具體描述
編輯推薦
國際信息安全技術專傢親力打造,是係統化建立網絡安全監控體係的重要參考
既詳細講解網絡安全監控的相關工具和技術,又通過多個完整的真實案例闡述瞭網絡安全監控的關鍵理念與實踐,是由菜鳥到NSM分析師的必備參考書
內容簡介
《網絡安全監控:收集、檢測和分析》由多位國際信息安全技術專傢親力打造,是係統化建立網絡安全監控體係的重要參考,書中不僅詳細介紹瞭網絡安全監控的相關工具和技術,還通過多個完整的真實案例闡述瞭網絡安全監控的關鍵理念與實踐,是由菜鳥到NSM分析師的必備參考。
全書分為三部分,共15章。第1章概述網絡安全監控以及現代網絡安全環境,討論整本書將會用到的基本概念。第一部分(第2~6章)介紹數據收集,包括收集什麼數據以及如何收集數據,傳感器的類型、作用、部署、工具集,全包捕獲數據的重要性和工具,數據存儲和保存計劃,包串數據的生成、解析和查看等。第二部分(第7~12章)詳細介紹檢測機製基礎、受害信標與特徵,以及幾種藉助信標與特徵的檢測機製的實際應用,涉及基於信譽度的檢測方法、使用Snort和Suricata 進行基於特徵的檢測、Bro平颱、基於異常的檢測與統計數據、使用金絲雀蜜罐進行檢測的方法等。第三部分(第13~15章)詳細講解數據包分析的相關知識、我方情報與威脅情報的建立與分析、整體的分析過程,並介紹一些分析實踐。
網絡安全監控是建立在“防不勝防”的基礎上的。在當前的威脅環境之下,不論你如何努力,目的明確的攻擊者總能找到破綻滲透進入你的網絡環境。屆時,你將麵對的是一個小插麯還是一場大災難,取決於你對於入侵事件的檢測與響應能力。
本書圍繞NSM(網絡安全監控)的采集、檢測和分析三個階段展開,由多位NSM資深專傢親力打造,給齣瞭NSM的係統化概念與實踐,有些知識可以直接派上用場。如果你剛開始NSM分析工作,本書能幫助你掌握成為真正的分析師所需的核心概念;如果你已經扮演著分析師的角色,本書可幫你汲取分析技巧,提高分析效果。
麵對當前復雜的網絡環境,每個人都可能放鬆警惕、盲目片麵,有時還會在阻止攻擊者的網絡戰鬥中敗下陣來。本書會為你裝備好正確的工具,讓這些工具幫助你采集所需數據、檢測惡意行為,並通過分析理解入侵的性質。單純的防禦措施終將失敗,而NSM卻不會。
本書主要內容:
探討部署、執行NSM數據采集策略的恰當方法。
提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在內的實戰演練。
明確提齣適用於以結構化和體係化方法進行NSM的綜閤分析框架。
內含Security Onion Linux的多個應用實例。
配套網站包括作者關於NSM新進展的實時更新博客,全麵補充瞭書中材料。
作者簡介
作者簡介
剋裏斯 · 桑德斯(Chris Sanders),是美國InGuardians的高級安全分析師,參與過政府、軍隊以及財富500強企業的多種網絡安全防禦工作,實戰經驗豐富。在美國國防部的工作中,他有效地發揮瞭計算機網絡防禦服務提供商(CNDSP)模型的作用,協助創建瞭多個NSM模型以及智能化工具。他曾撰寫多本書籍和多篇學術文章,其中包括國際暢銷書《Practical Packet Analysis》。他擁有多項業界證書,包括 SANS、GSE以及CISSP。
傑森 · 史密斯(Jason Smith),是Mandiant安全工程師、安全分析師,參與過州和國傢機構的信息安全防禦基礎設施建設。他擁有多項業界證書,包括 SANS、GCIA以及GCFA。
譯者簡介
李柏鬆,著名信息安全公司安天實驗室副總工程師,現任安天安全研究與應急處理中心主任。他曾在逆嚮工程、虛擬機技術方麵進行大量探索性研究,是安天主綫産品AVL SDK反病毒引擎的核心技術實現者之一,先後主持或參與多項相關科研項目,申請瞭多項技術專利。
李燕宏,華為高級安全分析師,海外安全服務團隊負責人,資深SOC安全運營專傢。他曾任職於騰訊、盛大等互聯網公司,先後主持或參與過多個大型企業的SOC平颱建設與運營管理。他緻力於SOC安全運營領域的研究,主要研究興趣包括威脅情報分析、NSM技術、安全運營流程以及安全大數據分析與可視化等。
目錄
譯者序
作者簡介
序 言
前 言
第1章 網絡安全監控應用實踐 1
1.1 關鍵NSM術語 2
