《Unix/Linux日志分析與流量監控》書稿完成

近日，歷時3年創作的75萬字書稿已完成，本書緊緊圍繞網絡安全的主題，對各種Unix/Linux系統及網絡服務日志進行了全面系統的講解，從系統的原始日志（RawLog）采集與分析講起，逐步深入到日志審計與取證環節，在本書提供多個案例，每個案例都以一種生動的記事手法講述了網絡遭到入侵之后，管理人員開展系統取證和恢復的過程，采用帶有故事情節的案例分析手法，使讀者身臨其境的檢驗自己的應急響應和計算機取證能力。本書以運維工程師的視角，通過各種日志，腳本程序等信息來處理各種系統和網絡故障，重在給讀者傳遞一種解決問題的思路和方法，并展示一些開源安全工具的使用和部署，向廣大IT從業者傳遞了一種積極向上的正能量。

本書特色

本書以Unix/Linux為主要平臺，以開源軟件為主要分析工具，企業網安全運維為大背景，其所選取案例覆蓋了如今網絡應用中典型的攻擊類型，例如DDOS、惡意代碼、Web應用攻擊、無線網攻擊及SQL注入攻擊等內容，每個故事首先描述了一起安全事件的所有證據和取證信息（包括日志文件、拓撲圖和設備配置文件）提出了一些問題引導讀者自己分析入侵的原因，最后深入案例分析，用詳細的證據來透徹解釋入侵過程的來龍去脈，在每個案例最后提出了正對這類情況的防范手段和補救措施。本書最大亮點就是告訴大家如何使用Ossim開源系統來解決深入挖掘網絡安全問題。

本書用精選了二十多個完整案例（星級越高難度越大）分析為廣大讀者分享的都是實實在在的干貨，它對于提高網絡維護水平和事件分析能力有著很大的參考價值，如果你關注網絡安全，那么書中的案例一定會引起你的共鳴。本書適合有一定經驗的網絡工程師、系統管理員和信息安全人員參考。此前，已出版的暢銷書《Linux企業應用案例精解》（這本書在2014年春就出第二版啦）就是日志案例分析的姊妹篇，這本書中對企業最關心的Unix/Linux系統及網絡全問題進行了更為深層次、多角度的闡釋，本書分享了作者10年來運維Unix/Linux系統的苦與樂，全書三層次章節如下：

