《UNIX/Linux網絡日誌分析與流量監控》新書發佈

本書從UNIX/Linux系統的原始日誌（Raw Log）採集與分析講起，逐步深刻到日誌審計與計算機取證環節。書中提供了多個案例，每一個案例都以一種生動的記事手法講述了網絡遭到入侵以後，管理人員開展系統取證和恢復的過程，案例分析手法帶有故事情節，使讀者身臨其境地檢驗本身的應急響應和計算機取證能力。

   本書使用的案例都是做者從系統維護和取證工做中總結、篩選出來的，這些內容對提升網絡維護水平和事件分析能力有重要的參考價值。若是你關注網絡安全，那麼書中的案例必定會引發你的共鳴。本書適合有必定經驗的UNIX/Linux系統管理員和信息安全人士參考。

1．爲何寫這本書

   國內已出版了很多網絡攻防等安全方面的書籍，其中多數是以Windows平臺爲基礎。但互聯網應用服務器大多架構在UNIX/Linux系統之上，讀者迫切須要瞭解有關這些系統的安全案例。因此我決心寫一本基於UNIX/Linux的書，從一個白帽的視角，爲你們講述企業網中UNIX/Linux系統在面臨各類網絡威脅時，如何經過日誌信息查找問題的蛛絲馬跡，修復網絡漏洞，構建安全的網絡環境。

2．本書特色與結構

   書中案例覆蓋了現在網絡應用中典型的攻擊類型，例如DDoS、惡意代碼、緩衝區溢出、Web應用攻擊、IP碎片攻擊、中間人攻擊、無線網攻擊及SQL注入攻擊等內容。每段故事首先描述一塊兒安全事件。而後由管理員進行現場勘查，收集各類信息（包括日誌文件、拓撲圖和設備配置文件），再對各類安全事件報警信息進行交叉關聯分析，並引導讀者本身分析入侵緣由，將讀者帶入案例中。最後做者給出入侵過程的前因後果，在每一個案例結尾提出針對這類攻擊的防範手段和補救措施，重點在於告訴讀者如何進行系統和網絡取證，查找並修復各類漏洞，從而進行有效防護。

全書共有14章，可分爲三篇。

   第一篇日誌分析基礎（第1～3章），是全書的基礎，對於IT運維人員尤其重要，系統地總結了UNIX/Linux系統及各類網絡應用日誌的特徵、分佈位置以及各字段的做用，包括Apache日誌、FTP日誌、Squid日誌、NFS日誌、Samba日誌、iptables日誌、DNS日誌、DHCP日誌、郵件系統日誌以及各類網絡設備日誌，還首次提出了可視化日誌分析的實現技術，首次曝光了計算機系統在司法取證當中所使用的思路、方法、技術和工具，這爲讀者有效記錄日誌、分析日誌提供了紮實的基礎，解決了讀者在日誌分析時遇到的「查什麼」、「怎麼查」的難題。最後講解了日誌採集的實現原理和技術方法，包括開源和商業的日誌分析系統的搭建過程。

   第二篇日誌分析實戰（第4～12章），講述了根據做者親身經歷改編的一些小故事，再現了做者當年遇到的各類網絡入侵事件的發生、發展和處理方法、預防措施等內容，用一個個網絡運維路上遇到的「血淋淋」的教訓來告誡你們，若是不升級補丁會怎麼樣，若是不進行系統安全加固又會遇到什麼後果。這些案例包括Web網站崩潰、DNS故障、遭遇DoS攻擊、Solaris安插後門、遭遇溢出攻擊、rootkit攻擊、蠕蟲攻擊、數據庫被SQL注入、服務器淪爲跳板、IP碎片攻擊等。

   第三篇網絡流量與日誌監控（第1三、14章），用大量實例講解流量監控原理與方法，例如開源軟件Xplico的應用技巧，NetFlow在異常流量中的應用。還介紹了用開源的OSSIM安全系統創建網絡日誌流量監控網絡。

   本書從網絡安全人員的視角展示了網絡入侵發生時，當你面臨千頭萬緒的線索時如何從中挖掘關鍵問題，並最終得以解決。書中案例採用首創的情景式描述，經過一個個鮮活的IT場景，反映了IT從業者在工做中遇到的種種難題。案例中經過互動提問和開放式的回答，使讀者不知不覺中掌握一些重要的網絡安全知識和實用的技術方案。

   本書案例中的IP地址、域名信息均爲虛構，而解決措施涉及的下載網站以及各類信息查詢網站是真實的，具備較高參考價值。書中有大量系統日誌,這些日誌是網絡故障取證處理時的重要證據，因爲涉及保密問題，全部日誌均作過技術處理。

因爲時間緊，能力有限，書中不當之處在所不免，還請各位讀者到個人博客多多指正。

3．本書實驗環境

   本書選取的UNIX平臺爲Solaris和FreeBSD，Linux平臺主要爲Red Hat和Debian Linux。涉及取證調查工具盤是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com （做者的博客）提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虛擬機，可供讀者下載學習研究。