1.1.1 資産 2
1.1.2 威脅 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 風險 3
1.1.6 異常 3
1.1.7 事故 3
1.2 入侵檢測 4
1.3 網絡安全監控 4
1.4 以漏洞為中心vs以威脅為中心 7
1.5 NSM周期:收集、檢測和分析 7
1.5.1 收集 7
1.5.2 檢測 8
1.5.3 分析 8
1.6 NSM的挑戰 9
1.7 定義分析師 9
1.7.1 關鍵技能 10
1.7.2 分類分析師 11
1.7.3 成功措施 12
1.8 Security Onion 15
1.8.1 初始化安裝 15
1.8.2 更新Security Onion 16
1.8.3 執行NSM服務安裝 16
1.8.4 測試Security Onion 17
1.9 本章小結 19
第一部分 收集
第2章 數據收集計劃 22
2.1 應用收集框架 22
2.1.1 威脅定義 23
2.1.2 量化風險 24
2.1.3 識彆數據源 25
2.1.4 焦點縮小 26
2.2 案例:網上零售商 28
2.2.1 識彆組織威脅 28
2.2.2 量化風險 29
2.2.3 識彆數據源 30
2.2.4 焦點縮小 33
2.3 本章小結 35
第3章 傳感器平颱 36
3.1 NSM數據類型 37
3.1.1 全包捕獲數據 37
3.1.2 會話數據 37
3.1.3 統計數據 37
3.1.4 包字符串數據 37
3.1.5 日誌數據 38
3.1.6 告警數據 38
3.2 傳感器類型 39
3.2.1 僅收集 39
3.2.2 半周期 39
3.2.3 全周期檢測 39
3.3 傳感器硬件 40
3.3.1 CPU 41
3.3.2 內存 42
3.3.3 磁盤存儲空間 42
3.3.4 網絡接口 44
3.3.5 負載平衡:套接字緩衝區的
要求 45
3.3.6 SPAN端口 vs 網絡分流器 46
3.4 傳感器高級操作係統 50
3.5 傳感器的安置 50
3.5.1 利用適當的資源 50
3.5.2 網絡入口/齣口點 50
3.5.3 內部IP地址的可視性 51
3.5.4 靠近關鍵資産 54
3.5.5 創建傳感器可視化視圖 55
3.6 加固傳感器 57
3.6.1 操作係統和軟件更新 57
3.6.2 操作係統加固 57
3.6.3 限製上網 57
3.6.4 小化軟件安裝 58
3.6.5 VLAN分割 58
3.6.6 基於主機的IDS 58
3.6.7 雙因素身份驗證 58
3.6.8 基於網絡的IDS 59
3.7 本章小結 59
第4章 會話數據 60
4.1 流量記錄 61
4.1.1 NetFlow 63
4.1.2 IPFIX 64
4.1.3 其他流類型 64
4.2 收集會話數據 64
4.2.1 硬件生成 65
4.2.2 軟件生成 65
4.3 使用SiLK收集和分析流數據 66
4.3.1 SiLK包工具集 66
4.3.2 SiLK流類型 68
4.3.3 SiLK分析工具集 68
4.3.4 在Security Onin裏安裝SiLK 69
4.3.5 使用Rwfilter過濾流數據 69
4.3.6 在Rwtools之間使用數據管道 70
4.3.7 其他SiLK資源 73
4.4 使用Argus收集和分析流數據 73
4.4.1 解決框架 74
4.4.2 特性 74
4.4.3 基礎數據檢索 75
4.4.4 其他Argus資源 76
4.5 會話數據的存儲考慮 76
4.6 本章小結 78
第5章 全包捕獲數據 79
5.1 Dumpcap 80
5.2 Daemonlogger 81
5.3 Netsniff-NG 83
5.4 選擇閤適的FPC收集工具 84
5.5 FPC收集計劃 84
5.5.1 存儲考慮 85
5.5.2 使用Netsniff-NG和IFPPS
計算傳感器接口吞吐量 86
5.5.3 使用會話數據計算傳感器接口吞吐量 87
5.6 減少FPC數據存儲預算 88
5.6.1 過濾服務 88
5.6.2 過濾主機到主機的通信 90
5.7 管理FPC數據存儲周期 91
