《Unix/Linux日志分析與流量監(jiān)控》書(shū)稿完成

近日，歷時(shí)3年創(chuàng)作的75萬(wàn)字書(shū)稿已完成，本書(shū)緊緊圍繞網(wǎng)絡(luò)安全的主題，對(duì)各種Unix/Linux系統(tǒng)及網(wǎng)絡(luò)服務(wù)日志進(jìn)行了全面系統(tǒng)的講解，從系統(tǒng)的原始日志（RawLog）采集與分析講起，逐步深入到日志審計(jì)與取證環(huán)節(jié)，在本書(shū)提供多個(gè)案例，每個(gè)案例都以一種生動(dòng)的記事手法講述了網(wǎng)絡(luò)遭到入侵之后，管理人員開(kāi)展系統(tǒng)取證和恢復(fù)的過(guò)程，采用帶有故事情節(jié)的案例分析手法，使讀者身臨其境的檢驗(yàn)自己的應(yīng)急響應(yīng)和計(jì)算機(jī)取證能力。本書(shū)以運(yùn)維工程師的視角，通過(guò)各種日志，腳本程序等信息來(lái)處理各種系統(tǒng)和網(wǎng)絡(luò)故障，重在給讀者傳遞一種解決問(wèn)題的思路和方法，并展示一些開(kāi)源安全工具的使用和部署，向廣大IT從業(yè)者傳遞了一種積極向上的正能量。

本書(shū)特色

本書(shū)以Unix/Linux為主要平臺(tái)，以開(kāi)源軟件為主要分析工具，企業(yè)網(wǎng)安全運(yùn)維為大背景，其所選取案例覆蓋了如今網(wǎng)絡(luò)應(yīng)用中典型的攻擊類(lèi)型，例如DDOS、惡意代碼、Web應(yīng)用攻擊、無(wú)線(xiàn)網(wǎng)攻擊及SQL注入攻擊等內(nèi)容，每個(gè)故事首先描述了一起安全事件的所有證據(jù)和取證信息（包括日志文件、拓?fù)鋱D和設(shè)備配置文件）提出了一些問(wèn)題引導(dǎo)讀者自己分析入侵的原因，最后深入案例分析，用詳細(xì)的證據(jù)來(lái)透徹解釋入侵過(guò)程的來(lái)龍去脈，在每個(gè)案例最后提出了正對(duì)這類(lèi)情況的防范手段和補(bǔ)救措施。本書(shū)最大亮點(diǎn)就是告訴大家如何使用Ossim開(kāi)源系統(tǒng)來(lái)解決深入挖掘網(wǎng)絡(luò)安全問(wèn)題。

本書(shū)用精選了二十多個(gè)完整案例（星級(jí)越高難度越大）分析為廣大讀者分享的都是實(shí)實(shí)在在的干貨，它對(duì)于提高網(wǎng)絡(luò)維護(hù)水平和事件分析能力有著很大的參考價(jià)值，如果你關(guān)注網(wǎng)絡(luò)安全，那么書(shū)中的案例一定會(huì)引起你的共鳴。本書(shū)適合有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)工程師、系統(tǒng)管理員和信息安全人員參考。此前，已出版的暢銷(xiāo)書(shū)《Linux企業(yè)應(yīng)用案例精解》（這本書(shū)在2014年春就出第二版啦）就是日志案例分析的姊妹篇，這本書(shū)中對(duì)企業(yè)最關(guān)心的Unix/Linux系統(tǒng)及網(wǎng)絡(luò)全問(wèn)題進(jìn)行了更為深層次、多角度的闡釋，本書(shū)分享了作者10年來(lái)運(yùn)維Unix/Linux系統(tǒng)的苦與樂(lè)，全書(shū)三層次章節(jié)如下：

第一篇日志分析基礎(chǔ)

