《网络入侵检测分析员手册》PDF下载

前言页 1

第1章 Mitnick攻击 1

1.1 利用TCP 1

1.1.1 TCP回顾 1

1.1.2 SYN湮没 2

1.1.3 TCP劫取 7

1.2 检测Mitnick攻击 9

1.3 预防Mitnick攻击 12

1.4 小结 13

第2章 过滤器和攻击特征介绍 15

2.1 过滤策略 15

2.1.1 拒绝一切 15

2.1.2 允许一切 15

2.2 攻击特征 16

2.2.1 用来检测攻击特征的过滤器 16

2.3.1 Land攻击 17

2.3 过滤器实例 17

2.2.2 升级特征 17

2.3.2 WinNuke攻击 18

2.3.3 圣诞树过滤器 21

2.3.4 Web服务器攻击检测过滤器示例 23

2.4 与目标过滤器相关的策略问题 26

2.4.1 非授权使用 26

2.4.2 坏雇员 26

2.5 小结 27

2.4.3 到此为止 27

第3章 体系结构问题 29

3.1 关注的事件 30

3.2 观测限制 30

3.3 简易系统模式 31

3.4 人的因素对检测的限制 32

3.4.1 分析员带来的限制 32

3.4.2 CIRT带来的限制 32

3.5 攻击的严重性 33

3.5.2 攻击的毁坏性 34

3.5.1 系统重要性 34

3.6 对策 35

3.7 检测器位置 36

3.7.1 放在防火墙之外 36

3.7.2 检测器的防火墙内 37

3.7.3 防火墙内外都有检测器 37

3.7.4 检测器的其他位置 38

3.8 推(Push)和拉(Pull) 38

3.9 分析员控制台 39

3.9.1 快速控制台 40

3.9.2 误报警管理 40

3.9.3 显示过滤器 40

3.9.4 标记分析事件 41

3.9.5 层层探究 41

3.9.6 关联分析 41

3.9.7 好的报告 41

3.10 基于主机和基于网络的入侵检测 42

3.11 小结 43

4.1 多种方案协同工作 45

第4章 互操作性和关联性 45

4.1.1 CIDF 46

4.1.2 CISL 47

4.2 商业入侵检测系统互操作解决方案 48

4.2.1 OPSEC 48

4.2.2 CCI 48

4.2.3 ISS的ANSA 49

4.3.1 源IP关联 50

4.3 关联性 50

4.3.2 目标IP地址关联 51

4.3.3 欺骗数据包特征关联 51

4.3.4 新攻击特征 53

4.3.5 时间周期 53

4.3.6 记录 56

4.4 SQL数据库 56

4.4.1 载入数据 57

4.4.2 数据缩减 57

4.4.4 交互性能 59

4.4.3 查询支持 59

4.5 小结 60

第5章 基于网络的入侵检测解决方案 61

5.1 商业工具 61

5.2 运行于MS Windows上的系统 61

5.2.1 ISS的RealSecure 62

5.2.2 Axent的NetProwler 64

5.3 基于UNIX的系统 64

5.3.1 NFR (Network Flight Recorder) 64

5.3.2 Cisco的NetRanger 66

5.4 GOTS 66

5.4.1 EPIC2 67

5.4.2 网络入侵检测器(NID) 67

5.4.3 Shadow 68

5.5 评估入侵检测系统 68

5.5.1 Mitre评测中心 68

5.5.3 Lincoln实验室的评估方法 69

5.5.2 InfowarCon 69

5.5.4 ID’99中的ID’Net 70

5.5.5 供应商 70

5.6 小结 71

第6章 对攻击的检测 73

6.1 误报警 73

6.1.1 没有激励，只有响应 73

6.1.2 SYN湮没 75

6.1.3 Back Orifice 76

6.1.4 脆弱性标准 77

6.2 对IMAP的攻击 78

6.2.1 IOI43源端口特征的IMAP攻击 78

6.2.2 III特征的IMAP攻击 78

6.3 SYN/FIN均设为1的端口攻击 79

6.3.1 SYN/FIN均设为1，源端口为65535的攻击 79

6.3.2 对DNS.NFS的攻击 79

6.3.3 关于这种模式跟踪记录的其他答案 80

6.4 应用扫描程序攻击 81

6.4.1 Mscan 81

6.4.2 Mscan的二代产品 82

6.4.3 Access Builder 83

6.5 portmap攻击 84

6.5.1 Rexec 85

6.5.2 POP3 85

6.5.3 目标SGI系统 86

6.5.4 Discard 86

6.5.5 三端口扫描 86

6.5.6 一个古怪的Web扫描 87

6.5.8 SYN/FIN均设为1，源端口为23的扫描模式 88

6.5.7 协议类型扫描工具IP-191 88

6.6 小结 89

第7章 拒绝服务攻击 91

7.1 检测到的拒绝服务跟踪记录 91

7.1.1 广播 91

7.1.2 病态的数据分段 93

7.1.3 echo和chargen 96

7.1.4 我们在玩Doom游戏 96

7.1.5 nmap2.01版 97

7.2.1 land攻击 98

7.2 极少出现的著名程序 98

7.2.2 Ping of Death 99

7.3 小结 100

第8章 情报收集技术 101

8.1 网络和主机映射 101

8.1.1 ICMP主机扫描 102

8.1.2 利用UDP echo请求对主机进行扫描 102

8.1.4 基于网络屏蔽的广播方式 103

8.1.3 ICMP协议广播方式 103

8.1.5 端口扫描 105

8.1.6 扫描特定端口 105

8.1.7 复杂的过程，可能的损害 106

8.1.8 “随机”端口扫描 107

8.1.9 数据库相关性报告 108

8.1.10 SNMP/ICMP 109

8.1.11 FTP传输反射(bounce) 109

8.2.1 来自Web服务器的访问 110

8.2 关于NetBIOS的特殊跟踪记录 110

