第Ⅰ部分 安全专家眼中的核心Internet基础设施第1章 安全的Internet基础设施 3
1.1 Internet基本服务 5
1.1.1 IP地址(前缀)的分配和注册 5
1.1.2 自治系统号的分配与注册 7
1.1.3 Internet路由 7
1.2 Internet辅助服务 10
1.2.1 DNS服务 10
1.2.2 电子邮件服务 10
1.3 安全问题调查表 11
1.4 防御方案小结 12
第2章 ISP的安全实现:事实与设想 13
2.1 ISP安全组件 14
2.2 ISP安全弱点 15
2.3 深入了解Internet路由 15
2.4 路由策略 18
2.4.1 路由策略的开发和配置 18
2.4.2 不可路由的前缀 20
2.4.3 什么是bogon 21
2.4.4 单播逆向路径转发 23
2.5 ISP的可接受使用策略和事件响应 23
2.6 防御方案小结 24
第3章 DNS的保护 27
3.1 背景和功能 28
3.1.1 历史回顾 28
3.1.2 DNS功能和安全注意事项 29
3.2 暴露缺陷 31
3.2.1 全球根DNS的基础设施 31
3.2.2 机构的DNS基础设施 36
3.3 防御方案小结 41
第Ⅱ部分 网络边界和关键Internet基础设施的保护第4章 可靠连接 47
4.1 可靠连接的组件 48
4.2 揭示连接中的缺陷 48
4.3 边界路由器的安全性 49
4.3.1 选择网络操作系统 49
4.3.2 中止危险服务或不需要的服务 50
4.3.3 边界路由器访问控制策略 51
4.3.4 配置管理服务 55
4.4 Internet网关以及多重连接 55
4.4.1 与单个ISP的多重连接 56
4.4.2 与不同ISP的多重连接 57
4.5 关键设备配置的备份 58
4.6 带宽利用率 59
4.7 冗余及备份设备 60
4.8 关键系统的物理分布 62
4.9 防御方案小结 65
第5章 网络边界的保护 67
5.1 网络防火墙 68
5.2 防火墙技术类型 69
5.2.1 基于代理的防火墙 69
5.2.2 无状态的包过滤 71
5.2.3 有状态的包过滤 73
5.2.4 深度数据包检测 76
5.2.5 Web/XML防火墙 77
5.3 防火墙部署 79
5.3.1 默认安全状态 79
5.3.2 允许进出网络的应用程序 80
5.3.3 反IP欺骗的措施 84
5.4 防御方案小结 86
第6章 DMZ的新定义:关键系统的安全保护 87
6.1 深度防御的组件 90
6.2 DMZ的漏洞 92
6.3 DMZ中的独立系统 92
6.4 DMZ中的反向代理系统 96
6.5 防御方案小结 99
第7章 入侵检测和防御 101
7.1 基于网络的入侵检测 102
7.1.1 被动入侵检测 102
7.1.2 入侵防御 105
7.1.3 入侵检测引擎类型 106
7.2 基于主机的入侵防御 109
7.2.1 系统调用学习 110
7.2.2 基于策略的入侵防御 111
7.2.3 缓冲区溢出防御 111
7.2.4 系统完整性和变化检测 111
7.3 安全信息管理 112
7.3.1 事务标准化 112
7.3.2 事务关联和简化 113
7.4 防御方案小结 114
第8章 E-mail的网关、过滤以及备份机制 115
8.1 背景和功能 116
8.2 缺陷:E-mail滥用 118
8.2.1 open relay(开放式转发)和代理服务器 118
8.2.2 受到安全威胁的MTA 119
8.2.3 被感染的系统 119
8.3 MTA 120
8.3.1 内置MTA 120
8.3.2 单机MTA 120
8.3.3 单机MTA的实现 121
8.4 中继安全和黑名单 121
8.5 MTA的E-mail过滤 122
8.5.1 SMTP认证 122
8.5.2 MTA的反病毒机制和其他过滤机制 123
8.5.3 垃圾邮件过滤技术 125
8.5.4 邮件过滤总结 131
8.6 MTA加密 132
8.7 MTA冗余 134
8.7.1 邮件交换服务器(MX)冗余 134
8.7.2 系统冗余 136
8.8 远程/客户端E-mail安全 136
8.8.1 POP3/IMAP 137
8.8.2 Web访问 137
8.8.3 VPN(虚拟专用网) 137
8.8.4 消息提交协议 137
8.8.5 许可和密码 138
8.9 公共通知和角色账户 138
8.10 防御方案小结 139
第9章 出口流量中的数据泄露 143
9.1 背景和功能 144
9.2 暴露的缺陷 145
9.2.1 出口流量数据包过滤器的缺陷 145
9.2.2 网关路由中的缺陷 147
9.3 防御方案小结 150
第10章 sinkhole和backscatter 153
10.1 背景和功能 154
10.2 用sinkhole部署诱捕网络 155
10.2.1 darknet部署 156
10.2.2 honeynet部署 159
10.3 防御DDoS攻击的sinkhole实现(黑洞路由) 161
10.4 backscatter和traceback 164
10.4.1 backscatter 164
10.4.2 traceback 166
10.5 防御方案小结 167
第11章 无线网络的安全保护 169
11.1 无线技术历史 171
11.2 基本无线安全技术 172
11.2.1 MAC地址过滤 173
11.2.2 广播服务集合标识符 173
11.2.3 有线等效加密 174
11.2.4 WiFi保护访问 175