第1章網(wǎng)絡(luò)日志獲取與分析13
1.1網(wǎng)絡(luò)環(huán)境日志分類(lèi)14
1.1.1UNIX/Linux系統(tǒng)日志14
1.1.2Windows日志15
1.2.3Windows系統(tǒng)日志16
1.1.4網(wǎng)絡(luò)設(shè)備日志16
1.1.5應(yīng)用系統(tǒng)的日志17
1.2Web日志分析17
1.2.1訪(fǎng)問(wèn)日志記錄過(guò)程17
1.2.2Apache訪(fǎng)問(wèn)日志作用18
1.2.3訪(fǎng)問(wèn)日志的位置18
1.2.4訪(fǎng)問(wèn)日志格式分析18
1.2.5HTTP返回狀態(tài)代碼19
1.2.6記錄Apache虛擬機(jī)日志19
1.2.7Web日志統(tǒng)計(jì)舉例20
1.2.6Apache錯(cuò)誤日志分析21
1.2.7日志輪詢(xún)23
1.2.8清空日志的技巧24
1.2.9其他Linux平臺(tái)Apache日志位置25
1.2.10Nginx日志25
1.2.11Tomcat日志25
1.2.12常用Apache日志分析工具26
1.3FTP服務(wù)器日志解析27
1.3.1分析vsftpd.log和xferlog28
1.3.2中文對(duì)Vsftp日志的影響29
1.3.2用Logparser分析FTP日志30
1.4用LogParser分析Windows系統(tǒng)日志32
1.4.1LogParser概述32
1.4.2LogParser結(jié)構(gòu)32
1.4.3安裝LogParser33
1.4.4LogParser應(yīng)用案例33
1.4.5圖形化分析輸出36
1.5Squid服務(wù)日志分析37
1.5.1Squid日志分類(lèi)37
1.5.2典型Squid訪(fǎng)問(wèn)日志分析37
1.5.3Squid時(shí)間戳轉(zhuǎn)換38
1.5.4Squid日志位置：39
1.5.5圖形化日志分析工具40
1.5.6其他UNIX/Linux平臺(tái)的Squid位置40
1.6NFS服務(wù)日志分析41
1.6.1Linux下的NFS日志41
1.6.2Solaris下NFS服務(wù)器日志41
1.7IPtables日志分析44
1.7.1對(duì)LOG日志格式的問(wèn)題：45
1.8Samba日志審計(jì)47
1.8.1Samba默認(rèn)提供的日志48
1.8.2Samba審計(jì)49
1.9DNS日志分析50
1.9.1DNS日志的位置50
1.9.2DNS日志的級(jí)別50
1.9.3DNS查詢(xún)請(qǐng)求日志實(shí)例解釋50
1.9.4DNS分析工具-DNStop51
1.10DHCP服務(wù)器日志52
1.11郵件服務(wù)器日志53
1.11.1Sendmail53
1.11.2Postfix54
1.12Linux下雙機(jī)系統(tǒng)日志54
1.12.1Heartbeat的日志54
1.12.2備用節(jié)點(diǎn)上的日志信息55
1.12.3日志分割56
1.13其他UNIX系統(tǒng)日志分析GUI工具56
1.13.1用SMC分析系統(tǒng)日志56
1.13.2MacOSX的GUI日志查詢(xún)工具57
1.14死機(jī)日志匯總分析
1.15可視化日志分析工具58
1.15.1.彩色日志工具:CCZE59
