Snort Cookbook
暫譯: Snort 食譜

Angela Orebaugh, Simon Biles, Jacob Babbin

  • 出版商: O'Reilly
  • 出版日期: 2005-05-03
  • 售價: $1,580
  • 貴賓價: 9.5$1,501
  • 語言: 英文
  • 頁數: 400
  • 裝訂: Paperback
  • ISBN: 0596007914
  • ISBN-13: 9780596007911
  • 海外代購書籍(需單獨結帳)

買這商品的人也買了...

相關主題

商品描述

Description:

If you are a network administrator, you're under a lot of pressure to ensure that mission-critical systems are completely safe from malicious code, buffer overflows, stealth port scans, SMB probes, OS fingerprinting attempts, CGI attacks, and other network intruders. Designing a reliable way to detect intruders before they get in is an essential--but often overwhelming--challenge. Snort, the defacto open source standard of intrusion detection tools, is capable of performing real-time traffic analysis and packet logging on IP network. It can perform protocol analysis, content searching, and matching. Snort can save countless headaches; the new Snort Cookbook will save countless hours of sifting through dubious online advice or wordy tutorials in order to leverage the full power of SNORT.

Each recipe in the popular and practical problem-solution-discussion O'Reilly cookbook format contains a clear and thorough description of the problem, a concise but complete discussion of a solution, and real-world examples that illustrate that solution. The Snort Cookbook covers important issues that sys admins and security pros will us everyday, such as:

  • installation
  • optimization
  • logging
  • alerting
  • rules and signatures
  • detecting viruses
  • countermeasures
  • detecting common attacks
  • administration
  • honeypots
  • log analysis


But the Snort Cookbook offers far more than quick cut-and-paste solutions to frustrating security issues. Those who learn best in the trenches--and don't have the hours to spare to pore over tutorials or troll online for best-practice snippets of advice--will find that the solutions offered in this ultimate Snort sourcebook not only solve immediate problems quickly, but also showcase the best tips and tricks they need to master be security gurus--and still have a life. 

 

Table of Contents:

Preface

1. Installation and Optimization

      1.1 Installing Snort from Source on Unix  

      1.2 Installing Snort Binaries on Linux  

      1.3 Installing Snort on Solaris  

      1.4 Installing Snort on Windows  

      1.5 Uninstalling Snort from Windows  

      1.6 Installing Snort on Mac OS X  

      1.7 Uninstalling Snort from Linux  

      1.8 Upgrading Snort on Linux  

      1.9 Monitoring Multiple Network Interfaces  

      1.10 Invisibly Tapping a Hub  

      1.11 Invisibly Sniffing Between Two Network Points  

      1.12 Invisibly Sniffing 100 MB Ethernet  

      1.13 Sniffing Gigabit Ethernet  

      1.14 Tapping a Wireless Network  

      1.15 Positioning Your IDS Sensors  

      1.16 Capturing and Viewing Packets  

      1.17 Logging Packets That Snort Captures  

      1.18 Running Snort to Detect Intrusions  

      1.19 Reading a Saved Capture File  

      1.20 Running Snort as a Linux Daemon  

      1.21 Running Snort as a Windows Service  

      1.22 Capturing Without Putting the Interface into Promiscuous Mode  

      1.23 Reloading Snort Settings  

      1.24 Debugging Snort Rules  

      1.25 Building a Distributed IDS (Plain Text)  

      1.26 Building a Distributed IDS (Encrypted)  

2. Logging, Alerts, and Output Plug-ins

      2.1 Logging to a File Quickly  

      2.2 Logging Only Alerts  

      2.3 Logging to a CSV File  

      2.4 Logging to a Specific File  

      2.5 Logging to Multiple Locations  

      2.6 Logging in Binary  

      2.7 Viewing Traffic While Logging  

      2.8 Logging Application Data  

      2.9 Logging to the Windows Event Viewer  

      2.10 Logging Alerts to a Database  

      2.11 Installing and Configuring MySQL  

      2.12 Configuring MySQL for Snort  

      2.13 Using PostgreSQL with Snort and ACID  

      2.14 Logging in PCAP Format (TCPDump)  

      2.15 Logging to Email  

      2.16 Logging to a Pager or Cell Phone  

      2.17 Optimizing Logging  

      2.18 Reading Unified Logged Data  

      2.19 Generating Real-Time Alerts  

      2.20 Ignoring Some Alerts  

      2.21 Logging to System Logfiles  

      2.22 Fast Logging  

      2.23 Logging to a Unix Socket  

      2.24 Not Logging  

      2.25 Prioritizing Alerts  

      2.26 Capturing Traffic from a Specific TCP Session  

      2.27 Killing a Specific Session  

3. Rules and Signatures

      3.1 How to Build Rules  

      3.2 Keeping the Rules Up to Date  

      3.3 Basic Rules You Shouldn't Leave Home Without  

      3.4 Dynamic Rules  

      3.5 Detecting Binary Content  

      3.6 Detecting Malware  

      3.7 Detecting Viruses  

      3.8 Detecting IM  

      3.9 Detecting P2P  

      3.10 Detecting IDS Evasion  

      3.11 Countermeasures from Rules  

      3.12 Testing Rules  

      3.13 Optimizing Rules  

      3.14 Blocking Attacks in Real Time  

      3.15 Suppressing Rules  

      3.16 Thresholding Alerts  

      3.17 Excluding from Logging  

      3.18 Carrying Out Statistical Analysis  

4. Preprocessing: An Introduction

      4.1 Detecting Stateless Attacks and Stream Reassembly  

      4.2 Detecting Fragmentation Attacks and Fragment Reassemblywith Frag2  

      4.3 Detecting and Normalizing HTTP Traffic  

      4.4 Decoding Application Traffic  

      4.5 Detecting Port Scans and Talkative Hosts  

      4.6 Getting Performance Metrics  

      4.7 Experimental Preprocessors  

      4.8 Writing Your Own Preprocessor  

5. Administrative Tools

      5.1 Managing Snort Sensors  

      5.2 Installing and Configuring IDScenter  

      5.3 Installing and Configuring SnortCenter  

      5.4 Installing and Configuring Snortsnarf  

      5.5 Running Snortsnarf Automatically  

      5.6 Installing and Configuring ACID  

      5.7 Securing ACID  

      5.8 Installing and Configuring Swatch  

      5.9 Installing and Configuring Barnyard  

      5.10 Administering Snort with IDS Policy Manager  

      5.11 Integrating Snort with Webmin  

      5.12 Administering Snort with HenWen  

      5.13 Newbies Playing with Snort Using EagleX  

6. Log Analysis

      6.1 Generating Statistical Output from Snort Logs  

      6.2 Generating Statistical Output from Snort Databases  

      6.3 Performing Real-Time Data Analysis  

      6.4 Generating Text-Based Log Analysis  

      6.5 Creating HTML Log Analysis Output  

      6.6 Tools for Testing Signatures  

      6.7 Analyzing and Graphing Logs  

      6.8 Analyzing Sniffed (Pcap) Traffic  

      6.9 Writing Output Plug-ins  

7. Miscellaneous Other Uses

      7.1 Monitoring Network Performance  

      7.2 Logging Application Traffic  

      7.3 Recognizing HTTP Traffic on Unusual Ports  

      7.4 Creating a Reactive IDS  

      7.5 Monitoring a Network Using Policy-Based IDS  

      7.6 Port Knocking  

      7.7 Obfuscating IP Addresses  

      7.8 Passive OS Fingerprinting  

      7.9 Working with Honeypots and Honeynets  

      7.10 Performing Forensics Using Snort  

      7.11 Snort and Investigations  

      7.12 Snort as Legal Evidence in the U.S.  

      7.13 Snort as Evidence in the U.K.  

      7.14 Snort as a Virus Detection Tool  

      7.15 Staying Legal  

Index 
 

商品描述(中文翻譯)

**描述:**
如果您是一名網路管理員,您面臨著確保任務關鍵系統完全安全,免受惡意程式碼、緩衝區溢位、隱形端口掃描、SMB 探測、作業系統指紋識別嘗試、CGI 攻擊及其他網路入侵者的巨大壓力。在入侵者進入之前設計一種可靠的檢測方法是一項必要但常常令人感到壓力的挑戰。Snort,作為入侵檢測工具的事實上開源標準,能夠在 IP 網路上執行實時流量分析和封包記錄。它可以執行協議分析、內容搜尋和匹配。Snort 可以省去無數的麻煩;全新的 *Snort Cookbook* 將幫助您節省無數小時的時間,避免在可疑的在線建議或冗長的教程中篩選,以充分利用 SNORT 的強大功能。

每個食譜都遵循流行且實用的問題解決討論 O'Reilly 食譜格式,包含問題的清晰且徹底的描述、簡明但完整的解決方案討論,以及說明該解決方案的實際範例。*Snort Cookbook* 涵蓋了系統管理員和安全專業人員每天都會使用的重要議題,例如:
- 安裝
- 優化
- 記錄
- 警報
- 規則和簽名
- 檢測病毒
- 對策
- 檢測常見攻擊
- 管理
- 蜜罐
- 日誌分析

但 *Snort Cookbook* 提供的遠不止是對令人沮喪的安全問題的快速剪貼解決方案。那些在實戰中學習最佳的人——並且沒有時間去仔細閱讀教程或在網上搜尋最佳實踐建議的人——會發現這本終極 Snort 資源書中提供的解決方案不僅能快速解決當前問題,還展示了他們需要掌握的最佳技巧和竅門,讓他們成為安全專家,同時仍能擁有生活。

