Snort 2.0入侵檢測

第一章入侵檢測系統(tǒng)
1.1什么是入侵檢測
1.1.1NIDS
1.1.2HIDS
1.1.3DIDS
1.2攻擊三部曲
1.2.1目錄回溯漏洞
1.2.2紅色代碼蠕蟲
1.2.3尼姆達蠕蟲
1.2.4什么是入侵
1.2.5用Snort發(fā)現入侵
1.3為什么IDS如此重要
1.3.1為什么會受到攻擊
1.3.2IDS布置在什么位置合適
1.3.3防火墻能否替代IDS
1.3.4還有哪些常見的攻擊類型
1.4IDS還能做什么
1.4.1監(jiān)視數據庫應用
1.4.2監(jiān)視DNS應用
1.4.3保護郵件服務器
1.4.4利用IDS監(jiān)視公司的安全政策
小結
本章快速回顧
FAQ第二章Snort2.0介紹
2.1什么是Snort
2.2Snort系統(tǒng)需求
2.2.1硬件
2.3Snort的特性
2.3.1數據包嗅探器
2.3.2預處理器
2.3.3檢測引擎模塊
2.3.4報警／日志模塊
2.4在網絡中部署Snort
2.4.1Snort的用途
2.4.2Snort和網絡體系結構
2.4.3運行Snort時的弱點
2.5Snort的安全考慮
2.5.1Snort易受攻擊
2.5.2加固我們的Snort系統(tǒng)
小結
本章快速回顧
FAQ
第三章安裝Snort
3.1關于Linux發(fā)布版本的簡要介紹
3.1.1Debian
3.1.2Slackware
3.1.3Gentoo
3.2安裝PCAP
3.2.1使用源碼包安裝libpcap
3.2.2用RPM包安裝libpcap
3.3安裝Snort
3.3.1從源代碼安裝Snort
3.3.2定制安裝：編輯snort.conf文件
3.3.3從RPM安裝Snort
3.3.4在MSWindows平臺上的安裝
3.3.5安裝Bleeding-Edge版本的Snort
小結
本章快速回顧
FAQ
第四章Snort的內部工作
4.1Snort的主要部件
4.1.1捕獲網絡流量
4.1.2抓包
4.2包解碼
4.3數據包處理
4.3.1預處理器
4.4規(guī)則解析和檢測引擎
4.4.1規(guī)則建立
4.4.2檢測插件
4.5輸出與日志
4.5.1將Snort用作快速嗅探器
4.5.2入侵檢測模式
4.5.3將Snort用作honeypot捕獲器和分析器
4.5.4記錄至數據庫
4.5.5使用SNMP方式報警
4.5.6以Barnyard和Unified格式輸出
小結
本章快速回顧
FAQ
第五章規(guī)則的運行
5.1理解配置文件
5.1.1定義和使用變量
5.1.2配置項的靈活應用
5.1.3包含規(guī)則文件
5.2規(guī)則頭
5.2.1規(guī)則動作選項
5.2.2可支持的協(xié)議
5.2.3指派源和目的IP地址
5.2.4指派源和目的端口
5.2.5理解方向操作符
5.2.6Activate和Dynamic規(guī)則特性
5.3規(guī)則體
5.3.1規(guī)則Content選項
5.3.2IP選項集合
5.3.3TCP選項集合
5.3.4ICMP選項集合
5.3.5規(guī)則識別選項集合
5.3.6其他規(guī)則選項
5.4"好"規(guī)則的構成
5.4.1規(guī)則動作
5.4.2定義恰當的Content
5.4.3合并子網掩碼
5.5測試規(guī)則
5.5.1壓力測試
5.5.2獨立規(guī)則測試
5.5.3測試BPF規(guī)則
5.6調整規(guī)則
5.6.1配置規(guī)則變量
5.6.2取消規(guī)則
5.6.3BPF
小結
本章快速回顧
FAQ
第六章預處理器
6.1什么是預處理器
6.2包重組的預處理器選項
6.2.1stream4預處理器