1.15.2動(dòng)態(tài)日志查看工具:Logstalgia59
1.15.3三維日志顯示工具:Gource60
1.15.4用AWStats監(jiān)控網(wǎng)站流量61
第2章UNIX/Linux系統(tǒng)取證65
2.1常見(jiàn)IP追蹤方法65
2.1.1IP追蹤工具和技術(shù)65
2.1.2DoS/DDoS攻擊源追蹤思路67
2.2重要信息收集69
2.2.1收集正在運(yùn)行的進(jìn)程69
2.2.2收集/proc系統(tǒng)中的信息72
2.2.3UNIX文件存儲(chǔ)與刪除73
2.2.4硬盤(pán)證據(jù)的收集方法73
2.2.5從映像的文件系統(tǒng)上收集證據(jù)75
2.2.6用Ddrescue恢復(fù)數(shù)據(jù)77
2.2.7查看詳細(xì)信息78
2.2.8收集隱藏目錄和文件78
2.2.9檢查可執(zhí)行文件80
2.3常用搜索工具80
2.3.1特殊文件處理80
2.3.2TheCoroner’sToolkit(TCT工具箱)81
2.3.3Forensix工具集81
2.4集成取證工具箱介紹82
2.4.1用光盤(pán)系統(tǒng)取證82
2.4.2屏幕錄制取證方法83
2.5案例研究一：閃現(xiàn)SegmentationFault為哪般？83
難度系數(shù)：★★★83
事件背景84
互動(dòng)問(wèn)答87
疑難解析87
預(yù)防措施：89
2.6案例研究二：誰(shuí)動(dòng)了我的膠片90
難度系數(shù)：★★★★★90
事件背景90
取證分析92
互動(dòng)問(wèn)答94
疑點(diǎn)分析95
疑難解析96
預(yù)防措施99
第3章建立日志分析系統(tǒng)100
3.1日志采集基礎(chǔ)100
3.1.1SYSLOG協(xié)議100
3.1.2Syslog日志記錄的事件102
3.1.3Syslog.conf配置文件詳解103
3.1.4Syslog操作105
3.1.5Syslog的安全漏洞105
3.1.6Rsyslog106
3.1.7Syslog-ng107
3.2時(shí)間同步107
3.2.1基本概念107
3.2.2識(shí)別日志中偽造的時(shí)間信息108
3.2.3同步方法108
3.3網(wǎng)絡(luò)設(shè)備日志分析與舉例108
3.3.1路由器日志分析109
3.3.2交換機(jī)日志分析110
3.3.3防火墻日志分析110
3.3.4通過(guò)日志發(fā)現(xiàn)ARP病毒112
3.4選擇日志管理系統(tǒng)的十大問(wèn)題116
3.5利用日志管理工具更輕松120
3.5.1日志主機(jī)系統(tǒng)的部署120
3.5.2日志分析與監(jiān)控122
3.5.3利用EventlogAnalyzer分析網(wǎng)絡(luò)日志122
3.5.4.分析防火墻日志125
3.6用Sawmill搭建日志平臺(tái)126
3.6.1系統(tǒng)簡(jiǎn)介126
3.6.2部署注意事項(xiàng)：127
3.6.3安裝舉例：127
3.6.4監(jiān)測(cè)網(wǎng)絡(luò)入侵129
3.7使用Splunk分析日志130
3.7.1Splunk簡(jiǎn)介130
3.7.2Splunk安裝：131
3.7.3設(shè)置自動(dòng)運(yùn)行131
3.7.4系統(tǒng)配置132
3.7.5設(shè)置日志分析目錄133