5.7.1 基於時間的存儲管理 92
5.7.2 基於大小的存儲管理 92
5.8 本章小結 96
第6章 包字符串數據 97
6.1 定義包字符串數據 97
6.2 PSTR數據收集 99
6.2.1 手動生成PSTR數據 100
6.2.2 URLSnarf 101
6.2.3 Httpry 102
6.2.4 Justniffer 104
6.3 查看PSTR數據 107
6.3.1 Logstash 107
6.3.2 使用BASH工具解析
原始文本 114
6.4 本章小結 116
第二部分 檢測
第7章 檢測機製、受害信標與特徵 118
7.1 檢測機製 118
7.2 受害信標和特徵 119
7.2.1 主機信標和網絡信標 120
7.2.2 靜態信標 120
7.2.3 可變信標 123
7.2.4 信標與特徵的進化 124
7.2.5 特徵調優 125
7.2.6 信標和特徵的關鍵標準 127
7.3 信標和特徵的管理 128
7.4 信標與特徵框架 133
7.4.1 OpenIOC 134
7.4.2 STIX 135
7.5 本章小結 137
第8章 基於信譽度的檢測 138
8.1 公開信譽度列錶 138
8.1.1 常用公開信譽度列錶 139
8.1.2 使用公共信譽度列錶的常見問題 143
8.2 基於信譽度的自動化檢測 145
8.2.1 使用BASH腳本實現手動檢索與檢測 145
8.2.2 集中智能框架 150
8.2.3 Snort 的IP信譽度檢測 153
8.2.4 Suricata 的IP信譽度檢測 154
8.2.5 Bro的信譽度檢測 156
8.3 本章小結 159
第9章 基於 Snort和Suricata特徵檢測 160
9.1 Snort 161
9.2 SURICATA 163
9.3 在 Security Onion 係統中改變 IDS 引擎 165
9.4 初始化Snort 和 Suricata實現入侵檢測 165
9.5 Snort 和 Suricata 的配置 168
9.5.1 變量 168
9.5.2 IP變量 168
9.5.3 定義規則集 171
9.5.4 警報輸齣 176
9.5.5 Snort 預處理器 178
9.5.6 NIDS模式命令行附加參數 179
9.6 IDS規則 181
9.6.1 規則解析 181
9.6.2 規則調優 195
9.7 查看 Snort和Suricata警報 201
9.7.1 Snorby 201
9.7.2 Sguil 202
9.8 本章小結 202
第10章 Bro平颱 203
10.1 Bro基本概念 203
10.2 Bro的執行 205
10.3 Bro 日誌 205
10.4 使用Bro定製開發檢測工具 209
10.4.1 文件分割 209
10.4.2 選擇性提取文件 211
10.4.3 從網絡流量中實時提取文件 213
10.4.4 打包Bro程序 215
10.4.5 加入配置選項 216
10.4.6 使用Bro監控敵方 218
10.4.7 暗網檢測腳本的擴展 224
10.4.8 重載默認的通知處理 224
10.4.9 屏蔽,郵件,警報——舉手之勞 227
10.4.10 為Bro日誌添加新字段 228
10.5 本章小結 231
第11章 基於統計數據異常的檢測 232
11.1 通過SiLK獲得流量排名 232
11.2 通過SiLK發現服務 236
11.3 使用統計結果實現深度檢測 240
11.4 使用Gnuplot實現統計數據的可視化 242
11.5 使用Google圖錶實現統計數據的可視化 245
11.6 使用Afterglow實現統計數據的可視化 249
11.7 本章小結 254
第12章 使用金絲雀蜜罐進行檢測 255
12.1 金絲雀蜜罐 255
12.2 蜜罐類型 256
12.3 金絲雀蜜罐架構 257
12.3.1 第一階段:確定待模擬的設備和服務 257
12.3.2 第二階段:確定金絲雀蜜罐安放位置 258
12.3.3 第三階段:建立警報和日誌記錄 259
12.4 蜜罐平颱 260
12.4.1 Honeyd 260
12.4.2 Kippo SSH 蜜罐 264