第一篇日志分析基礎

第1章網絡日志獲取與分析13
1.1網絡環境日志分類14
1.1.1UNIX/Linux系統日志14
1.1.2Windows日志15
1.2.3Windows系統日志16
1.1.4網絡設備日志16
1.1.5應用系統的日志17
1.2Web日志分析17
1.2.1訪問日志記錄過程17
1.2.2Apache訪問日志作用18
1.2.3訪問日志的位置18
1.2.4訪問日志格式分析18
1.2.5HTTP返回狀態代碼19
1.2.6記錄Apache虛擬機日志19
1.2.7Web日志統計舉例20
1.2.6Apache錯誤日志分析21
1.2.7日志輪詢23
1.2.8清空日志的技巧24
1.2.9其他Linux平臺Apache日志位置25
1.2.10Nginx日志25
1.2.11Tomcat日志25
1.2.12常用Apache日志分析工具26
1.3FTP服務器日志解析27
1.3.1分析vsftpd.log和xferlog28
1.3.2中文對Vsftp日志的影響29
1.3.2用Logparser分析FTP日志30
1.4用LogParser分析Windows系統日志32
1.4.1LogParser概述32
1.4.2LogParser結構32
1.4.3安裝LogParser33
1.4.4LogParser應用案例33
1.4.5圖形化分析輸出36
1.5Squid服務日志分析37
1.5.1Squid日志分類37
1.5.2典型Squid訪問日志分析37
1.5.3Squid時間戳轉換38
1.5.4Squid日志位置：39
1.5.5圖形化日志分析工具40
1.5.6其他UNIX/Linux平臺的Squid位置40
1.6NFS服務日志分析41
1.6.1Linux下的NFS日志41
1.6.2Solaris下NFS服務器日志41
1.7IPtables日志分析44
1.7.1對LOG日志格式的問題：45
1.8Samba日志審計47
1.8.1Samba默認提供的日志48
1.8.2Samba審計49
1.9DNS日志分析50
1.9.1DNS日志的位置50
1.9.2DNS日志的級別50
1.9.3DNS查詢請求日志實例解釋50
1.9.4DNS分析工具-DNStop51
1.10DHCP服務器日志52
1.11郵件服務器日志53
1.11.1Sendmail53
1.11.2Postfix54
1.12Linux下雙機系統日志54
1.12.1Heartbeat的日志54
1.12.2備用節點上的日志信息55
1.12.3日志分割56
1.13其他UNIX系統日志分析GUI工具56
1.13.1用SMC分析系統日志56
1.13.2MacOSX的GUI日志查詢工具57
1.14死機日志匯總分析
1.15可視化日志分析工具58
1.15.1.彩色日志工具:CCZE59
1.15.2動態日志查看工具:Logstalgia59
1.15.3三維日志顯示工具:Gource60
1.15.4用AWStats監控網站流量61
第2章UNIX/Linux系統取證65
2.1常見IP追蹤方法65
2.1.1IP追蹤工具和技術65
2.1.2DoS/DDoS攻擊源追蹤思路67
2.2重要信息收集69
2.2.1收集正在運行的進程69
2.2.2收集/proc系統中的信息72
2.2.3UNIX文件存儲與刪除73
2.2.4硬盤證據的收集方法73
2.2.5從映像的文件系統上收集證據75
2.2.6用Ddrescue恢復數據77
2.2.7查看詳細信息78
2.2.8收集隱藏目錄和文件78
2.2.9檢查可執行文件80
2.3常用搜索工具80
2.3.1特殊文件處理80
2.3.2TheCoroner’sToolkit(TCT工具箱)81
2.3.3Forensix工具集81
2.4集成取證工具箱介紹82
2.4.1用光盤系統取證82
2.4.2屏幕錄制取證方法83
2.5案例研究一：閃現SegmentationFault為哪般？83
難度系數：★★★83
事件背景84
互動問答87
疑難解析87
預防措施：89
2.6案例研究二：誰動了我的膠片90
難度系數：★★★★★90
事件背景90
取證分析92
互動問答94
疑點分析95
疑難解析96
預防措施99
第3章建立日志分析系統100
3.1日志采集基礎100
3.1.1SYSLOG協議100
3.1.2Syslog日志記錄的事件102
3.1.3Syslog.conf配置文件詳解103
3.1.4Syslog操作105
3.1.5Syslog的安全漏洞105
3.1.6Rsyslog106
3.1.7Syslog-ng107
3.2時間同步107
3.2.1基本概念107
3.2.2識別日志中偽造的時間信息108
3.2.3同步方法108
3.3網絡設備日志分析與舉例108
3.3.1路由器日志分析109
3.3.2交換機日志分析110
3.3.3防火墻日志分析110
3.3.4通過日志發現ARP病毒112
3.4選擇日志管理系統的十大問題116
3.5利用日志管理工具更輕松120
3.5.1日志主機系統的部署120
3.5.2日志分析與監控122
3.5.3利用EventlogAnalyzer分析網絡日志122
3.5.4.分析防火墻日志125
3.6用Sawmill搭建日志平臺126
3.6.1系統簡介126
3.6.2部署注意事項：127
3.6.3安裝舉例：127
3.6.4監測網絡入侵129
3.7使用Splunk分析日志130
3.7.1Splunk簡介130
3.7.2Splunk安裝：131
3.7.3設置自動運行131
3.7.4系統配置132
3.7.5設置日志分析目錄133