11.3 高级无线安全技术 176
11.3.1 用户授权认证 176
11.3.2 802.11i以及EAP 177
11.3.3 各类安全软件 178
11.4 蓝牙技术 178
11.5 无线监禁 179
11.6 防御方案小结 183
第Ⅲ部分 网络漏洞评估 187
第12章 漏洞和补丁程序的管理 187
12.1 漏洞的生命周期 188
12.2 发现漏洞 190
12.2.1 免费的漏洞信息来源 190
12.2.2 安全情报服务 191
12.3 漏洞处理优先级 191
12.3.1 NIAC通用漏洞评分系统 192
12.3.2 现有安全方案分析 193
12.3.3 工具 195
12.4 部署补丁程序 196
12.4.1 补丁测试 196
12.4.2 时间安排 197
12.4.3 补丁发布 197
12.4.4 虚拟补丁 198
12.5 防御方案小结 198
第13章 漏洞评估的有效方法 201
13.1 安全与功能的权衡 202
13.2 方法 204
13.2.1 方法标准 204
13.2.2 收集信息 206
13.2.3 确定攻击区域 206
13.2.4 描述攻击目标 207
13.2.5 确定攻击方案 208
13.2.6 攻击 210
13.2.7 防御 215
13.3 评估保障 218
13.3.1 评估频率 218
13.3.2 内部评估 218
13.3.3 第三方评估 219
13.3.4 对评估工作的保障 220
13.4 防御方案小结 220
第14章 漏洞评估实践Ⅰ 223
14.1 收集信息 224
14.1.1 公共路由前缀公告 225
14.1.2 ISP路由过滤策略 228
14.1.3 Whois/注册服务商询问 231
14.1.4 Web搜索 236
14.1.5 DNS工具 240
14.2 映射攻击区域 243
14.3 防御方案小结 250
第15章 漏洞评估实践Ⅱ 253
15.1 确定攻击目标 254
15.1.1 服务确认 254
15.1.2 端口扫描 260
15.1.3 端口扫描工具 271
15.1.4 目标确定备注 275
15.2 攻击方案 275
15.3 攻击 276
15.3.1 漏洞评估工具 276
15.3.2 确认工具 280
15.4 防御及补救工具 280
15.4.1 补丁管理软件 280
15.4.2 IISLockDown 280
15.4.3 微软基准安全分析器(MBSA) 281
15.5 评估方法小结 282
15.6 防御方案小结 283
第Ⅳ部分 应付未来威胁的对策 287
第16章 数字取证技术的开发 287
16.1 标准取证方法 288
16.1.1 确认目标及攻击时间、危害程度或调查区域 290
16.1.2 完成非入侵的预备性调查 290
16.1.3 利用网络分流器完成被动网络监控 291
16.1.4 隔离可疑系统 291
16.1.5 从目标系统中复制所有数据 292
16.1.6 分析复制数据并确定入侵点 292
16.1.7 记录发现信息 292
16.1.8 在纠正错误根源后恢复服务 293
16.2 取证技术:取证数据恢复及调查过程举例 293
16.2.1 确认目标 293
16.2.2 利用网络分流器被动监控网络 293
16.2.3 利用dd创建磁盘镜像并挂载文件系统 296
16.2.4 利用Foremost发现或恢复数据 298
16.3 高级数字取证工具 301
16.3.1 用于数据救援的dd_rescue 301
16.3.2 disktype 302
16.3.3 The Coroner's Toolkit(TCT) 303
16.3.4 memdump 306
16.3.5 tcpflow 307
16.4 实现取证追踪 308
16.4.1 文件完整性实施方案 308
16.4.2 入侵检测及确认 310
16.5 防御方案小结 311
第17章 恶意代码 315
17.1 恶意代码的类型及其安全风险 316
17.1.1 病毒 316
17.1.2 蠕虫 317
17.1.3 bot(傀儡程序)和bot network(僵尸网络) 323
17.1.4 特洛伊木马 325
17.1.5 间谍程序 325
17.1.6 广告软件 326
17.1.7 Phishing(钓鱼式)攻击 326
17.2 常见恶意代码行为 328
17.2.1 进程中断 329
17.2.2 创建互斥锁 329
17.2.3 修改系统主机文件 329
17.2.4 打开后门程序 330
17.2.5 安装其他恶意代码 330
17.3 防御方案小结 331
第18章 软件漏洞的利用 333
18.1 应用程序攻击向量 334
18.1.1 信息揭露/信息截获 335
18.1.2 远程登录/未受保护账户 336
18.1.3 网络服务/易受攻击的服务 338
18.1.4 未受保护的本地进程 339
18.1.5 未受保护的本地账户 341
18.1.6 未受保护的本地文件 341
18.2 安全威胁和漏洞 343
18.2.1 输入确认 344
18.2.2 SQL注入 345
18.2.3 缓冲区溢出 347
18.2.4 竞态条件以及其他异常条件 353
18.2.5 内存及资源耗尽 357
18.3 未来的漏洞及防御技术 358
18.3.1 混合式攻击 359
18.3.2 带宽检测器及数据包截获 359
18.3.3 端口扫描器及密钥登录器 360
18.3.4 加密技术 360
18.3.5 代理软件 360
18.3.6 躲避检测的高级技术 360
18.4 防御方案小结 362