Snort 2.0入侵检测2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

Snort 2.0入侵检测PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一章入侵检测系统1

目录1

1.1什么是入侵检测2

1.1.1 NIDS3

1.1.2 HIDS4

1.1.3 DIDS5

4.4.2检测插件 o5

1.2攻击三部曲6

1.2.1 目录回溯漏洞6

第四章Snort的内部工作7

4.1 Snort的主要部件7

FAQ7

1.2.2红色代码蠕虫7

1.2.3尼姆达蠕虫8

1.2.4什么是入侵9

1.2.5用Snort发现入侵10

1.3为什么IDS如此重要12

1.3.1为什么会受到攻击13

1.3.2IDS布置在什么位置合适13

1.3.4还有哪些常见的攻击类型14

1.3.3防火墙能否替代IDS14

1.4IDS还能做什么15

1.4.1监视数据库应用16

1.4.2监视DNS应用16

1.4.3保护邮件服务器16

小结17

1.4.4利用IDS监视公司的安全政策17

本章快速回顾18

FAQ19

第二章Snort2.0介绍21

2.1什么是Snort23

2.2 Snort系统需求24

2.2.1硬件25

2.3 Snort的特性26

2.3.1数据包嗅探器27

2.3.2预处理器28

2.3.3检测引擎模块29

2.3.4报警／日志模块29

2.4在网络中部署Snort32

2.4.1 Snort的用途33

2.4.2 Snort和网络体系结构38

2.4.3运行Snort时的弱点41

2.5 Snort的安全考虑42

2.5.1 Snort易受攻击43

小结44

本章快速回顾44

2.5.2加固我们的Snort系统44

FAQ45

第三章安装Snort47

3.1关于LinuX发布版本的简要介绍48

3.1.2 SlackWare49

3.1.3 Gentoo49

3.1.1 Debian49

3.2安装PCAP50

3.2.1使用源码包安装libpcap51

3.2.2用RPM包安装libpcap57

3.3安装Snort57

3.3.1从源代码安装Snort57

3.3.2定制安装：编辑snort.conf文件59

3.3.3从RPM安装Snort62

3.3.4在MSWindows平台上的安装63

小结69

3.3.5安装Bieeding-Edge版本的Snort69

本章快速回顾70

4.1.1捕获网络流量75

4.1.2抓包77

4.2包解码80

4.3数据包处理83

4.3.1 预处理器83

4.4规则解析和检测引擎89

4.4.1规则建立89

4.5输出与日志96

4.5.1将Snort用作快速嗅探器97

4.5.2入侵检测模式100

4.5.4记录至数据库102

4.5.3将Snort用作honeypot捕获器和分析器102

4.5.6 以Barnyarc和Unified格式输出104

4.5.5使用SNMP方式报警105

小结105

本章快速回顾105

FAQ106

第五章规则的运行109

5.1理解配置文件110

5.1.1定义和使用变量110

5.1.2配置项的灵活应用112

5.1.3包含规则文件114

5.2规则头115

5.2.1规则动作选项115

5.2.2可支持的协议117

5.2.3指派源和目的IP地址118

5.2.4指派源和目的端口119

5.2.5理解方向操作符120

5.2.6 Activate和Dynarnic规则特性121

5.3规则体122

5.3.1规则Content选项123

5.3.2 IP选项集合126

5.3.3 TCP选项集合128

5.3.4 ICMP选项集合129

5.3.5规则识别选项集合129

5.3.6其他规则选项132

5.4“好”规则的构成134

5.4.1规则动作134

5.4.2定义恰当的Content134

5.4.3合并子网掩码137

5.5测试规则139

5.5.1压力测试139

5.5.2独立规则测试140

5.5.3测试BPF规则140

5.6调整规则140

5.6.1配置规则变量140

5.6.2取消规则141

5.6.3 BPF142

小结143

本章快速回顾143

FAQ144

第六章预处理器147

6.2.1 strearr4预处理器149

6.2包重组的预处理器选项149

