinaUnix专家博主,在UNIX/Linux领域研究多年,对日志分析技术有独到见解。这本《UNIX/Linux网络日志分析与流量监控》是业界*一本基于UNIX/Linux环境,讲解应用系统日志收集、分析方法的专著,是李老师多年沉淀的技术结晶。书中采用大量鲜活的案例,生动地展示了系统漏洞防范、恶意代码分析、DoS分析、恶意流量过滤等安全防护技术,深入分析了诸多系统管理员的错误维护方法及误区,对安全工作者有很好的参考价值。如果你对网络安全、日志分析感兴趣,我们强烈推荐此书。
——ChinaUnix技术社区
运维人员都很清楚,非常枯燥又不得不做的事情就是服务器日志文件分析和流量监控。尽管现在有很多相关工具和软件,但真正将它们与自己的实际工作相结合时,往往力不从心。这本《UNIX/Linux网络日志分析与流量监控》以案例驱动的形式从UNIX/Linux系统的原始日志(RawLog)采集、分析到日志审计与取证环节都进行了详细的介绍和说明,内容非常丰富,中间还穿插了很多小故事,毫不枯燥,让您在轻松的阅读环境中提升自己的日志分析技能。如果是运维人员或想成为运维人员,您值得拥有! ——ITPUB技术社区目录
第一篇日志分析基础
第1章网络日志获取与分析
1.1网络环境日志分类
1.2Web日志分析
1.3FTP服务器日志解析
1.4用LogParser分析Windows系统日志
1.5Squid服务日志分析
1.6NFS服务日志分析
1.7iptables日志分析
1.8Samba日志审计
1.9DNS日志分析
1.10DHCP服务器日志
1.11邮件服务器日志
1.12Linux下双机系统日志
1.13其他UNIX系统日志分析GUI工具
1.14可视化日志分析工具
第2章UNIX/Linux系统取证
2.1常见IP追踪方法
2.2重要信息收集
2.3常用搜索工具
2.4集成取证工具箱介绍
2.5案例一:闪现SegmentationFault为哪般
2.6案例二:谁动了我的胶片
第3章建立日志分析系统
3.1日志采集基础
3.2时间同步
3.3网络设备日志分析与举例
3.4选择日志管理系统的十大问题
3.5利用日志管理工具更轻松
3.6用Sawmill搭建日志平台
3.7使用Splunk分析日志
第二篇日志分析实战
第4章DNS系统故障分析
4.1案例三:邂逅DNS故障
4.2DNS漏洞扫描方法
4.3DNSFloodDetector让DNS更安全
第5章DoS防御分析
5.1案例四:网站遭遇DoS攻击
5.2案例五:“太囧”防火墙
第6章UNIX后门与溢出案例分析
6.1如何防范rootkit攻击
6.2防范rootkit的工具
6.3安装LIDS
6.4安装与配置AIDE
6.5案例六:围堵Solaris后门
6.6案例七:遭遇溢出攻击
6.7案例八:真假root账号
6.8案例九:为rootkit把脉
第7章UNIX系统防范案例
7.1案例十:当网页遭遇篡改之后
7.2案例十一:UNIX下捉虫记
7.3案例十二:泄露的裁员名单
第8章SQL注入防护案例分析
8.1案例十三:后台数据库遭遇SQL注入
8.2案例十四:大意的程序员之SQL注入
8.3利用OSSIM监测SQL注入
8.4LAMP网站的SQL注入预防
8.5通过日志检测预防SQL注入
第9章远程连接安全案例
9.1案例十五:修补SSH服务器漏洞
9.2案例十六:无辜的“跳板”
第10章Snort系统部署及应用案例
10.1Snort安装与使用
10.2Snort日志分析
10.3Snort规则详解
10.4基于OSSIM平台的WIDS系统
10.5案例研究十七:IDS系统遭遇IP碎片攻击
10.6案例十八:智取不速之客
第11章WLAN案例分析
11.1WLAN安全漏洞与威胁
11.2案例十九:无线网遭受的攻击
11.3案例二十:无线会场的“不速之客”
第12章数据加密与解密案例
12.1GPG概述
12.2案例二十一:“神秘”的加密指纹
第三篇网络流量与日志监控
第13章网络流量监控
13.1网络监听关键技术
13.2用NetFlow分析网络异常流量
13.3VMwareESXi服务器监控
13.4应用层数据包解码
13.5网络嗅探器的检测及预防
第14章OSSIM综合应用
14.1OSSIM的产生
14.2OSSIM架构与原理
14.3部署OSSIM
14.4OSSIM安装后续工作
14.5使用OSSIM系统
14.6风险评估方法
14.7OSSIM关联分析技术
14.8OSSIM日志管理平台
14.9OSSIM系统中的IDS应用
14.10OSSIM流量监控工具应用
14.11OSSIM应用资产管理
14.12OSSIM在蠕虫预防中的应用
14.13监测shellcode
14.14OSSIM在漏洞扫描中的应用
14.15常见OSSIM应用问答前言/序言
国内已出版了不少网络攻防等安全方面的书籍,其中多数是以Windows平台为基础。但互联网应用服务器大多架构在UNIX/Linux系统之上,读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux的书,从一个白帽的视角,为大家讲述企业网中UNIX/Linux系统在面临各种网络威胁时,如何通过日志信息查找问题的蛛丝马迹,修复网络漏洞,构建安全的网络环境。
书中案例覆盖了如今网络应用中典型的攻击类型,例如DDoS、恶意代码、缓冲区溢出、Web应用攻击、IP碎片攻击、中间人攻击、无线网攻击及SQL注入攻击等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查,收集各种信息(包括日志文件、拓扑图和设备配置文件),再对各种安全事件报警信息进行交叉关联分析,并引导读者自己分析入侵原因,将读者带入案例中。最后作者给出入侵过程的来龙去脉,在每个案例结尾提出针对这类攻击的防范手段和补救措施,重点在于告诉读者如何进行系统和网络取证,查找并修复各种漏洞,从而进行有效防御。
作者
