開源安全運維平臺--OSSIM最佳實踐 开源安全运维平台:OSSIM最佳实践(附光盘)

李晨光

  • 出版商: 清華大學出版社
  • 出版日期: 2016-01-01
  • 定價: $888
  • 售價: 8.5$755
  • 語言: 簡體中文
  • 頁數: 648
  • 裝訂: 精裝
  • ISBN: 7302423857
  • ISBN-13: 9787302423850
  • 相關分類: 雲端運算

下單後立即進貨 (約4週~6週)

買這商品的人也買了...

相關主題

商品描述

 

<內容簡介>

《開源安全運維平臺:OSSIM最佳實踐》內容簡介:在傳統的異構網絡環境中,運維人員往往利用各種覆雜的監管工具來管理網絡,由於缺乏一種集成安全運維平臺,當遇到故障時總是處於被動“救火”狀態,如何將資產管理、流量監控、漏洞管理、入侵監測、合規管理等重要環節,通過開源軟件集成到統一的平臺中,以實現安全事件關聯分析,可從《開源安全運維平臺:OSSIM最佳實踐》介紹的OSSIM平臺中找到答案。《開源安全運維平臺:OSSIM最佳實踐》借助作者在OSSIM領域長達10年開發應用實踐經驗之上,以大量生動實例闡述了基於插件收集日誌並實現標準化,安全事件規範化分類,關聯分析的精髓,書中為讀者展示的所有知識和實例均來自大型企業中覆雜的生產環境,並針對各種難題給出解決方案。
全書共分三篇,10章:第1篇(第1~2章)主要介紹OSSIM架構與工作原理、系統規劃、實施關鍵要素和過濾分析SIEM事件的要領。第二篇(第3~6章)主要介紹OSSIM所涉及的幾個後台數據庫,重點強調安全事件分類聚合、提取流程、關聯分析算法、Snort規則分析等技巧。第三篇(第7~10章)主要介紹日誌收集方法和標準化實現思路以及在OSSIM中用HIDS/NIDS、NetFlow抓包分析異常流量的方法,深入分析了OpenVAS架構和腳本分析方法。

 