6.1什么是预处理器149

6.2.2 frag2——分片重组和攻击检测158

6.3协议解码和规范化的预处理器选项159

6.3.1 Telnet协商159

6.3.2HTTP规范化160

6.3.rpe_decode162

6.4非规则和异常检测预处理器选项164

6.4.1端口扫描164

6.4.2 Back Orifice166

6.4.3非规则检测167

6.5实验阶段的预处理器167

6.5.1 arpspoof167

6.5.2 asn1 decode168

6.5.3 fnord168

6.5.4 portscan2和conversation预处理器169

6.5.5 perfmonitor171

6.6书写自己的预处理器171

6.6.1包重组171

6.6.2解码协议171

6.6.3非规则的或基于异常的检测172

6.6.4建立自己的预处理器172

6.6.5 Snort给了我什么174

6.6.6在Snort内加入预处理器191

小结193

本章快速回顾194

FAQ195

第七章Snort输出插件的实现197

7.1什么是输出插件198

7.2.1缺省的日志方式200

7.2输出插件选项200

7.2.2 Syslog204

7.2.3 PCAP日志205

7.2.4 Snortdb206

7.2.5 unified日志211

7.3编写输出插件214

7.3.1为什么编写输出插件214

7.3.2建立定制的输出插件215

7.3.3 Snort的输出处理218

小结220

本章快速回顾221

FAQ222

第八章数据分析工具的使用225

8.1.1安装Swatch226

8.1使用SWatch226

8.1.2配置SWatch228

8.1.3使用SWatch229

8.2使用ACID232

8.2.1安装ACID232

8.2.2配置ACID238

8.2.3 ACID的使用241

8.3使用SnortSnarf250

8.3.1安装SnortSnarf250

8.3.2配置Snort使其和SnortSnarf一起工作251

8.3.3 SnortSnarf的基本用途252

8.4使用EDnter254

8.4.1安装IDScenter255

8.4.2配置IDScenter256

8.4.3IDScenter基本用法258

小结264

本章快速回顾265

FAQ265

第九章Snort的升级267

9.1打补丁268

9.2升级规则269

9.2.1规则如何维护269

9.2.2如何获得规则的更新271

9.2.3如何合并规则274

9.3测试规则更新276

9.4关注规则更新281

小结281

本章快速回顾282

FAQ283

第十章Snort的优化285

10.1如何选择硬件286

10.1.1什么构成了“好”硬件287

10.1.2如何测试硬件289

10.2如何选择操作系统290

10.2.1对于NIDS来说什么是“好”操作系统290

10.2.2应该使用何种操作系统294

10.2.3如何测试所选择的操作系统295

10.3加速Snort安装296

10.3.1决定使用哪些规则296

10.3.2配置预处理器以提高速度298

10.3.3使用通用变量299

10.3.4选择输出插件299

10.4配置的基准测试300

10.4.1基准测试的特征300

10.4.2哪些工具可用于基准测试301

小结309

本章快速回顾310

FAQ310

第十一章Barnyard插件313

11.1 narnyard是什么314

11.2 Barnyard的准备与安装315

11.3 Barnyard的工作方式318

11.3.1使用Barnyard配置文件319

11.3.2深入Barnyard320

11.3.3创建并显示二进制日志输出文件322

11.4 Barnyard输出选项326

11.5如何设置个性化输出327

11.5.1输出插件的例子328

小结350

本章快速回顾351

FAQ352

第十二章深入Snort353

12.1基于策略的IDS354

12.1.1定义EDS的网络策略355

12.1.2基于策略IDS的例子358

12.1.3制作基于策略的IDS364

12.2内嵌式IDS367

12.2.1基于Snort的内嵌式IDS368

12.2.2安装Snort为内嵌模式368

12.2.3使用内嵌式IDS保护网络383

小结386

本章快速回顾386

FAQ387

附录388