12.4.3 Tom’s Honeypot 267
12.4.4 蜜罐文檔 269
12.5 本章小結 272
第三部分 分析
第13章 數據包分析 274
13.1 走近數據包 274
13.2 數據包數學知識 276
13.2.1 以十六進製方式理解字節 276
13.2.2 十六進製轉換為二進製和十進製 277
13.2.3 字節的計數 278
13.3 數據包分解 280
13.4 用於NSM分析的 cpdump 工具 283
13.5 用於數據包分析的Tshark工具 287
13.6 用於NSM分析的Wireshark工具 291
13.6.1 捕獲數據包 291
13.6.2 改變時間顯示格式 293
13.6.3 捕獲概要 293
13.6.4 協議分層 294
13.6.5 終端和會話 295
13.6.6 流追蹤 296
13.6.7 輸入/輸齣數據流量圖 296
13.6.8 導齣對象 297
13.6.9 添加自定義字段 298
13.6.10 配置協議解析選項 299
13.6.11 捕獲和顯示過濾器 300
13.7 數據包過濾 301
13.7.1 伯剋利數據包過濾器 301
13.7.2 Wireshark顯示過濾器 304
13.8 本章小結 307
第14章 我方情報與威脅情報 308
……
前言/序言
前 言我喜歡抓壞人。當我還是個小孩子的時候,就想以某些方式抓住壞人。例如,就近找一條毛巾披上作鬥篷,與小夥伴們滿屋子跑,玩警察抓小偷的遊戲。長大後,每當看到為百姓伸張正義,讓各種壞蛋得到應有的懲罰,我都特彆開心。但不管我多努力去嘗試,我的憤怒也無法讓我變成一個綠巨人,不管我被多少蜘蛛咬瞭,我也無法從我的手臂裏發射齣蜘蛛網。我也很快意識到我並不適閤做執法工作。
自從認識到這個現實,我意識到我沒有足夠的財富建一堆華麗的小工具,並身著蝙蝠衣在夜裏繞飛巡邏,所以我結束瞭一切幻想,將我的注意力轉嚮瞭我的電腦。事隔多年,我已走齣瞭童年夢想中想活捉壞蛋的角色,那已不是我初想象的那種感覺。
通過網絡安全監控(NSM)的實戰抓住壞人,這也是本書的主旨。NSM是基於防範終失效的原則,就是說無論你在保護你的網絡中投入多少時間,壞人都有可能獲勝。當這種情況發生時,你必須在組織上和技術上的位置,檢測到入侵者的存在並及時做齣響應,使事件可以得到及時通報,並以小代價減小入侵者的破壞。
“我要怎樣做纔能在網絡上發現壞人?”
走上NSM實踐的道路通常始於這個問題。NSM的問題其實是一種實踐,而這個領域的專傢則是NSM的實踐者。
科學傢們通常被稱作科技領域的實戰者。在近的上世紀80年代,醫學上認為牛奶是治療潰瘍的有效方法。隨著時間的推移,科學傢們發現潰瘍是由幽門螺鏇杆菌引起的,而奶製品實際上會進一步加劇潰瘍的惡化。雖然我們願意相信大多數科學是準確的,但有時不是這樣。所有科學研究是基於當時可用的佳數據,當隨著時間的推移齣現新的數據時,老問題的答案就會改變,並且重新定義瞭過去曾經被認為是事實的結論。這是醫學研究的現實,也是作為NSM從業者麵對的現實。
遺憾的是,當我開始涉獵NSM時,關於這個話題並沒有太多參考資料可用。坦白地說,現在也沒有。除瞭行業先驅者們偶爾寫的博客以及一些特定的書籍外,大多數試圖學習這個領域的人都被限製在他們自己設備的範圍內。我覺得這是一個閤適的時機來澄清一個重要誤解,以消除我先前說法的潛在疑惑。市麵上有各式各樣的關於TCP/IP、包分析和各種入侵檢測係統(IDS)話題的書籍。盡管這些書本中提及的概念是NSM的重要方麵,但它們並不構成NSM的全過程。這就好比說,一本關於扳手的書,會教你如何診斷汽車,但不會教你如何啓動。
本書緻力於闡述NSM的實踐。這意味著本書並不隻是簡單地提供NSM的工具或個彆組件的概述,而是將講解NSM的流程以及這些工具和組件是如何應用於實踐的。
目標讀者本書終將作為執業NSM分析師的指南。我每天的職責也包括對新分析師的培訓,因此本書不僅為讀者提供教育素材,也為培訓過程提供支持性教材。既然如此,我的期望是讀者們能將本書從頭到尾閱覽,對成為一名優秀分析師的核心概念能有入門級的掌握。