<章節目錄>

第一篇 基礎篇
第1章 OSSIM架構與原理 3
1.1 OSSIM概況 3
1.1.1 從SIM到OSSIM 4
1.1.2 安全信息和事件管理(SIEM) 5
1.1.3 OSSIM的前世今生 6
1.2 OSSIM架構與組成 13
1.2.1 主要模塊的關系 14
1.2.2 安全插件(Plugins) 15
1.2.3 採集與監控插件的區別 17
1.2.4 檢測器(Detector) 20
1.2.5 代理(Agent) 20
1.2.6 報警格式的解碼 21
1.2.7 OSSIM Agent 22
1.2.8 代理與插件的區別 26
1.2.9 傳感器(Sensor) 26
1.2.10 關聯引擎 28
1.2.11 數據庫(Database) 30
1.2.12 Web 框架(Framework) 31
1.2.13 Ajax創建交互 32
1.2.14 歸一化處理 32
1.2.15 標準的安全事件格式 33
1.2.16 OSSIM服務埠 37
1.3 基於插件的日誌採集 39
1.3.1 安全事件分類 39
1.3.2 採集思路 39
1.4 Agent事件類型 44
1.4.1 普通日誌舉例 45
1.4.2 plugin_id一對多關系 45
1.4.3 MAC事件日誌舉例 47
1.4.4 操作系統事件日誌舉例 47
1.4.5 系統服務事件日誌舉例 47
1.5 RRDTool繪圖引擎 48
1.5.1 背景 49
1.5.2 RRD Tool與關系數據庫的不同 49
1.5.3 RRD繪圖流程 49
1.6 OSSIM工作流程 50
1.7 緩存與消息隊列 50
1.7.1 緩存系統 50
1.7.2 消息隊列處理 51
1.7.3 RabbitMQ 53
1.7.4 選擇Key/Value存儲 54
1.7.5 OSSIM下操作Redis 54
1.7.6 Redis Server配置詳解 57
1.7.7 RabbitMQ、Redis與Memcached監控 58
1.8 OSSIM 高可用架構 60
1.8.1 OSSIM高可用實現技術 60
1.8.2 安裝環境 62
1.8.3 配置本地主機 62
1.8.4 配置遠程主機 62
1.8.5 同步數據庫 63
1.8.6 同步本地文件 63
1.9 OSSIM防火墻 64
1.9.1 理解Filter機制 64
1.9.2 規則匹配過程 66
1.9.3 iptables規則庫管理 67
1.10 OSSIM的計劃任務 68
1.10.1 Linux計劃任務 68
1.10.2 OSSIM中的計劃任務 70
1.11 小結 72
第2章 OSSIM部署與安裝 73
2.1 OSSIM安裝策略 73
2.1.1 未授權行為 74
2.1.2 傳感器位置 75
2.2 分佈式OSSIM體系 75
2.2.1 特別應用 76
2.2.2 多IDS系統應用 76
2.3 安裝前的準備工作 77
2.3.1 軟硬件配備 77
2.3.2 傳感器部署 78
2.3.3 分佈式OSSIM系統探針佈局 80
2.3.4 OSSIM服務器的選擇 81
2.3.5 網卡的選擇 82
2.3.6 手動加載網卡驅動 83
2.3.7 採用多核還是單核CPU 83
2.3.8 查找硬件信息 84
2.3.9 OSSIM USM和Sensor安裝模式的區別 84
2.3.10 OSSIM商業版和免費版比較 86
2.3.11 OSSIM實施特點 87
2.3.12 OSSIM管理員分工 88
2.4 混合服務器/傳感器安裝模式 88
2.4.1 安裝前的準備工作 88
2.4.2 開始安裝OSSIM 89
2.4.3 遺忘Web UI登錄密碼的處理方法 92
2.5 初始化系統 92
2.5.1 設置初始頁面 93
2.5.2 OTX——情報交換系統 100
2.6 VMware ESXi下安裝OSSIM註意事項 103
2.6.1 設置方法 103
2.6.2 虛擬機下無法找到磁盤的對策 104
2.7 OSSIM分佈式安裝實踐 104
2.7.1 基於OpenSSL的安全認證中心 105
2.7.2 安裝步驟 105
2.7.3 分佈式部署(VPN連接 )舉例 106
2.7.4 安裝多台OSSIM(Sensor) 108
2.7.5 Sensor重裝流程 114
2.8 添加VPN連接 114
2.8.1 需求 114
2.8.2 Server端配置(10.0.0.30) 114
2.8.3 配置Sensor(10.0.0.31) 115
2.9 安裝最後階段 116
2.10 OSSIM安裝後續工作 117
2.10.1 時間同步問題 117
2.10.2 系統升級 118
2.10.3 apt—get 常見操作 121
2.10.4 掃描資產 122
2.10.5 通過代理升級系統 122
2.10.6 防火墻設置 124
2.10.7 讓控制台支持高分辨率 124
2.10.8 手動修改服務器 IP地址 125
2.10.9 修改系統網關和DNS地址 125