**目錄:**
**前言**
**1. 安裝與優化**
      1.1 從源碼在 Unix 上安裝 Snort
      1.2 在 Linux 上安裝 Snort 二進制檔
      1.3 在 Solaris 上安裝 Snort
      1.4 在 Windows 上安裝 Snort
      1.5 從 Windows 卸載 Snort
      1.6 在 Mac OS X 上安裝 Snort
      1.7 從 Linux 卸載 Snort
      1.8 在 Linux 上升級 Snort
      1.9 監控多個網路介面
      1.10 隱形地接入集線器
      1.11 隱形地在兩個網路點之間嗅探
      1.12 隱形地嗅探 100 MB 以太網
      1.13 嗅探千兆以太網
      1.14 接入無線網路
      1.15 定位您的 IDS 感測器
      1.16 捕獲和查看封包
      1.17 記錄 Snort 捕獲的封包
      1.18 運行 Snort 以檢測入侵
      1.19 讀取已保存的捕獲檔案
      1.20 將 Snort 作為 Linux 守護進程運行
      1.21 將 Snort 作為 Windows 服務運行
      1.22 在不將介面置於混雜模式下捕獲
      1.23 重新加載 Snort 設定
      1.24 調試 Snort 規則
      1.25 建立分散式 IDS (純文字)
      1.26 建立分散式 IDS (加密)

**2. 記錄、警報與輸出插件**
      2.1 快速記錄到檔案
      2.2 僅記錄警報
      2.3 記錄到 CSV 檔案
      2.4 記錄到特定檔案
      2.5 記錄到多個位置
      2.6 以二進制格式記錄
      2.7 在記錄時查看流量
      2.8 記錄應用程式數據
      2.9 記錄到 Windows 事件檢視器
      2.10 將警報記錄到資料庫
      2.11 安裝和配置 MySQL
      2.12 為 Snort 配置 MySQL
      2.13 使用 PostgreSQL 與 Snort 和 ACID
      2.14 以 PCAP 格式記錄 (TCPDump)
      2.15 記錄到電子郵件
      2.16 記錄到傳呼機或手機
      2.17 優化記錄
      2.18 讀取統一記錄數據
      2.19 生成實時警報
      2.20 忽略某些警報
      2.21 記錄到系統日誌檔
      2.22 快速記錄
      2.23 記錄到 Unix 套接字
      2.24 不進行記錄
      2.25 優先處理警報
      2.26 從特定 TCP 會話捕獲流量
      2.27 終止特定會話

**3. 規則與簽名**
      3.1 如何建立規則
      3.2 保持規則的最新性
      3.3 基本規則,您不應該不帶出門
      3.4 動態規則
      3.5 檢測二進制內容
      3.6 檢測惡意軟體
      3.7 檢測病毒
      3.8 檢測即時通訊
      3.9 檢測 P2P
      3.10 檢測 IDS 規避
      3.11 從規則中採取對策
      3.12 測試規則
      3.13 優化規則
      3.14 實時阻擋攻擊
      3.15 抑制規則
      3.16 警報閾值
      3.17 排除記錄
      3.18 進行統計分析

**4. 預處理:簡介**
      4.1 檢測無狀態攻擊和流重組
      4.2 檢測分片攻擊和使用 Frag2 的分片重組
      4.3 檢測和標準化 HTTP 流量
      4.4 解碼應用程式流量
      4.5 檢測端口掃描和多話主機
      4.6 獲取性能指標
      4.7 實驗性預處理器
      4.8 編寫自己的預處理器

**5. 管理工具**
      5.1 管理 Snort 感測器
      5.2 安裝和配置 IDScenter
      5.3 安裝和配置 SnortCenter
      5.4 安裝和配置 Snortsnarf
      5.5 自動運行 Snortsnarf
      5.6 安裝和配置 ACID
      5.7 確保 ACID 的安全
      5.8 安裝和配置 Swatch
      5.9 安裝和配置 Barnyard
      5.10 使用 IDS 政策管理器管理 Snort
      5.11 將 Snort 與 Webmin 整合
      5.12 使用 HenWen 管理 Snort
      5.13 新手使用 EagleX 玩 Snort

**6. 日誌分析**
      6.1 從 Snort 日誌生成統計輸出
      6.2 從 Snort 資料庫生成統計輸出
      6.3 執行實時數據分析
      6.4 生成基於文本的日誌分析
      6.5 創建 HTML 日誌分析輸出
      6.6 測試簽名的工具
      6.7 分析和繪製日誌
      6.8 分析嗅探的 (Pcap) 流量
      6.9 編寫輸出插件

**7. 其他雜項用途**
      7.1 監控網路性能
      7.2 記錄應用程式流量
      7.3 辨識不尋常端口上的 HTTP 流量