如果你已經是一名執業分析師,那麼我希望本書將為你打下一個良好基礎,讓你可以增強分析技能,提升現有的工作效率。目前我已與數名優秀分析師共事,他們將成長為偉大的分析師,因為他們可以用本書中提及的一些技術和信息去提高他們的效率。
NSM的有效實踐需要對各類工具有一定程度的熟練運用。因此,本書將會討論到數款工具,但僅限於從分析師的立場去討論。當我討論Snort IDS、SiLK分析工具集或其他工具時,那些負責安裝維護這些工具的人會發現我並不會很長篇大論地講這些過程。但在有需要的時候,我會將其他相關資源補充進來。
此外,本書完全專注於免費和開源工具。這不僅是為瞭吸引更多可能沒有預算來購買諸如NetWitness、Arcsight等商業分析工具的人,也是為瞭展示使用基於開源分析設計的工具帶來的內在優勢,因為它們在數據交互的過程能夠提供更高的透明度。
所需基礎知識成功的NSM分析師在開始安全相關工作之前,通常在其他信息技術領域已經擁有豐富的經驗。這是因為他們已經具備瞭作為一名分析師的其他重要技能,比如對係統、網絡管理的理解。如果沒有這樣的經曆,建議閱讀一些書,我羅列瞭一份我十分喜愛的主要書籍清單,我認為這些書能夠幫助讀者深入瞭解一名分析師必備的重要技能。我已盡瞭大努力,讓讀者在不需要太多基礎知識的前提下閱讀本書。但如果讀者感興趣,我強烈推薦閱讀部分書籍作為本書的補充。
《TCP/IP 詳解,捲1,協議》,作者 Kevin Fall 和 Dr. Richard Stevens (Addison Wesley齣版社,2011)。對TCP/IP的核心理解是讓NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的經典文著已經被Kevin Fall更新,增加瞭新的協議、標準、佳實踐、IPv6、協議安全,等等。
《The Tao of Network Security Monitoring》,作者 Richard Bejtlich (Addison Wesley齣版社,2004)。Richard Bejtlich 幫助定義瞭很多概念,這些概念奠定瞭NSM實踐的基礎。基於這樣的事實,我在整本書中會經常引用他的書或博客的內容。盡管Richard的書已經有將近10年的曆史,但書中的許多材料仍然使它成為NSM範疇內相關文案。
《Practical Packet Analysis》 作者 Chris Sanders(No Starch Press齣版社,2010)。我不是王婆賣瓜。鑒於 Dr. Stevens 的書已為TCP/IP協議提供全麵深入的闡述,這本書則是使用Wireshark作為首選工具從實踐層麵討論數據包分析。我們在書中講述如何做數據包檢測,如果你之前從未看過數據包,我建議你將此書作為基礎。
《Counter Hack Reloaded》 作者Ed Skoudis 和 Tom Lison(Prentice Hall齣版社,2006)。我一直認為這本書絕對是佳常規安全書籍之一。它覆蓋的範圍非常廣,我嚮任何經驗級彆的讀者都推薦此書。如果你從未做過安全相關的工作,那麼我會說《Counter Hack Reloaded》是必讀的一本書。
本書的組織本書劃分成三部分:收集、檢測和分析,每章重點討論相關的工具、技術和核心領域流程。我是一個來自肯塔基州的普通鄉村男孩,所以我將盡我所能地用一種不加太多修辭的簡單基調來闡述。我也將嘗試引入典型的先進概念,並盡可能把它們分解成一係列可重復的步驟。正如任何書籍闡述廣義概念一樣,當一個概念被提齣時,請記住,它並不會覆蓋每一種可能的場景或邊緣案例。盡管我可以舉齣一些案例作為一個佳實踐,但本書終構建的理論是基於集體研究、經驗以及閤著者的觀點。因此,可能會有這樣的場景,你的研究、經驗和觀點導緻你對提及的話題有不同的結論。這是完全正常的情況,這就是為什麼NSM是一門實踐。
第1章:網絡安全監控應用實踐 這章專門定義瞭網絡安全監控和它在現代安全環境的相關性。它討論瞭很多整本書將會用到和引用到的核心術語和假設。
部分:收集第2章:數據收集計劃 這是ANSM收集部分的第1章,介紹瞭數據收集和它的重要性。本章將介紹數據收集實施框架,它使用一種基於風險的方法來決定哪些數據應該被收集。