2.10.10 更改默認網絡接口 125
2.10.11 消除登錄菜單 126
2.10.12 進入OSSIM單用戶模式 126
2.10.13 定製系統啟動界面 126
2.11 OSSIM啟動與停止 127
2.12 安裝遠程管理工具 129
2.12.1 安裝Webmin管理工具 129
2.12.2 安裝phpMyAdmin 130
2.12.3 用phpMyAdmin同步功能遷移數據庫 132
2.13 分佈式系統查看傳感器狀態 132
2.13.1 設置指示器 132
2.13.2 註意事項 134
2.14 安裝桌面環境 135
2.14.1 安裝GNOME環境 135
2.14.2 安裝FVWM環境 135
2.14.3 安裝虛擬機 139
2.15 自動化配置管理工具Ansible 141
2.15.1 SSH的核心作用 141
2.15.2 Ansible配置 143
2.15.3 Ansible實戰 143
2.15.4 豐富的模塊 147
2.15.5 Ansible與其他配置管理的對比 147
2.16 SIEM控制台基礎 147
2.16.1 SIEM控制台日誌過濾技巧 148
2.16.2 將重要日誌加入到知識庫 153
2.16.3 SIEM中顯示不同類別日誌 156
2.16.4 常見搜索信息 158
2.16.5 儀表盤顯示 158
2.16.6 事件刪除與恢覆 160
2.16.7 深入使用SIEM控制台 161
2.16.8 SIEM事件聚合 164
2.16.9 SIEM要素 165
2.16.10 SIEM警報中顯示計算機名 172
2.16.11 SIEM事件保存期限 172
2.16.12 SIEM數據源與插件的關系 173
2.16.13 SIEM日誌顯示中出現0.0.0.0地址的含義 174
2.16.14 無法顯示SIEM安全事件時處理方法 174
2.16.15 SIEM數據庫恢覆 175
2.16.16 EPS的含義 175
2.16.17 常見OSSIM 安裝/使用錯誤 176
2.17 可視化網絡攻擊報警Alarm分析 178
2.17.1 報警事件的產生 179
2.17.2 報警事件分類 179
2.17.3 五類報警數據包樣本下載 184
2.17.4 報警分組 184
2.17.5 識別告警真偽 186
2.17.6 觸發OSSIM報警 186
2.18 小結 194
第二篇 提高篇
第3章 OSSIM數據庫概述 197
3.1 OSSIM數據庫組成 197
3.1.1 MySQL 197
3.1.2 本地訪問 198
3.1.3 檢查、分析表 200
3.1.4 啟用MySQL慢查詢記錄 201
3.1.5 遠程訪問 202
3.1.6 MongoDB 203
3.1.7 SQLite 203
3.2 OSSIM數據庫分析工具 203
3.2.1 負載模擬方法 204
3.2.2 利用MySQL Workbench工具分析數據庫 206
3.3 查看OSSIM數據庫表結構 211
3.4 MySQL基本操作 214
3.5 OSSIM系統遷移 215
3.5.1 遷移準備 215
3.5.2 恢覆OSSIM 216
3.6 OSSIM數據庫常見問題解答 218
3.7 小結 227
第4章 OSSIM關聯分析技術 228
4.1 關聯分析技術背景 228
4.1.1 當前的挑戰 228
4.1.2 基本概念 229
4.1.3 安全事件之間的關系 229
4.2 關聯分析基礎 230
4.2.1 從海量數據到精準數據 230
4.2.2 網絡安全事件的分類 231
4.2.3 Alarm與Ticket的區別 235
4.2.4 使用Ticket 236
4.2.5 加入知識庫 237
4.2.6 安全事件提取 238
4.2.7 OSSIM的關聯引擎 238
4.2.8 事件的交叉關聯 240
4.3 報警聚合 241
4.3.1 報警樣本舉例 241
4.3.2 事件聚合 242
4.3.3 事件聚合舉例 243
4.3.4 事件聚合在OSSIM中的表現形式 244
4.3.5 SIEM中的冗餘報警 245
4.3.6 合並相似事件 245
4.3.7 同類事件的判別 246
4.3.8 合並流程 247
4.3.9 事件映射 247
4.3.10 Ossec 的報警信息的聚類 247
4.3.11 Ossec與Snort 事件合並 249
4.4 風險評估方法 249
4.4.1 風險評估三要素 249
4.4.2 Risk & Priority & Reliability的關系實例 251
4.4.3 動態可信度值(Reliability) 254
4.4.4 查看SIEM不同事件 254
4.5 OSSIM系統風險度量方法 256
4.5.1 風險判定 256
4.5.2 事件積累過程 258
4.6 OSSIM中的關聯分類 260
4.6.1 關聯分類 260
4.6.2 關聯指令分類 261
4.6.3 指令組成 263
4.6.4 讀懂指令規則 265