6.2.2frag2--分片重組和攻擊檢測
6.3協(xié)議解碼和規(guī)范化的預處理器選項
6.3.1Telnet協(xié)商
6.3.2HTTP規(guī)范化
6.3.3rpc_decode
6.4非規(guī)則和異常檢測預處理器選項
6.4.1端口掃描
6.4.2BackOrifice
6.4.3非規(guī)則檢測
6.5實驗階段的預處理器
6.5.1arpspoof
6.5.2asnl_decode
6.5.3fnord
6.5.4portscan2和conversation預處理器
6.5.5perfmonitor
6.6書寫自己的預處理器
6.6.1包重組
6.6.2解碼協(xié)議
6.6.3非規(guī)則的或基于異常的檢測
6.6.4建立自己的預處理器
6.6.5Snort給了我什么
6.6.6在Snort內加入預處理器
小結
本章快速回顧
FAQ
第七章Snort輸出插件的實現
7.1什么是輸出插件
7.2輸出插件選項
7.2.1缺省的日志方式
7.2.2Syslog
7.2.3PCAP日志
7.2.4Snortdb
7.2.5unified日志
7.3編寫輸出插件
7.3.1為什么編寫輸出插件
7.3.2建立定制的輸出插件
7.3.3Snort的輸出處理
小結
本章快速回顧
FAQ
第八章數據分析工具的使用
8.1使用Swatch
8.1.1安裝Swatch
8.1.2配置Swatch
8.1.3使用Swatch
8.2使用ACID
8.2.1安裝ACID
8.2.2配置ACID
8.2.3ACID的使用
8.3使用SnortSnarf
8.3.1安裝SnortSnarf
8.3.2配置Snort使其和SnortSnarf一起工作
8.3.3SnortSnarf的基本用途
8.4使用IDScenter
8.4.1安裝IDScenter
8.4.2配置IDScenter
8.4.3IDScenter基本用法
小結
本章快速回顧
FAQ
第九章Snort的升級
9.1打補丁
9.2升級規(guī)則
9.2.1規(guī)則如何維護
9.2.2如何獲得規(guī)則的更新
9.2.3如何合并規(guī)則
9.3測試規(guī)則更新
9.4關注規(guī)則更新
小結
本章快速回顧
FAQ
第十章Snort的優(yōu)化
10.1如何選擇硬件
10.1.1什么構成了"好"硬件
10.1.2如何測試硬件
10.2如何選擇操作系統(tǒng)
10.2.1對于NIDS來說什么是"好"操作系統(tǒng)
10.2.2應該使用何種操作系統(tǒng)
10.2.3如何測試所選擇的操作系統(tǒng)
10.3加速Snort安裝
10.3.1決定使用哪些規(guī)則
10.3.2配置預處理器以提高速度
10.3.3使用通用變量
10.3.4選擇輸出插件
10.4配置的基準測試
10.4.1基準測試的特征
10.4.2哪些工具可用于基準測試
小結
本章快速回顧
FAQ
第十一章Barnyard插件
11.1Barnyard是什么
11.2Barnyard的準備與安裝
11.3Barnyard的工作方式
11.3.1使用Barnyard配置文件
11.3.2深入Barnyard
11.3.3創(chuàng)建并顯示二進制日志輸出文件
11.4Barnyard輸出選項
11.5如何設置個性化輸出
11.5.1輸出插件的例子
小結
本章快速回顧
FAQ
第十二章深入Snort
12.1基于策略的IDS
12.1.1定義IDS的網絡策略
12.1.2基于策略IDS的例子
12.1.3制作基于策略的IDS
12.2內嵌式IDS
12.2.1基于Snort的內嵌式IDS
12.2.2安裝Snort為內嵌模式
12.2.3使用內嵌式IDS保護網絡
小結
本章快速回顧
FAQ
附錄