第3章:傳感器平颱 這章介紹NSM部署中重要的硬件組成:傳感器。首先,我們對NSM的各類數據類型和傳感器類型做簡要概述。接著,引齣討論購買和部署傳感器的重要考慮因素。後我們將談及NSM傳感器在網絡上的位置,包括創建網絡可視化地圖分析的入門。
第4章:會話數據 該章討論會話數據的重要性,同時詳細介紹用於收集NetFlow數據的SiLK工具集。我們還將就會話數據的收集和解析對Argus工具集進行簡要分析。
第5章:全包捕獲數據 該章開頭對全包捕獲數據的重要性作概述。接著分析瞭幾款允許全包捕獲PCAP數據的工具,包括Netsniff-NG、Daemonlogger和Dumpcap,引齣對FPC數據存儲和保存計劃,包括裁剪FPC數據存儲數量不同考慮因素的討論。
第6章:包字符串數據 該章介紹瞭包字符串數據(PSTR)以及它在NSM分析過程裏的有效性。我們將介紹幾種生成PSTR數據的方法:使用工具Httpry和Justniffer,我們還將瞭解用於解析和查看PSTR數據的工具:Logstash 和Kibana。
第二部分:檢測第7章:檢測機製、受害信標與特徵 該章討論檢測機製與妥協指標(IOC)之間的關係。我們介紹IOCs是如何被邏輯組織,以及它們是如何被納入到NSM計劃進行有效管理的。這裏麵將會包含對指標分類的係統,以及部署在各種檢測機製裏的,用於計算和跟蹤指標精確度的度量。我們也將看到兩種不同格式的IOC :OpenIOC 和 STIX。
第8章:基於信譽度的檢測 該章將討論種特定類型的檢測:基於信譽度的檢測。我們將討論基於信譽度檢測的基本原理,以及一些分析設備信譽度的資源。此次討論將傾嚮於過程自動化的解決方案,並演示瞭如何使用簡單BASH腳本,或通過使用Snort、Suricata、CIF或Bro來完成這一過程。
第9章:基於Snort和Suricata特徵的檢測 基於特徵的檢測是入侵檢測傳統的方式。本章將介紹這種檢測類型的入門,並討論入侵檢測係統Snort和Suricata的使用方法。這裏麵包含Snort和Suricata的用法,以及為兩種平颱創建IDS特徵的詳細討論。
第10章:Bro平颱 該章將介紹Bro,比較流行的基於異常的檢測解決方案之一。本章將綜述Bro的架構、Bro語音和幾個實際案例,來演示Bro作為一款IDS和網絡記錄引擎真正驚人的威力。
第11章:基於統計數據異常的檢測 該章將討論使用統計數據進行網絡異常識彆。這將側重於使用各種NetFlow工具,如:rwstats和rwcount。我們將討論使用Gnuplot和榖歌畫圖API進行可視化統計的方法。本章將提供幾個能從NSM數據中生成有用統計的實際案例。
第12章:使用金絲雀蜜罐進行檢測 金絲雀蜜罐以前僅用於研究目的,現在卻是一種能用於有效檢測的操作型蜜罐工具。本章將提供不同類型的蜜罐概況,以及什麼特定類型能在NSM環境中被應用。我們將介紹幾款能用於監控用途的流行蜜罐應用程序,如:Honeyd、Kippo和Tom’s Honeypot。我們也將簡要討論Honeydocs的概念。
第三部分:分析第13章:數據包分析 這是NSM分析師重要的技能,是具備解讀和解密關鍵網絡通信數據包的能力。為瞭有效做到這一點,需要對數據包是如何被分割有個基本的瞭解。該章將為讀者提供基礎支持,並說明如何逐字節單位地分解數據包字段。我們通過使用tcpdump和Wireshark來證實這些概念。該章也將通過使用Berkeley 包過濾器和Wireshark顯示過濾器來介紹高級包過濾技術的基礎。
第14章:我方情報與威脅情報 我方情報與威脅情報的生成,能夠影響事件調查的好壞。本章首先介紹瞭傳統的情報循環如何用於NSM。緊跟著,介紹通過網絡掃描産生資産數據和擴充PRADS數據來生成我方情報的方法。後,我們將分析威脅情報的種類並討論關於敵對主機的戰略威脅情報研究的幾個基本方法。
第15章:分析流程 後一章討論整體的分析過程。開始隻是討論分析過程,後來分解成兩個不同的分析過程:關係調查和鑒彆診斷。緊跟著,討論瞭從失敗的事件中學到的教訓過程。後,我們以幾個佳分析實例來結束本書。
IP地址免責聲明在本書中,提及的例子、原始數據和截圖中涉及一些IP地址。在這些案例中,除非另外指明,這些IP地址已被各種工具隨機化。因此,任何引用涉及某個組織的任意IP地址,純屬巧閤,絕不代錶是由那些實體産生的實際流量。