4.6.5 Directive Info 266
4.7 新建關聯指令 267
4.8 OSSIM的關聯規則 270
4.8.1 關聯指令配置界面 271
4.8.2 構建規則 274
4.9 深入關聯規則 276
4.9.1 基本操作 276
4.9.2 理解規則樹 277
4.9.3 攻擊場景構建 281
4.9.4 報警聚合計算方法 281
4.10 自定義策略實現SSH登錄失敗告警 282
4.11 小結 285
第5章 OSSIM系統監測工具 286
5.1 Linux性能評估 286
5.1.1 性能評估工具 286
5.1.2 查找消耗資源的進程 288
5.2 OSSIM壓力測試 288
5.2.1 軟硬件測試環境 288
5.2.2 測試項目 289
5.2.3 測試工具 289
5.2.4 IDS測試工具Nidsbench 292
5.3 性能分析工具實例 294
5.3.1 sar 295
5.3.2 vmstat 295
5.3.3 用iostat分析I/O子系統 296
5.3.4 dstat 297
5.3.5 iotop 298
5.3.6 atop 299
5.3.7 替代netstat的工具ss 299
5.4 OSSIM平臺中MySQL運行狀況 299
5.4.1 影響MySQL性能的因素 299
5.4.2 系統的IOPS 301
5.5 Syslog壓力測試工具——Mustsyslog使用 302
5.5.1 安裝mustsyslog 302
5.5.2 日誌模板設計 304
5.5.3 日誌標簽說明 305
5.5.4 域標簽舉例 305
5.6 常見問題解答 305
5.7 小結 321
第6章 Snort規則分析 322
6.1 預處理程序 322
6.1.1 預處理器介紹 322
6.1.2 調整預處理程序 329
6.1.3 網絡攻擊模式分類 330
6.2 Snort日誌分析利器 332
6.3 Snort日誌分析 332
6.3.1 工作模式 332
6.3.2 輸出插件 337
6.4 Snort 規則編寫 343
6.4.1 Snort 規則分析 344
6.4.2 規則組成及含義 345
6.4.3 編寫Snort規則 351
6.4.4 手工修改Suricata規則 354
6.4.5 啟用新建的ET規則 354
6.4.6 應用新規則 355
6.4.7 主動探測與被動探測 356
6.5 可疑流量檢測技術 356
6.5.1 通過特徵檢測 356
6.5.2 檢測可疑的載荷 356
6.5.3 檢測具體元素 357
6.5.4 OSSIM中的Snort規則與SPADE檢測 358
6.5.5 惡意代碼行為特徵分析 358
6.5.6 蜜罐檢測 359
6.6 Snort規則進階 360
6.6.1 可疑流量的報警 360
6.6.2 空會話攻擊漏洞報警 361
6.6.3 用戶權限獲取 361
6.6.4 失敗的權限提升報警規則 362
6.6.5 企圖獲取管理員權限 362
6.6.6 成功獲取管理員權限 362
6.6.7 拒絕服務 363
6.7 高速網絡環境的應用 365
6.7.1 Suricata VS Snort 365
6.7.2 PF_ring工作模式 365
6.8 網絡異常行為分析 366
6.8.1 流程分析 366
6.8.2 舉例 367
6.10 小結 368
第三篇 實戰篇
第7章 OSSIM日誌收集與分析 371
7.1 日誌分析現狀 371
7.1.1 日誌記錄內容 372
7.1.2 日誌中能看出什麽 373
7.1.3 日誌分析的基本工具及缺陷 373
7.1.4 海量日誌收集方式 374
7.2 日誌消息格式與存儲 374
7.2.1 日誌消息格式 374
7.2.2 OSSIM下的日誌查詢比較 375
7.2.3 日誌的導出 376
7.2.4 日誌分類可視化 377
7.2.5 基於文本格式的日誌 378
7.2.6 基於壓縮模式的日誌文件 380
7.2.7 日誌轉儲到數據庫 380
7.2.8 日誌處理及保存時間 381
7.2.9 日誌系統保護 381
7.2.10 日誌輪詢 381
7.2.11 OSSIM分佈式系統中日誌存儲問題 382
7.3 日誌協議Syslog 382
7.3.1 常見日誌收集方式 383
7.3.2 日誌的標準化 384
7.3.3 主流日誌格式介紹 384
7.3.4 Syslog日誌記錄級別 386
7.3.5 Syslog.conf配置文件 386
7.3.6 用Tcpdump分析Syslog數據包 388
7.3.7 Syslog的安全漏洞 388
7.3.8 配置SNMP 388
7.4 原始日誌格式對比 389
7.5 插件配置步驟 390
7.6 插件導入 391
7.7 插件註冊操作實例 391
7.8 Agent插件處理日誌舉例 395
7.8.1 收集與處理過程 395
7.8.2 常見Windows日誌轉換syslog工具 397
7.8.3 Windows日誌審核 398
