Snort輕量級入侵檢測系統(tǒng)全攻略

前言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，攻擊和入侵等安全問題與日俱增，給很多網(wǎng)絡管理員帶來了巨大的壓力?？紤]到網(wǎng)絡數(shù)據(jù)的巨大價值，安全業(yè)務已持續(xù)成為各大公司和研究機構(gòu)關(guān)注的重點。面對這些挑戰(zhàn)，國內(nèi)外很多公司近年來相繼開發(fā)出了各種專用入侵檢測系統(tǒng)（IDS，Intrusion Detection System），其價值動輒數(shù)萬元甚至數(shù)十萬元人民幣。廠商的宣傳往往讓用戶眼花繚亂，在面對形形色色價格昂貴的商用產(chǎn)品時難以適從。大部分技術(shù)人員往往更關(guān)心如何判斷產(chǎn)品的好壞，如何在網(wǎng)絡中部署IDS，如何在使用中配置和調(diào)試IDS等問題，而這些從廠商的宣傳材料中是得不到的。其實，人們還有更好的選擇，這就是著名的骨灰級開源IDS軟件系統(tǒng)——Snort。它在業(yè)內(nèi)的重要地位可稱“一直被模仿，從未被超越”，在國內(nèi)的安全行業(yè)甚至成為IDS系統(tǒng)的代名詞，其規(guī)則語法更成為了事實上的業(yè)界標準。Snort設計簡潔，功能強大，無論對小的家庭用戶還是繁忙的公司網(wǎng)絡，它都有能力實時分析和記錄通信流，其基于規(guī)則的檢測引擎能夠檢測多種變種攻擊。Snort幾乎能兼容所有硬件平臺和操作系統(tǒng)，并提供豐富的報警記錄信息以供選擇。它還能幫助用戶確定網(wǎng)絡中一些莫名其妙的服務的作用，其可擴展的體系結(jié)構(gòu)和開源模式更使得用戶群不斷增長。上述優(yōu)點來自Snort開發(fā)小組的緊密努力：構(gòu)造一個卓越的IDS系統(tǒng)內(nèi)核?！傲可碛喿觥钡奶匦允侨绱遂`活，以至于新手們往往無所適從。對此，全世界的程序員們圍繞著Snort開發(fā)了大量適用于各種需求和各種應用環(huán)境的應用程序、工具和腳本，極大地降低了Snort配置使用所要求的技術(shù)門檻。因此，管理員們所需做的不是強忍不適磕磕絆絆地使用Snort，而是發(fā)現(xiàn)Snort的奇妙之處，找到稱手的Snort應用工具，將它們和Snort內(nèi)核DIY成一款強大的IDS。

內(nèi)容概要

全書共11章，主要內(nèi)容包括四個方面，較為全面地介紹了Snort入侵檢測系統(tǒng)的安裝部署、配置、調(diào)整及使用，基本涵蓋了Snort有關(guān)的方方面面。    本書的特點是實用性非常強，概念準確、實例豐富，能夠培養(yǎng)讀者建立一套實用IDs的實際動手能力。另外，本書深入到snort的具體技術(shù)細節(jié)中，是一本不可多得的全面掌握Snort的技術(shù)圖書。    本書面向的對象為具有基本網(wǎng)絡技術(shù)知識的讀者，即使讀者以前從未接觸過IDS，書中穿插的實例也能幫助讀者成為IDS高手。對于資深網(wǎng)管，本書能提供一種性價比高的安全解決方案。同時，對于已學習過網(wǎng)絡課程的大中專在校生，本書也可作為入侵檢測或信息安全課程的授課輔助材料。