第二篇日志實(shí)戰(zhàn)案例分析

第4章DNS系統(tǒng)故障分析140
4.1案例研究三：邂逅DNS故障140
難度系數(shù)：★★★★140
事件背景140
互動(dòng)問(wèn)答143
取證分析144
問(wèn)題解答146
預(yù)防措施147
4.2DNS漏洞掃描方法148
4.2.1DNS掃描的關(guān)鍵技術(shù)149
4.2.2檢查工具：149
4.3DNSFloodDetector讓DNS更安全150
4.3.1Linux下DNS面臨的威脅151
4.3.2BIND漏洞151
4.3.3DNS管理152
4.3.4應(yīng)對(duì)DNSFlood攻擊152
4.3.5DNSFloodDetector保安全153
第5章DOS攻擊防御分析155
5.1案例研究四：網(wǎng)站遭遇DOS攻擊155
難度系數(shù)：★★★155
事件背景155
針對(duì)措施159
疑難解答161
案例總結(jié)162
5.2案例研究五：“太囧”防火墻164
難度系數(shù)：★★★★164
事件背景164
互動(dòng)問(wèn)答166
調(diào)查分析166
答疑解惑168
第6章UNIX后門(mén)與溢出案例分析168
6.1如何防范RootKit攻擊169
6.1.1認(rèn)識(shí)RootKit169
6.1.2RootKit的類(lèi)型169
6.2防范RootKit的工具171
6.2.1使用chkrootkit工具171
6.2.2RootKitHunt工具173
6.3安裝LIDS173
6.3.1LIDS的主要功能173
6.3.2配置LIDS174
6.3.3使用Lidsadm工具175
6.3.4使用LIDS來(lái)保護(hù)系統(tǒng)177
6.4安裝與配置AIDE178
6.4.1Solaris安裝AIDE178
6.4.2用Aide加固O(píng)ssim平臺(tái)179
6.4.3Tripwire181
6.5Nabou安裝與配置182
6.5.1Nabou的功能及原理182
6.5.2創(chuàng)建一對(duì)RSA密鑰182
6.5.3初始化數(shù)據(jù)庫(kù)183
6.5.4啟用LIDS183
6.5.5Nabou的數(shù)據(jù)庫(kù)維護(hù)183
6.5.6Nabou的應(yīng)用實(shí)例185
6.5.7Nabou的適用場(chǎng)合186
6.6案例研究六：Solaris異常后門(mén)187
難度系數(shù)：★★★★★187
入侵背景187
預(yù)防措施193
6.7案例研究七:遭遇溢出攻擊195
難度系數(shù)：★★★★★195
事件背景195
分析日志195
案例解碼200
預(yù)防措施202
6.8案例研究八：真假Root賬號(hào)203
難度系數(shù)：★★★★203
事件背景203
取證分析206
互動(dòng)問(wèn)答：207
問(wèn)題解答：208
預(yù)防措施209
6.9案例研究九：為RootKit把脈209
難度系數(shù)：★★★★★209
事件背景209
互動(dòng)問(wèn)答214
事件分析：214
預(yù)防措施216
第7章UNIX系統(tǒng)防范案例217
7.1案例研究十：當(dāng)網(wǎng)頁(yè)遭遇篡改之后217
難度系數(shù)：★★★★217
事件背景218
互動(dòng)問(wèn)答219
入侵事件剖析219
疑難解答221
防護(hù)措施222
Web漏洞掃描工具——Nikto223
7.2案例十一UNIX下捉蟲(chóng)記225
難度系數(shù)：★★★★★225
事件背景225
取證分析226
互動(dòng)問(wèn)答228
入侵解析229
預(yù)防措施233
7.3案例研究十二：泄露的裁員名單234
難度系數(shù)：★★★★234
事件背景234
取證分析235
互動(dòng)問(wèn)答236
答疑解惑237
預(yù)防措施238
第8章SQL注入防護(hù)案例分析239
8.1案例十三：后臺(tái)數(shù)據(jù)庫(kù)遭遇SQL注入239
難度系數(shù)：★★★★239
案例背景：239
分析過(guò)程242
預(yù)防與補(bǔ)救措施244