第二篇日志實戰案例分析

第4章DNS系統故障分析140
4.1案例研究三：邂逅DNS故障140
難度系數：★★★★140
事件背景140
互動問答143
取證分析144
問題解答146
預防措施147
4.2DNS漏洞掃描方法148
4.2.1DNS掃描的關鍵技術149
4.2.2檢查工具：149
4.3DNSFloodDetector讓DNS更安全150
4.3.1Linux下DNS面臨的威脅151
4.3.2BIND漏洞151
4.3.3DNS管理152
4.3.4應對DNSFlood攻擊152
4.3.5DNSFloodDetector保安全153
第5章DOS攻擊防御分析155
5.1案例研究四：網站遭遇DOS攻擊155
難度系數：★★★155
事件背景155
針對措施159
疑難解答161
案例總結162
5.2案例研究五：“太囧”防火墻164
難度系數：★★★★164
事件背景164
互動問答166
調查分析166
答疑解惑168
第6章UNIX后門與溢出案例分析168
6.1如何防范RootKit攻擊169
6.1.1認識RootKit169
6.1.2RootKit的類型169
6.2防范RootKit的工具171
6.2.1使用chkrootkit工具171
6.2.2RootKitHunt工具173
6.3安裝LIDS173
6.3.1LIDS的主要功能173
6.3.2配置LIDS174
6.3.3使用Lidsadm工具175
6.3.4使用LIDS來保護系統177
6.4安裝與配置AIDE178
6.4.1Solaris安裝AIDE178
6.4.2用Aide加固Ossim平臺179
6.4.3Tripwire181
6.5Nabou安裝與配置182
6.5.1Nabou的功能及原理182
6.5.2創建一對RSA密鑰182
6.5.3初始化數據庫183
6.5.4啟用LIDS183
6.5.5Nabou的數據庫維護183
6.5.6Nabou的應用實例185
6.5.7Nabou的適用場合186
6.6案例研究六：Solaris異常后門187
難度系數：★★★★★187
入侵背景187
預防措施193
6.7案例研究七:遭遇溢出攻擊195
難度系數：★★★★★195
事件背景195
分析日志195
案例解碼200
預防措施202
6.8案例研究八：真假Root賬號203
難度系數：★★★★203
事件背景203
取證分析206
互動問答：207
問題解答：208
預防措施209
6.9案例研究九：為RootKit把脈209
難度系數：★★★★★209
事件背景209
互動問答214
事件分析：214
預防措施216
第7章UNIX系統防范案例217
7.1案例研究十：當網頁遭遇篡改之后217
難度系數：★★★★217
事件背景218
互動問答219
入侵事件剖析219
疑難解答221
防護措施222
Web漏洞掃描工具——Nikto223
7.2案例十一UNIX下捉蟲記225
難度系數：★★★★★225
事件背景225
取證分析226
互動問答228
入侵解析229
預防措施233
7.3案例研究十二：泄露的裁員名單234
難度系數：★★★★234
事件背景234
取證分析235
互動問答236
答疑解惑237
預防措施238
第8章SQL注入防護案例分析239
8.1案例十三：后臺數據庫遭遇SQL注入239
難度系數：★★★★239
案例背景：239
分析過程242
預防與補救措施244
8.2案例研究十四：大意的程序員之-SQL注入244
難度系數：★★★★244
事件背景244
互動問答246
分析取證246
答疑解惑247
預防措施251
8.3利用OSSIM監測SQL注入251
8.3.2用Ossim檢測SQl注入252
Ossim系統中的Snort規則254
8.4LAMP網站的SQL注入預防255
8.4.1服務器端的安全配置255
8.4.2PHP代碼的安全配置255
8.4.3PHP代碼的安全編寫256
8.5通過日志檢測預防SQL注入256
8.5.1通過WEB訪問日志發現SQL攻擊257
8.5.2用VisualLogParser分析日志257
第9章遠程連接安全案例259
9.1案例十五：修補SSH服務器259
難度系數：★★★259
事件背景259
加固SSH服務器262
通過Ossim實現SSH登錄失敗告警功能265
預防措施267
9.2案例研究十六：無辜的“跳板”268
事件背景268
預防措施272
第10章Snort系統部署及應用案例273
10.1Snort系統原理273
10.2Snort安裝與維護273
10.1.1準備工作273
10.1.2深入了解Snort274
10.1.3安裝Snort程序276
10.1.4維護Snort278
10.1.5Snort的不足280
10.2Snort日志分析280
10.2.1基于文本的格式281
10.2.2典型攻擊日志信息282
10.2.2Snort探針部署282
10.2.3日志分析工具283
10.3Snort規則分析283
10.3.1Snort規則283
10.3.2編寫SNORT規則284
10.4基于Ossim平臺的WIDS系統287
10.4.1安裝無線網卡288
10.4.2設置Ossim無線傳感器290
10.5案例研究十七：IDS系統遭遇IP碎片攻擊293
難度系數：★★★★293
事件背景293
疑難問題301
互動問答：301
10.5.1防范與處理思路301
10.5.2nort+Iptables聯動302
10.5.3IP碎片攻擊的預防303
10.5.4評估NIDS工具303
10.5.5IDS系統與網絡嗅探器的區別304
10.6案例十八：智取不速之客305
難度系數：★★★★305
事件背景305
互動問答307
取證分析307
疑難解答310
預防措施311
第11章WLAN案例分析311
11.1WLAN安全漏洞與威脅312
11.2案例研究十九：無線網遭受的攻擊313
難度系數：★★★★313
事件背景313
互動問答315
疑點解析317
預防措施318
11.2.2有關WIFI上網日志的收集318
11.2.3用開源NAC阻止非法網絡訪問318
11.2.4企業中BYOD的隱患320
11.3案例研究二十：無線會場的“不速之客”321
難度系數：★★★★321
事件背景：321
取證分析324
第12章數據加密與解密案例327
12.1GPG概述327
12.1.1創建密鑰327
12.1.2導入密鑰328
12.1.3加密和解密328
12.1.4簽訂和驗證329
12.2案例研究二十一：“神秘”的加密指紋330
難度系數：★★★330
事件背景330
疑難問題333
案情解碼333
分析攻擊過程337
答疑解惑337
預防措施338