7.8.4 收集Windows平臺日誌 398
7.8.5 收集Cisco 路由器日誌 399
7.9 Rsyslog配置 400
7.9.1 Rsyslog配置詳解 400
7.9.2 Rsyslog配置參數含義 401
7.9.3 選擇合適的日誌級別 401
7.10 網絡設備日誌分析與舉例 402
7.10.1 路由器日誌分析 403
7.10.2 交換機日誌分析 403
7.10.3 防火墻日誌分析 405
7.10.4 收集CheckPoint設備日誌 407
7.10.5 Aruba(無線AP)的日誌 408
7.11 Apache日誌分析 409
7.11.1 日誌作用 409
7.11.2 日誌格式分析 410
7.11.3 日誌統計舉例 410
7.11.4 錯誤日誌分析 411
7.12 Nginx日誌分析 413
7.12.1 基本格式 413
7.12.2 將Nginx日誌發送到Syslog 415
7.13 FTP日誌分析 415
7.13.1 FTP日誌分析 415
7.13.2 分析vsftpd.log和xferlog 416
7.13.3 將Linux的 Vsftp日誌發送到OSSIM 418
7.14 iptables 日誌分析 419
7.14.1 iptables日誌分析 419
7.14.2 iptables日誌管理範例 421
7.14.3 輸出iptables日誌到指定文件 422
7.15 Squid服務日誌分析 425
7.15.1 Squid日誌分類 425
7.15.2 典型Squid訪問日誌分析 425
7.15.3 Squid時間戳轉換 426
7.15.4 將Squid的日誌收集到OSSIM 427
7.16 DHCP 服務器日誌 428
7.17 收集Windows日誌 430
7.17.1 OSSIM日誌處理流程 431
7.17.2 通過Snare轉發Windows日誌 431
7.17.3 通過WMI收集Windows日誌 435
7.17.4 配置OSSIM 436
7.17.5 Snare與WMI的區別 437
7.18 小結 438
第8章 OSSIM流量分析與監控 439
8.1 用NetFlow分析異常流量 439
8.1.1 流量採集對業務的影響 440
8.1.2 NetFlow 的Cache管理 441
8.1.3 NetFlow的輸出格式 441
8.1.4 NetFlow的採樣機制 441
8.1.5 NetFlow採樣過濾 441
8.2 NetFlow在監測惡意代碼中的優勢 443
8.2.1 NetFlow的性能影響 444
8.2.2 NetFlow在蠕蟲病毒監測的應用 444
8.2.3 網絡掃描和蠕蟲檢測的問題 445
8.2.4 NetFlow與谷歌地圖的集成顯示 448
8.2.5 其他異常流量檢測結果分析 449
8.3 OSSIM下NetFlow實戰 450
8.3.1 組成 450
8.3.2 關鍵參數解釋 452
8.3.3 Sensor中啟用NetFlow 453
8.3.4 Nfsen數據流的存儲位置 454
8.3.5 NetFlows抽樣數據保存時間 456
8.3.6 NetFlow的讀取方式 456
8.3.7 nfdump的作用 458
8.3.8 將NetFlow數據集成到Web UI的儀表盤 458
8.3.9 分佈式環境下NetFlow數據流處理 459
8.4 OSSIM流量監控工具綜合應用 463
8.4.1 Ntop流量採集方式 463
8.4.2 Ntop監控 464
8.4.3 數據大小分析 469
8.4.4 流量分析 470
8.4.5 協議分析 474
8.4.6 負載分析 475
8.4.7 Ntop應用於網絡視頻監視 476
8.4.8 Ntop 的風險旗幟標示 478
8.4.9 升級到Ntopng 481
8.5 故障排除 482
8.5.1 多網卡問題 482
8.5.2 Ntop Web頁面打開緩慢對策 483
8.5.3 “Sensor not available”故障對策 483
8.5.4 暫停Ntop服務 484
8.5.5 管理員密碼遺忘對策 484
8.6 用Nagios監視 485
8.6.1 Nagios實現原理 486
8.6.2 利用NRPE 插件實現服務器監控 486
8.6.3 Nagios的Web界面 489
8.6.4 Naigos插件 494
8.6.5 Nagios擴展NRPE 499
8.6.6 監控開銷 500
8.6.7 OSSIM系統中應用Nagios監控資源 500
8.6.8 Nagios報錯處理 502
8.6.9 被動資產檢測PRADS 503
8.6.10 性能監控利器Munin 504
8.7 Nagios配置文件 505
8.7.1 主機定義 506
8.7.2 服務定義 507
8.8 第三方監控工具集成 507
8.8.1 OSSIM 2.3的集成 508
8.8.2 OSSIM 4.1的集成 509