8.2案例研究十四：大意的程序員之-SQL注入244
難度系數(shù)：★★★★244
事件背景244
互動(dòng)問(wèn)答246
分析取證246
答疑解惑247
預(yù)防措施251
8.3利用OSSIM監(jiān)測(cè)SQL注入251
8.3.2用Ossim檢測(cè)SQl注入252
Ossim系統(tǒng)中的Snort規(guī)則254
8.4LAMP網(wǎng)站的SQL注入預(yù)防255
8.4.1服務(wù)器端的安全配置255
8.4.2PHP代碼的安全配置255
8.4.3PHP代碼的安全編寫(xiě)256
8.5通過(guò)日志檢測(cè)預(yù)防SQL注入256
8.5.1通過(guò)WEB訪(fǎng)問(wèn)日志發(fā)現(xiàn)SQL攻擊257
8.5.2用VisualLogParser分析日志257
第9章遠(yuǎn)程連接安全案例259
9.1案例十五：修補(bǔ)SSH服務(wù)器259
難度系數(shù)：★★★259
事件背景259
加固SSH服務(wù)器262
通過(guò)Ossim實(shí)現(xiàn)SSH登錄失敗告警功能265
預(yù)防措施267
9.2案例研究十六：無(wú)辜的“跳板”268
事件背景268
預(yù)防措施272
第10章Snort系統(tǒng)部署及應(yīng)用案例273
10.1Snort系統(tǒng)原理273
10.2Snort安裝與維護(hù)273
10.1.1準(zhǔn)備工作273
10.1.2深入了解Snort274
10.1.3安裝Snort程序276
10.1.4維護(hù)Snort278
10.1.5Snort的不足280
10.2Snort日志分析280
10.2.1基于文本的格式281
10.2.2典型攻擊日志信息282
10.2.2Snort探針部署282
10.2.3日志分析工具283
10.3Snort規(guī)則分析283
10.3.1Snort規(guī)則283
10.3.2編寫(xiě)SNORT規(guī)則284
10.4基于Ossim平臺(tái)的WIDS系統(tǒng)287
10.4.1安裝無(wú)線(xiàn)網(wǎng)卡288
10.4.2設(shè)置Ossim無(wú)線(xiàn)傳感器290
10.5案例研究十七：IDS系統(tǒng)遭遇IP碎片攻擊293
難度系數(shù)：★★★★293
事件背景293
疑難問(wèn)題301
互動(dòng)問(wèn)答：301
10.5.1防范與處理思路301
10.5.2nort+Iptables聯(lián)動(dòng)302
10.5.3IP碎片攻擊的預(yù)防303
10.5.4評(píng)估NIDS工具303
10.5.5IDS系統(tǒng)與網(wǎng)絡(luò)嗅探器的區(qū)別304
10.6案例十八：智取不速之客305
難度系數(shù)：★★★★305
事件背景305
互動(dòng)問(wèn)答307
取證分析307
疑難解答310
預(yù)防措施311
第11章WLAN案例分析311
11.1WLAN安全漏洞與威脅312
11.2案例研究十九：無(wú)線(xiàn)網(wǎng)遭受的攻擊313
難度系數(shù)：★★★★313
事件背景313
互動(dòng)問(wèn)答315
疑點(diǎn)解析317
預(yù)防措施318
11.2.2有關(guān)WIFI上網(wǎng)日志的收集318
11.2.3用開(kāi)源NAC阻止非法網(wǎng)絡(luò)訪(fǎng)問(wèn)318
11.2.4企業(yè)中BYOD的隱患320
11.3案例研究二十：無(wú)線(xiàn)會(huì)場(chǎng)的“不速之客”321
難度系數(shù)：★★★★321
事件背景：321
取證分析324
第12章數(shù)據(jù)加密與解密案例327
12.1GPG概述327
12.1.1創(chuàng)建密鑰327
12.1.2導(dǎo)入密鑰328
12.1.3加密和解密328
12.1.4簽訂和驗(yàn)證329
12.2案例研究二十一：“神秘”的加密指紋330
難度系數(shù)：★★★330
事件背景330
疑難問(wèn)題333
案情解碼333
分析攻擊過(guò)程337
答疑解惑337
預(yù)防措施338