8.2.2 Null Session 111

8.3 隐秘攻击(stealth attack) 112

8.3.1 直接的隐秘映射技术 113

8.3.2 反向映射 113

8.4 小结 115

第9章 黑客技术介绍 117

9.1 1998年的圣诞前夜 117

9.1.1 占领系统 118

9.1.2 设置侦察扫描 119

9.1.3 开始侦察扫描 121

9.1.4 准备进行杀伤 123

9.1.5 攻击未能奏效 124

9.1.6 现在我真的很生气 125

9.2 攻击者的交易场所 125

9.2.1 全面的工具集 126

9.2.2 培训过程 126

9.2.4 辅导过程 127

9.2.3 无法跟踪的交易方式 127

9.3 通信网络 128

9.3.1 IRC 128

9.3.2 网页 128

9.3.3 电话会议 128

9.3.4 声音邮箱 129

9.3.5 电子函件 129

9.3.6 共享系统 129

9.3.7 FTP货仓 129

9.4 匿名 130

9.5 小结 130

第10章 协同攻击 131

10.1 协同路由跟踪 132

10.2 NetBIOS欺骗 133

10.3 关于TCP RESET 134

10.3.1 内部的SYN/ACK请求 135

10.3.3 RealSecure自动生成RESET 139

10.3.4 欺骗 139

10.3.2 RESET作为TCP劫取的指示器 139

10.3.5 相关问题 140

10.4 SFRP扫描器 140

10.5 基于目标的分析 141

10.5.1 流量数据库的重要性 142

10.5.2 检测新攻击 142

10.6 小结 143

第11章 其他工具 145

11.1 eNTrax 145

11.1.1 按时间进行，由事件推动 145

11.1.2 基于网络的Sensor检测器 146

11.1.3 脆弱性评估 146

11.1.4 策略 146

11.1.5 基于主机的入侵检测 147

11.1.6 结束行 148

11.2 CMDS4.0 149

11.3.1 tripwire的价值 150

11.3 tripwire 150

11.3.2 调整tripwire 151

11.3.3 结束行 151

11.4 nmap 151

11.4.1 发现新的攻击模式 151

11.4.2 随机扫描的特征分析 152

11.4.3 2.02版nmap 153

11.4.4 可开发端口扫描的特征分析 154

11.4.5 nmap的扫描效用 157

11.4.8 nmap结束语 158

11.4.6 TCP fingerprinting 158

11.4.7 序列号预测 158

11.5 小结 159

第12章 风险管理和入侵检测 161

12.1 安全模型中的入侵检测 161

12.1.1 安全策略 162

12.1.2 应当关注的行业活动 162

12.1.3 安全基础结构 162

12.1.6 实施事故处理 163

12.1.5 定期复查 163

12.1.4 实施首选对策 163

12.2 定义风险 164

12.3 风险 165

12.3.1 接受风险 165

12.3.2 降低风险 166

12.3.3 转移风险 168

12.4 定义威胁 168

12.4.1 有多不好--威胁所带来的冲击 169

12.4.2 威胁频率--按年度计算 170

12.4.3 不确定性的识别 170

12.5 风险管理是由美元推动的 171

12.6 一种风险有多危险 172

12.6.1 定量的风险评估 172

12.6.2 定性的风险评估 172

12.6.3 为什么它们不起作用 173

12.7 小结 173

第13章 自动和人工响应 175

13.1.1 压制调速(Throttling) 176

13.1 自动响应 176

13.1.2 SYN/ACK 178

13.1.3 RESETs 178

13.2 蜜罐 178

13.2.1 代理系统 178

13.2.3 空系统 179

13.2.4 蜜罐小结 179

13.2.2 DTK 179

13.3 人工响应 180

13.3.1 遏制事态发展 180

13.3.2 根除问题 183

13.3.3 恢复 184

13.3.4 总结经验教训 185

13.4 小结 186

第14章 入侵检测商业应用实例 187

14.1.1 利益大于投入 188

14.1.2 开支有限 188

14.1 第1部分--与管理部门相关的问题 188

14.1.3 该技术不会影响机构的稳定 189

14.1.4 更大战略中的一部分 190

14.2 第2部分--威胁和脆弱性 191

14.2.1 威胁评估和分析 191

14.2.2 财产识别 192

14.2.3 定价 193

14.2.4 脆弱性分析 193

14.2.5 风险评价 194

14.3 第3部分--权衡和推荐的解决方案 194

14.3.1 定义信息保障风险管理体系结构 195

14.3.2 确定该体系结构中已经就位的部分 195

14.3.3 确定你的提案 195

14.3.4 确定备选对策 196

14.3.5 开支与收益分析 196

14.3.6 项目进度 196

14.4 小结 197

14.3.7 后续步骤 197

第15章 将来的发展方向 199

15.1 增加的威胁 199

15.1.1 改进的工具 200

15.1.2 改进的目标寻找技术 200

15.1.3 机动代码 201

15.1.4 陷门 201

15.2 计算机恐怖主义和2000年问题 203

15.3 受到信任的内部人员 203

15.5 再谈防病毒产业 205

15.4 改进的响应方式 205

15.6 基于硬件的入侵检测 206

15.6.1 Toasters 206

15.6.2 交换网络的入侵检测 206

15.7 纵深防御 207

15.8 基于程序的入侵检测 207

15.9 第63号总统决议和指示(PDD63) 208

15.10 聪明的审计人员 208

15.11 小结 209