《Unix/Linux日誌分析與流量監控》書稿完成

時間 2019-11-13

標籤 unix linux 日誌分析流量監控書稿完成欄目 Unix 简体版

原文原文鏈接

《Unix/Linux日誌分析與流量監控》書稿完成
ios

近日，歷時3年創做的75萬字書稿已完成，本書牢牢圍繞網絡安全的主題，對各類Unix/Linux系統及網絡服務日誌進行了全面系統的講解，從系統的原始日誌（RawLog）採集與分析講起，逐步深刻到日誌審計與取證環節，在本書提供多個案例，每一個案例都以一種生動的記事手法講述了網絡遭到入侵以後，管理人員開展系統取證和恢復的過程，採用帶有故事情節的案例分析手法，使讀者身臨其境的檢驗本身的應急響應和計算機取證能力。本書以運維工程師的視角，經過各類日誌，腳本程序等信息來處理各類系統和網絡故障，重在給讀者傳遞一種解決問題的思路和方法，並展現一些開源安全工具的使用和部署，向廣大IT從業者傳遞了一種積極向上的正能量。
程序員

本書特點數據庫

本書以Unix/Linux爲主要平臺，以開源軟件爲主要分析工具，企業網安全運維爲大背景，其所選取案例覆蓋了現在網絡應用中典型的攻擊類型，例如DDOS、惡意代碼、Web應用攻擊、無線網攻擊及SQL注入攻擊等內容，每一個故事首先描述了一塊兒安全事件的全部證據和取證信息（包括日誌文件、拓撲圖和設備配置文件）提出了一些問題引導讀者本身分析入侵的緣由，最後深刻案例分析，用詳細的證據來透徹解釋入侵過程的前因後果，在每一個案例最後提出了正對這類狀況的防範手段和補救措施。本書最大亮點就是告訴你們如何使用Ossim開源系統來解決深刻挖掘網絡安全問題。安全

本書用精選了二十多個完整案例（星級越高難度越大）分析爲廣大讀者分享的都是實實在在的乾貨，它對於提升網絡維護水平和事件分析能力有着很大的參考價值，若是你關注網絡安全，那麼書中的案例必定會引發你的共鳴。本書適合有必定經驗的網絡工程師、系統管理員和信息安全人員參考。此前，已出版的暢銷書《Linux企業應用案例精解》（這本書在2014年春就出第二版啦）就是日誌案例分析的姊妹篇，這本書中對企業最關心的Unix/Linux系統及網絡全問題進行了更爲深層次、多角度的闡釋，本書分享了做者10年來運維Unix/Linux系統的苦與樂，全書三層次章節以下：服務器