第三篇網(wǎng)絡(luò)流量與日志監(jiān)控

第13章網(wǎng)絡(luò)流量監(jiān)控338
13.1網(wǎng)絡(luò)監(jiān)聽(tīng)關(guān)鍵技術(shù)339
13.1.1網(wǎng)絡(luò)監(jiān)聽(tīng)339
13.1.2SNMP協(xié)議的不足339
13.1.3監(jiān)聽(tīng)關(guān)鍵技術(shù)339
13.1.4NetFlow與sFlow的區(qū)別340
13.1.5協(xié)議和應(yīng)用識(shí)別340
13.1.6網(wǎng)絡(luò)數(shù)據(jù)流采集技術(shù)340
13.1.7SPAN的局限性341
13.2用Netflow分析網(wǎng)絡(luò)異常流量341
13.2.1Netflow的Cache管理342
13.2.2NetFlow的輸出格式342
13.2.3NetFlow的抽樣機(jī)制342
13.2.4NetFlow的性能影響343
13.2.5NetFlow在蠕蟲(chóng)病毒監(jiān)測(cè)上的應(yīng)用343
13.3VMwareESXi服務(wù)器監(jiān)控347
13.4應(yīng)層數(shù)據(jù)包解碼351
13.4.1概述351
13.4.2系統(tǒng)架構(gòu)351
13.4.3Xplico的數(shù)據(jù)獲取方法352
13.4.4Xplico部署352
13.4.5應(yīng)用Xplico353
13.5.網(wǎng)絡(luò)嗅探器的檢測(cè)及預(yù)防358
13.5.1嗅探器的檢測(cè)358
13.5.2網(wǎng)絡(luò)嗅探的預(yù)防359
第14章OSSIM綜合應(yīng)用360
14.1OSSIM的產(chǎn)生360
14.1.1概況360
14.1.2從SIM到OSSIM361
14.1.3安全信息和事件管理（SIEM）362
14.2Ossim架構(gòu)與原理363
14.2.1Ossim架構(gòu)363
14.2.2Agent事件類(lèi)型368
14.2.3RRD繪圖引擎370
14.2.4OSSIM工作流程分析371
14.3部署OSSIM371
14.3.1準(zhǔn)備工作：371
14.3.2Ossim服務(wù)器的選擇373
14.3.3分布式Ossim系統(tǒng)探針布局374
14.3.4Ossim系統(tǒng)安裝步驟:374
14.4Ossim安裝后續(xù)工作379
14.4.1時(shí)間同步問(wèn)題379
14.4.2系統(tǒng)升級(jí)380
14.4.3防火墻設(shè)置381
14.4.4訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)381
14.4.5同步Openvas插件384
14.4.6安裝遠(yuǎn)程管理工具385
14.4.7安裝X-window386
14.5使用Ossim系統(tǒng)387
14.5.1熟悉主界面387
14.5.2SIEM事件控制臺(tái)389
14.6風(fēng)險(xiǎn)評(píng)估方法392
Ossim系統(tǒng)風(fēng)險(xiǎn)度量方法393
14.7Ossim關(guān)聯(lián)分析技術(shù)394
14.7.1關(guān)聯(lián)分析394
14.7.2Ossim的通用關(guān)聯(lián)檢測(cè)規(guī)則395
14.8OSSIM日志管理平臺(tái)398
14.8.1Ossim日志處理流程398
14.8.2Snare398
14.8.3通過(guò)WMI收集Windows日志399
14.8.4配置Ossim399
14.8.5Snare與WMI的區(qū)別401
14.9應(yīng)用Ossim系統(tǒng)的IDS401
14.9.1HIDS/NIDS401
14.9.2OSSECHIDSAgent安裝402
14.10Ossim流量監(jiān)控工具應(yīng)用413
14.10.1流量過(guò)濾413
14.10.3流量分析415
14.10.4網(wǎng)絡(luò)天氣圖417
14.10.5設(shè)置Netflow418
14.10.6Nagios監(jiān)視419
14.10.7與第三方監(jiān)控軟件集成421
14.11檢測(cè)Shellcode攻擊
14.12Ossim應(yīng)用資產(chǎn)管理422
14.12.1OCSInventoryNG架構(gòu)422
14.12.2OCS使用423
14.13Ossim在蠕蟲(chóng)預(yù)防中的應(yīng)用423
14.14監(jiān)測(cè)Shellcode426
14.15漏洞掃描應(yīng)用427
14.15.1漏洞評(píng)估方法427
14.15.2漏洞庫(kù)詳解428
14.16采用Openvas掃描429
14.16.1分布式漏洞掃描430
14.17Metasploit的滲透測(cè)試432
14.17.1Metasploit+Nessus聯(lián)動(dòng)分析434
14.18常見(jiàn)Ossim部署與應(yīng)用問(wèn)答437
附錄

附件A分布式蜜罐系統(tǒng)部署460
附件B監(jiān)控軟件對(duì)比464

附錄C全文索引466

在圖書(shū)創(chuàng)作的1000多個(gè)日日夜夜里，每天除了上班，回到家就開(kāi)始寫(xiě)作。回憶著過(guò)去的經(jīng)歷，整理著曾近記錄的筆記，然后開(kāi)始創(chuàng)作，每當(dāng)深夜是我創(chuàng)作靈感寫(xiě)作效率最高的時(shí)段，那時(shí)沒(méi)人打攪你，你可以全身心的投入。其寫(xiě)作的艱辛恐怕只有經(jīng)歷過(guò)的才能體會(huì)到吧，希望通過(guò)這本書(shū)的安全日志分析能給從事安全運(yùn)維的人員以啟迪。

本文出自 “李晨光原創(chuàng)技術(shù)博客” 博客，謝絕轉(zhuǎn)載！

轉(zhuǎn)載于:https://www.cnblogs.com/chenguang/p/3742182.html

總結(jié)

以上是生活随笔為你收集整理的《Unix/Linux日志分析与流量监控》书稿完成的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。