8.8.3 OSSIM 4.6的集成 510
8.8.4 Sensor安裝Cacti 511
8.8.5 安裝Zabbix 513
8.9 硬件監控 514
8.9.1 IPMI 514
8.9.2 lm—sensors 516
8.9.3 hddtemp 516
8.10 小結 517
第9章 OSSIM應用實戰 518
9.1使用OSSIM系統 518
9.1.1 初識OSSIM Web UI 518
9.1.2 OSSIM 4.8界面 521
9.1.3 OSSIM控制中心:AlienVault Center 523
9.1.4 基於角色的訪問權限控制 524
9.1.5 儀表盤詳解 527
9.2 OSSIM的Web UI菜單結構 529
9.3 OSSEC架構與配置 531
9.3.1 OSSEC架構 531
9.3.2 OSSEC Agent端進程 531
9.3.3 OSSEC Server端 534
9.3.4 OSSEC配置文件和規則庫 535
9.3.5 測試規則 537
9.3.6 分佈式系統中OSSEC Agent的管理 537
9.3.7 OSSEC日誌存儲 538
9.3.8 OSSEC Agent安裝 539
9.3.9 OSSEC觸發的關聯分析報警 550
9.3.10 其他HIDS應用 552
9.4 資產Assets管理 553
9.4.1 資產發現 554
9.4.2 資產地圖定位 555
9.4.3 掃描控制參數 555
9.4.4 資產列表 556
9.4.5 資產管理工具 558
9.4.6 資產分組 560
9.4.7 資產快速查找 561
9.4.8 設置Nmap掃描頻率 562
9.4.9 OCS檢測頻率 562
9.5 OpenVAS掃描模塊分析 562
9.5.1 掃描流程控制 563
9.5.2 掃描插件分析 564
9.5.3 腳本加載過程 568
9.5.4 NASL腳本介紹 569
9.6 OpenVAS腳本分析 569
9.6.1 OpenVAS腳本類別 570
9.6.2 同步OpenVAS插件 570
9.7 漏洞掃描實踐 575
9.7.1 漏洞庫 575
9.7.2 常見漏洞發布網站 577
9.7.3 手動更新CVE庫 578
9.7.4 採用OpenVAS掃描 578
9.7.5 掃描過程 582
9.7.6 變更掃描策略 584
9.7.7 Nmap與OpenVAS的區別 587
9.7.8 分佈式漏洞掃描 588
9.7.9 設置掃描用戶憑證 589
9.7.10 掃描頻率 590
9.7.11 漏洞掃描超時問題 590
9.8 OpenVAS掃描故障排除 591
9.8.1 常見OpenVAS故障三則 591
9.8.2 OpenVAS故障分析 594
9.9 配置OSSIM報警 598
9.9.1 基本操作 598
9.9.2 實例 599
9.10 OSSIM在蠕蟲預防中的應用 602
9.10.1 多維度分析功能 603
9.10.2 發現異常流量 603
9.10.3 蠕蟲分析 604
9.10.4 流量分析 605
9.10.5 協議分析 607
9.11 時間線分析方法 608
9.11.1 時間線分析法的優勢 608
9.11.2 實例 608
9.12 利用OSSIM進行高級攻擊檢測 610
9.12.1 誤用檢測與異常檢測 610
9.12.2 繪制Shellcode代碼執行流程圖 613
9.12.3 收集異常行為流量樣本 614
9.13 合規管理及統一報表輸出 615
9.13.1 合規管理目標 615
9.13.2 主要技術 615
9.13.3 什麽是合規 616
9.13.4 理解PCI合規遵從 616
9.13.5 報表類型 619
9.13.6 日誌合規檢測 621
9.13.7 報表合規性 624
9.14 小結 627
第10章 基於B/S架構的數據包捕獲分析 628
10.1 數據包捕獲 628
10.1.1 數據包捕獲設定 629
10.1.2 抓包區域說明 630
10.1.3 抓包時提示“This traffic capture is empty”的解決辦法 631
10.1.4 遠程故障排除案例 631
10.2 數據包過濾種類 632
10.3 過濾匹配表達式實例 634
10.3.1 過濾基礎 634
10.3.2 協議過濾 634
10.3.3 對埠的過濾 635
10.3.4 對包長度的過濾 635
10.3.5 ngrep過濾 636
10.4 命令行工具tshark和dumpcap 637
10.4.1 tshark應用基礎 637
10.4.2 dumpcap使用 638
10.4.3 用tshark分析pcap 638
10.5 使用tcpdump過濾器 641
10.5.1 tcpdump過濾器基礎 641
10.5.2 其他常見過濾器使用方法 642
10.5.3 通過Traffic Capture抓包存儲 643
10.6 針對IE瀏覽器漏洞的攻擊分析 644
10.7 小結 648
參考文獻 649