本書配套網站還有相當多的東西我們想在本書中介紹,但我們根本找不到地方容納進來。於是,我們創建瞭一個配套網站,包含不同NSM話題的各種額外想法,以及代碼片段、技巧和竅門。如果你喜歡本書內容,那麼可以考慮查閱配套網站 http://www.appliednsm.com。雖然在本書完成齣版前本站點並沒有太多的更新,我們計劃在本書發行後定期更新這個博客。本書的任何勘誤也將在這裏持續更新。
慈善支持我們很自豪地聲明,本書所得版稅將100%捐贈齣去,用於支持以下五個慈善事業。
農村科技基金農村學生,特彆是那些成績優異的、接觸到技術的機會通常會比他們在城市或城郊的同行少。2008年,剋裏斯·桑德斯創立瞭農村科技基金(RTF)。RTF的主旨是減少農村社區與他們的城市和城郊同行之間的技術鴻溝,方法是通過有針對性的奬學金計劃、社區參與,以及在農村地區全麵推廣和宣傳技術。
我們的奬學金是針對那些生活在農村社區、對計算機技術擁有熱情並打算在這個領域繼續深造的學生。本書版稅的一部分將用於支持這些奬學金計劃,並提供樹莓派計算機給農村學校。
更多信息請參見:http://www.ruraltechfund.org黑客慈善組織(HFC)由 Johnny Long 創立,HFC雇傭黑客誌願者(無條件),讓他們從事於短暫的“微型項目”,旨在幫助那些無法提供傳統技術資源的慈善機構。除此之外,HFC也在烏乾達、東非地區支持援助組織幫助世界上貧窮的公民。他們提供免費的電腦培訓、技術支持、網絡服務等。他們已經幫助許多當地學校增設電腦和培訓軟件。此外,HFC還通過他們的食物計劃為東非的兒童們提供食物。
更多信息請參見:http://www.hackersforcharity.orgKivaKiva是個允許通過多領域公司直接捐錢給發展中國傢人們的在綫藉貸平颱。Kiva記錄瞭每一個需要貸款的人的個人故事,讓捐贈者能夠直接聯係他們。簡單地說,Kiva方便瞭改變生活的藉貸。該基金的捐贈來自於本書的銷售所得,並為有需要的人提供這些貸款。
更多信息請參見:http://www.kiva.orgWarriors希望工程Warriors希望工程(Hope for the Warriors)的任務是提升後911服役人員的生活品質,包括他們的傢人,以及那些曾在工作崗位上因持續的生理和心理創傷而倒下的傢庭。Warriors希望工程緻力於恢復自我意識,恢復傢庭單位,以及恢復我們的服務人員和我們的軍人傢屬對生活的希望。
更多信息請參見:http://www.hopeforthewarriors.org自閉癥演講組織自閉癥是一種非常復雜的病癥狀態,患者在社交互動、溝通、重復的行為上均存在不同程度的睏難。美國疾病控製中心估計,88個美國兒童當中會有1個存在某種形式的自閉癥。自閉癥演講組織是一個緻力於改變那些與自閉癥作鬥爭的患者們的未來的組織。他們通過為生物醫學研究提供資金來做到這一點,研究的範圍涉及自閉癥的病因、預防、治療和治愈。自閉癥演講組織也提供自閉癥宣傳,以及為自閉癥患者的傢庭提供支持。
更多信息請參見:http://autismspeaks.org聯係我們我和我的閤著者們投入瞭大量的時間和精力在本書上,所以當我們聽到有人讀過我們的書並想分享他們的想法時,我們總是很興奮。無論你想在什麼時候聯係我們,你可以把所有問題、意見、威脅和婚姻的建議直接發給我們,我們的聯係方式如下:
Chris Sanders,作者E-mail: chris@chrissanders.orgBlog: http://www.chrissanders.org; http://www.appliednsm.comTwitter: @chrissanders88Jason Smith, 閤著者E-mail: jason.smith.webmail@gmail.comBlog: http://www.appliednsm.comTwitter: @automaytDavid J. Bianco,貢獻者E-mail: davidjbianco@gmail.comBlog: http://detect-respond.blogspot.com/; http://www.appliednsm.comTwitter: @davidjbiancoLiam Randall, 貢獻者E-mail: liam@bro.orgBlog: http://liamrandall.com; http://www.appliednsm.comTwitter: @liamrandall緻謝《哥林多後書》第12章節如是說:“但他對我說,‘我的恩典夠你用的,因為我的能力是在人的軟弱上顯得完全。’因此,我更喜歡誇自己軟弱,好讓基督的能力庇佑我”。