第一篇日誌分析基礎網絡

第1章網絡日誌獲取與分析13
1.1網絡環境日誌分類14
1.1.1UNIX/Linux系統日誌14
1.1.2Windows日誌15
1.2.3Windows系統日誌16
1.1.4網絡設備日誌16
1.1.5應用系統的日誌17
1.2Web日誌分析17
1.2.1訪問日誌記錄過程17
1.2.2Apache訪問日誌做用18
1.2.3訪問日誌的位置18
1.2.4訪問日誌格式分析18
1.2.5HTTP返回狀態代碼19
1.2.6記錄Apache虛擬機日誌19
1.2.7Web日誌統計舉例20
1.2.6Apache錯誤日誌分析21
1.2.7日誌輪詢23
1.2.8清空日誌的技巧24
1.2.9其餘Linux平臺Apache日誌位置25
1.2.10Nginx日誌25
1.2.11Tomcat日誌25
1.2.12經常使用Apache日誌分析工具26
1.3FTP服務器日誌解析27
1.3.1分析vsftpd.log和xferlog28
1.3.2中文對Vsftp日誌的影響29
1.3.2用Logparser分析FTP日誌30
1.4用LogParser分析Windows系統日誌32
1.4.1LogParser概述32
1.4.2LogParser結構32
1.4.3安裝LogParser33
1.4.4LogParser應用案例33
1.4.5圖形化分析輸出36
1.5Squid服務日誌分析37
1.5.1Squid日誌分類37
1.5.2典型Squid訪問日誌分析37
1.5.3Squid時間戳轉換38
1.5.4Squid日誌位置：39
1.5.5圖形化日誌分析工具40
1.5.6其餘UNIX/Linux平臺的Squid位置40
1.6NFS服務日誌分析41
1.6.1Linux下的NFS日誌41
1.6.2Solaris下NFS服務器日誌41
1.7IPtables日誌分析44
1.7.1對LOG日誌格式的問題：45
1.8Samba日誌審計47
1.8.1Samba默認提供的日誌48
1.8.2Samba審計49
1.9DNS日誌分析50
1.9.1DNS日誌的位置50
1.9.2DNS日誌的級別50
1.9.3DNS查詢請求日誌實例解釋50
1.9.4DNS分析工具-DNStop51
1.10DHCP服務器日誌52
1.11郵件服務器日誌53
1.11.1Sendmail53
1.11.2Postfix54
1.12Linux下雙機系統日誌54
1.12.1Heartbeat的日誌54
1.12.2備用節點上的日誌信息55
1.12.3日誌分割56
1.13其餘UNIX系統日誌分析GUI工具56
1.13.1用SMC分析系統日誌56
1.13.2MacOSX的GUI日誌查詢工具57
1.14死機日誌彙總分析
1.15可視化日誌分析工具58
1.15.1.彩色日誌工具:CCZE59
1.15.2動態日誌查看工具:Logstalgia59
1.15.3三維日誌顯示工具:Gource60
1.15.4用AWStats監控網站流量61
第2章UNIX/Linux系統取證65
2.1常見IP追蹤方法65
2.1.1IP追蹤工具和技術65
2.1.2DoS/DDoS攻擊源追蹤思路67
2.2重要信息收集69
2.2.1收集正在運行的進程69
2.2.2收集/proc系統中的信息72
2.2.3UNIX文件存儲與刪除73
2.2.4硬盤證據的收集方法73
2.2.5從映像的文件系統上收集證據75
2.2.6用Ddrescue恢復數據77
2.2.7查看詳細信息78
2.2.8收集隱藏目錄和文件78
2.2.9檢查可執行文件80
2.3經常使用搜索工具80
2.3.1特殊文件處理80
2.3.2TheCoroner’sToolkit(TCT工具箱)81
2.3.3Forensix工具集81
2.4集成取證工具箱介紹82
2.4.1用光盤系統取證82
2.4.2屏幕錄製取證方法83
2.5案例研究一：閃現SegmentationFault爲哪般？83
難度係數：★★★83
事件背景84
互動問答87
疑難解析87
預防措施：89
2.6案例研究二：誰動了個人膠片90
難度係數：★★★★★90
事件背景90
取證分析92
互動問答94
疑點分析95
疑難解析96
預防措施99
第3章創建日誌分析系統100
3.1日誌採集基礎100
3.1.1SYSLOG協議100
3.1.2Syslog日誌記錄的事件102
3.1.3Syslog.conf配置文件詳解103
3.1.4Syslog操做105
3.1.5Syslog的安全漏洞105
3.1.6Rsyslog106
3.1.7Syslog-ng107
3.2時間同步107
3.2.1基本概念107
3.2.2識別日誌中僞造的時間信息108
3.2.3同步方法108
3.3網絡設備日誌分析與舉例108
3.3.1路由器日誌分析109
3.3.2交換機日誌分析110
3.3.3防火牆日誌分析110
3.3.4經過日誌發現ARP病毒112
3.4選擇日誌管理系統的十大問題116
3.5利用日誌管理工具更輕鬆120
3.5.1日誌主機系統的部署120
3.5.2日誌分析與監控122
3.5.3利用EventlogAnalyzer分析網絡日誌122
3.5.4.分析防火牆日誌125
3.6用Sawmill搭建日誌平臺126
3.6.1系統簡介126
3.6.2部署注意事項：127
3.6.3安裝舉例：127
3.6.4監測網絡入侵129
3.7使用Splunk分析日誌130
3.7.1Splunk簡介130
3.7.2Splunk安裝：131
3.7.3設置自動運行131
3.7.4系統配置132
3.7.5設置日誌分析目錄133架構