第三篇網絡流量與日志監控

第13章網絡流量監控338
13.1網絡監聽關鍵技術339
13.1.1網絡監聽339
13.1.2SNMP協議的不足339
13.1.3監聽關鍵技術339
13.1.4NetFlow與sFlow的區別340
13.1.5協議和應用識別340
13.1.6網絡數據流采集技術340
13.1.7SPAN的局限性341
13.2用Netflow分析網絡異常流量341
13.2.1Netflow的Cache管理342
13.2.2NetFlow的輸出格式342
13.2.3NetFlow的抽樣機制342
13.2.4NetFlow的性能影響343
13.2.5NetFlow在蠕蟲病毒監測上的應用343
13.3VMwareESXi服務器監控347
13.4應層數據包解碼351
13.4.1概述351
13.4.2系統架構351
13.4.3Xplico的數據獲取方法352
13.4.4Xplico部署352
13.4.5應用Xplico353
13.5.網絡嗅探器的檢測及預防358
13.5.1嗅探器的檢測358
13.5.2網絡嗅探的預防359
第14章OSSIM綜合應用360
14.1OSSIM的產生360
14.1.1概況360
14.1.2從SIM到OSSIM361
14.1.3安全信息和事件管理（SIEM）362
14.2Ossim架構與原理363
14.2.1Ossim架構363
14.2.2Agent事件類型368
14.2.3RRD繪圖引擎370
14.2.4OSSIM工作流程分析371
14.3部署OSSIM371
14.3.1準備工作：371
14.3.2Ossim服務器的選擇373
14.3.3分布式Ossim系統探針布局374
14.3.4Ossim系統安裝步驟:374
14.4Ossim安裝后續工作379
14.4.1時間同步問題379
14.4.2系統升級380
14.4.3防火墻設置381
14.4.4訪問數據庫381
14.4.5同步Openvas插件384
14.4.6安裝遠程管理工具385
14.4.7安裝X-window386
14.5使用Ossim系統387
14.5.1熟悉主界面387
14.5.2SIEM事件控制臺389
14.6風險評估方法392
Ossim系統風險度量方法393
14.7Ossim關聯分析技術394
14.7.1關聯分析394
14.7.2Ossim的通用關聯檢測規則395
14.8OSSIM日志管理平臺398
14.8.1Ossim日志處理流程398
14.8.2Snare398
14.8.3通過WMI收集Windows日志399
14.8.4配置Ossim399
14.8.5Snare與WMI的區別401
14.9應用Ossim系統的IDS401
14.9.1HIDS/NIDS401
14.9.2OSSECHIDSAgent安裝402
14.10Ossim流量監控工具應用413
14.10.1流量過濾413
14.10.3流量分析415
14.10.4網絡天氣圖417
14.10.5設置Netflow418
14.10.6Nagios監視419
14.10.7與第三方監控軟件集成421
14.11檢測Shellcode攻擊
14.12Ossim應用資產管理422
14.12.1OCSInventoryNG架構422
14.12.2OCS使用423
14.13Ossim在蠕蟲預防中的應用423
14.14監測Shellcode426
14.15漏洞掃描應用427
14.15.1漏洞評估方法427
14.15.2漏洞庫詳解428
14.16采用Openvas掃描429
14.16.1分布式漏洞掃描430
14.17Metasploit的滲透測試432
14.17.1Metasploit+Nessus聯動分析434
14.18常見Ossim部署與應用問答437
附錄

附件A分布式蜜罐系統部署460
附件B監控軟件對比464

附錄C全文索引466

在圖書創作的1000多個日日夜夜里，每天除了上班，回到家就開始寫作。回憶著過去的經歷，整理著曾近記錄的筆記，然后開始創作，每當深夜是我創作靈感寫作效率最高的時段，那時沒人打攪你，你可以全身心的投入。其寫作的艱辛恐怕只有經歷過的才能體會到吧，希望通過這本書的安全日志分析能給從事安全運維的人員以啟迪。

本文出自 “李晨光原創技術博客” 博客，謝絕轉載！

轉載于:https://www.cnblogs.com/chenguang/p/3742182.html

總結

以上是生活随笔為你收集整理的《Unix/Linux日志分析与流量监控》书稿完成的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。