書籍目錄

第1章　入侵檢測基礎(chǔ)概念  1.1　入侵檢測系統(tǒng)的作用  1.2　IDS的標準結(jié)構(gòu)  1.3　如何檢測入侵  1.4　IDS的分類    1.4.1  NIDS      1.4.2  HIDS      1.4.3  DIDS    1.5　攻擊的來源  1.6　IDS的部署和使用    1.6.1　IDS的選擇    1.6.2　IDS的部署第2章　Snort應用基礎(chǔ)  2.1  Snort簡介  2.2  Snort原理    2.2.1  整體結(jié)構(gòu)    2.2.2  Snort在網(wǎng)絡層次模型中的位置  2.3　代碼流程  2.4　內(nèi)部工作流程    2.4.1　捕獲網(wǎng)絡流量    2.4.2  包解碼器    2.4.3　預處理器    2.4.4　規(guī)則解析和探測引擎    2.4.5　報警輸出模塊  2.5　Snort的部署    2.5.1　部署策略    2.5.2　操作系統(tǒng)平臺的選擇    2.5.3　三層體系結(jié)構(gòu)    2.5.4　三位一體的集成式安裝第3章　面向小型網(wǎng)絡的集成式安裝  3.1　安裝Snort IDS所需軟件　　3.1.1　傳感器層軟件    3.1.2　服務器層軟件    3.1.3  集成工具包    3.1.4　管理員控制臺    3.1.5　Snort管理工具    3.1.6  各類庫    3.1.7　Snort虛擬機  3.2　windows下的集成式安裝    3.2.1  安裝Snort和Winpcap包    3.2.2  AppServ    3.2.3  安裝Adodb、jpgraph和ACID    3.2.4  配置Snort    3.2.5  系統(tǒng)測試  3.3　Linux下的集成式安裝    3.3.1  Linux平臺下軟件的一般安裝方法    3.3.2　安裝Snort    3.3.3　安裝IDS配套軟件    3.3.4　MySQL的安裝和配置    3.3.5  Adodb、ACID的安裝和配置    3.3.6  Linux下的安裝測試第4章　Snort的分離式安裝  4.1　分離式安裝中的安全連接    4.1.1  openSSL    4.1.2  Stunnel      4.1.3  ODenSSH    4.1.4　其他SSH軟件  4.2　建立服務器    4.2.1  安裝指南    4.2.2  Linux平臺下安裝配置    4.2.3　Windows平臺下安裝配置  4.3　建立傳感器    4.3.1　安裝指南    4.3.2　安裝傳感器  4.4　建立管理員控制臺    4.4.1  PuTTY的安裝和使用      4.4.2  ScreenCRT的安裝和使用第5章　Snort的使用  5.1　配置文件    5.1.1  定義和使用變量　　……第6章　規(guī)則語法及使用第7章　IDS攻擊與Snort預處理器第8章　輸出插件和數(shù)據(jù)分析工具第9章　Snort管理工具第10章　IDS測試評估第11章　Snort入侵檢測實例分析參考文獻

章節(jié)摘錄

插圖：HIDS和NIDS有兩點不同：HIDS只能保護它所在的計算機，計算機網(wǎng)卡設置的是“非混雜模式”，不像Nil）S需要將網(wǎng)卡設置為混雜模式，在HIDS中，網(wǎng)卡只在正常的“非混雜模式”下工作，因為不是所有的網(wǎng)卡都能設置成混雜模式的。另外，對配置低的計算機來說，混雜模式對（2PIJ的占用會很明顯地體現(xiàn)出來。HIDS的另一個好處是可以精確地根據(jù)自己的需要定制規(guī)則。例如，如果運行HIDS的計算機上沒有運行域名服務（DNS），就不需要加上那些檢測DNS攻擊的規(guī)則集。減少了不相關(guān)的規(guī)則可以提高檢測效率和降低處理器的負荷。圖1-3描述了一個在一些服務器和個人計算機上安裝了HIDS的網(wǎng)絡。如前所述，安裝在郵件服務器上的HIDS主要設置和郵件服務器相關(guān)的規(guī)則，使其免受入侵，而安裝在Web服務器上的IDS主要設置和web服務相關(guān)的規(guī)則，檢測對Web服務器的攻擊。在安裝的時候，零散的計算機可以使用常用的規(guī)則集，當有新的漏洞公布后，規(guī)則要及時和定期地更新以檢測新漏洞?；谥鳈C的傳感器收集的信息準確，但是占用服務器資源，尤其在繁忙的服務器上會降低服務器性能。而且，基于主機的傳感器是與操作系統(tǒng)相關(guān)的，如果使用了IDS產(chǎn)品不支持的操作系統(tǒng)就不能安裝HIDS。

編輯推薦

《Snort輕量級入侵檢測系統(tǒng)全攻略》由北京郵電大學出版社出版。

圖書封面

評論、評分、閱讀與下載

---

    Snort輕量級入侵檢測系統(tǒng)全攻略 PDF格式下載

---