第二篇日誌實戰案例分析
運維

第4章DNS系統故障分析140
4.1案例研究三：邂逅DNS故障140
難度係數：★★★★140
事件背景140
互動問答143
取證分析144
問題解答146
預防措施147
4.2DNS漏洞掃描方法148
4.2.1DNS掃描的關鍵技術149
4.2.2檢查工具：149
4.3DNSFloodDetector讓DNS更安全150
4.3.1Linux下DNS面臨的威脅151
4.3.2BIND漏洞151
4.3.3DNS管理152
4.3.4應對DNSFlood攻擊152
4.3.5DNSFloodDetector保安全153
第5章DOS攻擊防護分析155
5.1案例研究四：網站遭遇DOS攻擊155
難度係數：★★★155
事件背景155
針對措施159
疑難解答161
案例總結162
5.2案例研究五：「太囧」防火牆164
難度係數：★★★★164
事件背景164
互動問答166
調查分析166
答疑解惑168
第6章UNIX後門與溢出案例分析168
6.1如何防範RootKit攻擊169
6.1.1認識RootKit169
6.1.2RootKit的類型169
6.2防範RootKit的工具171
6.2.1使用chkrootkit工具171
6.2.2RootKitHunt工具173
6.3安裝LIDS173
6.3.1LIDS的主要功能173
6.3.2配置LIDS174
6.3.3使用Lidsadm工具175
6.3.4使用LIDS來保護系統177
6.4安裝與配置AIDE178
6.4.1Solaris安裝AIDE178
6.4.2用Aide加固Ossim平臺179
6.4.3Tripwire181
6.5Nabou安裝與配置182
6.5.1Nabou的功能及原理182
6.5.2建立一對RSA密鑰182
6.5.3初始化數據庫183
6.5.4啓用LIDS183
6.5.5Nabou的數據庫維護183
6.5.6Nabou的應用實例185
6.5.7Nabou的適用場合186
6.6案例研究六：Solaris異常後門187
難度係數：★★★★★187
入侵背景187
預防措施193
6.7案例研究七:遭遇溢出攻擊195
難度係數：★★★★★195
事件背景195
分析日誌195
案例解碼200
預防措施202
6.8案例研究八：真假Root帳號203
難度係數：★★★★203
事件背景203
取證分析206
互動問答：207
問題解答：208
預防措施209
6.9案例研究九：爲RootKit把脈209
難度係數：★★★★★209
事件背景209
互動問答214
事件分析：214
預防措施216
第7章UNIX系統防範案例217
7.1案例研究十：當網頁遭遇篡改以後217
難度係數：★★★★217
事件背景218
互動問答219
入侵事件剖析219
疑難解答221
防禦措施222
Web漏洞掃描工具——Nikto223
7.2案例十一UNIX下捉蟲記225
難度係數：★★★★★225
事件背景225
取證分析226
互動問答228
入侵解析229
預防措施233
7.3案例研究十二：泄露的裁人名單234
難度係數：★★★★234
事件背景234
取證分析235
互動問答236
答疑解惑237
預防措施238
第8章SQL注入防禦案例分析239
8.1案例十三：後臺數據庫遭遇SQL注入239
難度係數：★★★★239
案例背景：239
分析過程242
預防與補救措施244
8.2案例研究十四：大意的程序員之-SQL注入244
難度係數：★★★★244
事件背景244
互動問答246
分析取證246
答疑解惑247
預防措施251
8.3利用OSSIM監測SQL注入251
8.3.2用Ossim檢測SQl注入252
Ossim系統中的Snort規則254
8.4LAMP網站的SQL注入預防255
8.4.1服務器端的安全配置255
8.4.2PHP代碼的安全配置255
8.4.3PHP代碼的安全編寫256
8.5經過日誌檢測預防SQL注入256
8.5.1經過WEB訪問日誌發現SQL攻擊257
8.5.2用VisualLogParser分析日誌257
第9章遠程鏈接安全案例259
9.1案例十五：修補SSH服務器259
難度係數：★★★259
事件背景259
加固SSH服務器262
經過Ossim實現SSH登陸失敗告警功能265
預防措施267
9.2案例研究十六：無辜的「跳板」268
事件背景268
預防措施272
第10章Snort系統部署及應用案例273
10.1Snort系統原理273
10.2Snort安裝與維護273
10.1.1準備工做273
10.1.2深刻了解Snort274
10.1.3安裝Snort程序276
10.1.4維護Snort278
10.1.5Snort的不足280
10.2Snort日誌分析280
10.2.1基於文本的格式281
10.2.2典型攻擊日誌信息282
10.2.2Snort探針部署282
10.2.3日誌分析工具283
10.3Snort規則分析283
10.3.1Snort規則283
10.3.2編寫SNORT規則284
10.4基於Ossim平臺的WIDS系統287
10.4.1安裝無線網卡288
10.4.2設置Ossim無線傳感器290
10.5案例研究十七：IDS系統遭遇IP碎片攻擊293
難度係數：★★★★293
事件背景293
疑難問題301
互動問答：301
10.5.1防範與處理思路301
10.5.2nort+Iptables聯動302
10.5.3IP碎片攻擊的預防303
10.5.4評估NIDS工具303
10.5.5IDS系統與網絡嗅探器的區別304
10.6案例十八：智取不速之客305
難度係數：★★★★305
事件背景305
互動問答307
取證分析307
疑難解答310
預防措施311
第11章WLAN案例分析311
11.1WLAN安全漏洞與威脅312
11.2案例研究十九：無線網遭受的攻擊313
難度係數：★★★★313
事件背景313
互動問答315
疑點解析317
預防措施318
11.2.2有關WIFI上網日誌的收集318
11.2.3用開源NAC阻止非法網絡訪問318
11.2.4企業中BYOD的隱患320
11.3案例研究二十：無線會場的「不速之客」321
難度係數：★★★★321
事件背景：321
取證分析324
第12章數據加密與解密案例327
12.1GPG概述327
12.1.1建立密鑰327
12.1.2導入密鑰328
12.1.3加密和解密328
12.1.4簽定和驗證329
12.2案例研究二十一：「神祕」的加密指紋330
難度係數：★★★330
事件背景330
疑難問題333
案情解碼333
分析攻擊過程337
答疑解惑337
預防措施338分佈式