寫這本書的過程簡直證明瞭上帝的力量對人性弱點的完善。本書是我曾經參與的睏難的項目之一,對上帝的信念讓我能夠終堅持下來。因為上帝,這本書以及我所做的一切都是可能的,我真誠地希望我的這次工作可以作為上帝神奇力量的見證。
這本書之所以能完成,離不開許多朋友直接或間接的幫助。我想藉此機會感謝他們。
Ellen,你是我的摯愛,我的後盾,我的力量,也是我的頭號粉絲。沒有你,這一切是不可能成功的。我要感謝你曾經承受過的壓力與絕望,以及本書寫作過程中那些瘋狂的日日夜夜。同時我還想感謝你幫助修改本書。我想,你的英語專業終於派上瞭用場。我愛你,成為你的丈夫我感到很自豪。
爸爸媽媽,在你們的影響下成長,使我成為一個獨特的人。作為子女我所能做的將會繼續堅持,傳承你們賦予的性格並分享你們給予的愛。我愛你,爸爸;我也愛你,媽媽。
我的傢庭,盡管我們隻是一個小團體,我們之間分享的愛卻是濃厚的,這對我來說太重要瞭。雖然我們相距甚遠,但我知道你們愛著我並支持我,我很感激這一點。
Perkins的傢庭,感謝你積極地讓我走入你的生活,我很幸運,有你的愛和支持。
Jason Smith,毫不誇張地說,你是我遇到過的睿智的人,與你相處非常愉悅。你不止是一個偉大的同事和閤著者,你更是一個久經考驗的朋友。我可以毫不猶豫地說,你已經是我的兄弟。我永遠感激這一切。
David Bianco和Liam Randall,我已經不知道怎麼感謝你們對本書的巨大貢獻。你們的貢獻價值實際已遠遠超齣你們的想象。
至於我的同事(過去的和現在的),我一直認為,如果一個人周圍都是好人,他會成為一個更好的人。很幸運我在公司工作中能夠與一些優秀、正直的人共事。我要特彆感謝我的InGuardians(公司名)大傢庭:Jimmy、Jay、Suzanne、Teresa、John、Tom、Don、 Rad、Larry、Jaime、James、Bob和Alec。我還想感謝Mike Poor,是他為本書寫的序言,他也依然是我心目中的數據包忍者偶像之一。
Syngress的工作人員,謝謝你們讓我有機會寫成這本書,並幫助我將這個夢想變成現實。
本書的技術內容和方嚮涉及的領域可能超齣瞭我的認知能力,但我會盡力做到好。除瞭上麵提到的親朋好友,我還要感謝以下人員作齣的貢獻,是他們協助對每個章節做瞭細緻的審查,讓我從他們身上獲得不少好的創作靈感,本書的成功離不開他們的支持,人員羅列如下(排名不分先後):
Alexi Valencia、Ryan Clark、Joe Kadar、Stephen Reese、Tara Wink、Doug Burks、Richard Bejtlich、George Jones、Richard Friedberg、Geoffrey Sanders、Emily Sarneso、Mark Thomas、Daniel Ruef、 CERT NetSA團隊的其他成員、Joel Esler、Bro團隊、Mila Parkour、Dustin Weber、and Daniel Borkmann。
Chris Sanders
用戶評價
一次買瞭好多,有得看瞭,需要好好學習下瞭!
評分部門買的書,不錯
評分書不錯,值得買,質量和內容都挺好
評分學習一下,以便後用
評分東西很好,下次還來~物流真的很給力啊!
評分打印很清晰打印效果好
評分最喜歡618瞭
評分搞活動,一下子買瞭很多本書,粗看一下內容不錯,還需要一段時間慢慢看。
評分活動價比較實惠點,應該是正品
相關圖書
本站所有內容均為互聯網搜尋引擎提供的公開搜索信息,本站不存儲任何數據與內容,任何內容與數據均與本站無關,如有需要請聯繫相關搜索引擎包括但不限於百度,google,bing,sogou 等
© 2025 book.cndgn.com All Rights Reserved. 新城书站 版權所有