第三篇網絡流量與日誌監控
ide

第13章網絡流量監控338
13.1網絡監聽關鍵技術339
13.1.1網絡監聽339
13.1.2SNMP協議的不足339
13.1.3監聽關鍵技術339
13.1.4NetFlow與sFlow的區別340
13.1.5協議和應用識別340
13.1.6網絡數據流採集技術340
13.1.7SPAN的侷限性341
13.2用Netflow分析網絡異常流量341
13.2.1Netflow的Cache管理342
13.2.2NetFlow的輸出格式342
13.2.3NetFlow的抽樣機制342
13.2.4NetFlow的性能影響343
13.2.5NetFlow在蠕蟲病毒監測上的應用343
13.3VMwareESXi服務器監控347
13.4應層數據包解碼351
13.4.1概述351
13.4.2系統架構351
13.4.3Xplico的數據獲取方法352
13.4.4Xplico部署352
13.4.5應用Xplico353
13.5.網絡嗅探器的檢測及預防358
13.5.1嗅探器的檢測358
13.5.2網絡嗅探的預防359
第14章OSSIM綜合應用360
14.1OSSIM的產生360
14.1.1概況360
14.1.2從SIM到OSSIM361
14.1.3安全信息和事件管理（SIEM）362
14.2Ossim架構與原理363
14.2.1Ossim架構363
14.2.2Agent事件類型368
14.2.3RRD繪圖引擎370
14.2.4OSSIM工做流程分析371
14.3部署OSSIM371
14.3.1準備工做：371
14.3.2Ossim服務器的選擇373
14.3.3分佈式Ossim系統探針佈局374
14.3.4Ossim系統安裝步驟:374
14.4Ossim安裝後續工做379
14.4.1時間同步問題379
14.4.2系統升級380
14.4.3防火牆設置381
14.4.4訪問數據庫381
14.4.5同步Openvas插件384
14.4.6安裝遠程管理工具385
14.4.7安裝X-window386
14.5使用Ossim系統387
14.5.1熟悉主界面387
14.5.2SIEM事件控制檯389
14.6風險評估方法392
Ossim系統風險度量方法393
14.7Ossim關聯分析技術394
14.7.1關聯分析394
14.7.2Ossim的通用關聯檢測規則395
14.8OSSIM日誌管理平臺398
14.8.1Ossim日誌處理流程398
14.8.2Snare398
14.8.3經過WMI收集Windows日誌399
14.8.4配置Ossim399
14.8.5Snare與WMI的區別401
14.9應用Ossim系統的IDS401
14.9.1HIDS/NIDS401
14.9.2OSSECHIDSAgent安裝402
14.10Ossim流量監控工具應用413
14.10.1流量過濾413
14.10.3流量分析415
14.10.4網絡天氣圖417
14.10.5設置Netflow418
14.10.6Nagios監視419
14.10.7與第三方監控軟件集成421
14.11檢測Shellcode攻擊
14.12Ossim應用資產管理422
14.12.1OCSInventoryNG架構422
14.12.2OCS使用423
14.13Ossim在蠕蟲預防中的應用423
14.14監測Shellcode426
14.15漏洞掃描應用427
14.15.1漏洞評估方法427
14.15.2漏洞庫詳解428
14.16採用Openvas掃描429
14.16.1分佈式漏洞掃描430
14.17Metasploit的滲透測試432
14.17.1Metasploit+Nessus聯動分析434
14.18常見Ossim部署與應用問答437
附錄