|
|
51CTO旗下网站
|
|
移动端

前言

《UNIX/Linux网络日志分析与流量监控》本书全面介绍了UNIX/Linux安全运维的各方面知识。第一篇从UNIX/Linux系统日志、Apache等各类应用日志的格式和收集方法讲起,内容涵盖异构网络系统日志收集和分析工具使用的多个方面;第二篇列举了二十多个常见网络故障案例,每个案例完整地介绍了故障的背景、发生、发展,以及最终的故障排除过程。其目的在于维护网络安全,通过开源工具的灵活运用,来解决运维实战工作中的各种复杂的故障;第三篇重点讲述了网络流量收集监控技术与OSSIM在异常流量监测中的应用。本节为前言。

作者:李晨光来源:机械工业出版社|2014-11-26 15:40

前言

本书从UNIX/Linux 系统的原始日志(Raw Log)采集与分析讲起,逐步深入到日志审计与计算机取证环节。书中提供了多个案例,每个案例都以一种生动的记事手法讲述了网络遭到入侵之后,管理人员开展系统取证和恢复的过程,案例分析手法带有故事情节,使读者身临其境地检验自己的应急响应和计算机取证能力。

本书使用的案例都是作者从系统维护和取证工作中总结、筛选出来的,这些内容对提高网络维护水平和事件分析能力有重要的参考价值。如果你关注网络安全,那么书中的案例一定会引起你的共鸣。本书适合有一定经验的UNIX/Linux 系统管理员和信息安全人士参考。

1.为什么写这本书

国内已出版了不少网络攻防等安全方面的书籍,其中多数是以Windows 平台为基础。但互联网应用服务器大多架构在UNIX/Linux 系统之上,读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux 的书,从一个白帽的视角,为大家讲述企业网中UNIX/Linux 系统在面临各种网络威胁时,如何通过日志信息查找问题的蛛丝马迹,修复网络漏洞,构建安全的网络环境。

2.本书特点与结构

书中案例覆盖了如今网络应用中典型的攻击类型,例如DDoS、恶意代码、缓冲区溢出、Web 应用攻击、IP 碎片攻击、中间人攻击、无线网攻击及SQL 注入攻击等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查,收集各种信息(包括日志文件、拓扑图和设备配置文件),再对各种安全事件报警信息进行交叉关联分析,并引导读者自己分析入侵原因,将读者带入案例中。最后作者给出入侵过程的来龙去脉,在每个案例结尾提出针对这类攻击的防范手段和补救措施,重点在于告诉读者如何进行系统和网络取证,查找并修复各种漏洞,从而进行有效防御。

全书共有14 章,可分为三篇。

第一篇日志分析基础(第1~3 章),是全书的基础,对于IT 运维人员尤为重要,系统地总结了UNIX/Linux 系统及各种网络应用日志的特征、分布位置以及各字段的作用,包括Apache 日志、FTP 日志、Squid 日志、NFS 日志、Samba 日志、iptables 日志、DNS 日志、DHCP 日志、邮件系统日志以及各种网络设备日志,还首次提出了可视化日志分析的实现技术,首次曝光了计算机系统在司法取证当中所使用的思路、方法、技术和工具,这为读者有效记录日志、分析日志提供了扎实的基础,解决了读者在日志分析时遇到的“查什么”、“怎么查”的难题。最后讲解了日志采集的实现原理和技术方法,包括开源和商业的日志分析系统的搭建过程。

第二篇日志分析实战(第4~12 章),讲述了根据作者亲身经历改编的一些小故事,再现了作者当年遇到的各种网络入侵事件的发生、发展和处理方法、预防措施等内容,用一个个网络运维路上遇到的“血淋淋”的教训来告诫大家,如果不升级补丁会怎么样,如果不进行系统安全加固又会遇到什么后果。这些案例包括Web 网站崩溃、DNS 故障、遭遇DoS 攻击、Solaris 安插后门、遭遇溢出攻击、rootkit 攻击、蠕虫攻击、数据库被SQL 注入、服务器沦为跳板、IP 碎片攻击等。

第三篇网络流量与日志监控(第13、14 章),用大量实例讲解流量监控原理与方法,例如开源软件Xplico 的应用技巧,NetFlow 在异常流量中的应用。还介绍了用开源的OSSIM安全系统建立网络日志流量监控网络。

本书从网络安全人员的视角展现了网络入侵发生时,当你面临千头万绪的线索时如何从中挖掘关键问题,并最终得以解决。书中案例采用独创的情景式描述,通过一个个鲜活的IT场景,反映了IT 从业者在工作中遇到的种种难题。案例中通过互动提问和开放式的回答,使读者不知不觉中掌握一些重要的网络安全知识和实用的技术方案。

本书案例中的IP 地址、域名信息均为虚构,而解决措施涉及的下载网站以及各种信息查询网站是真实的,具有较高参考价值。书中有大量系统日志,这些日志是网络故障取证处理时的重要证据,由于涉及保密问题,所有日志均做过技术处理。

由于时间紧,能力有限,书中不当之处在所难免,还请各位读者到我的博客多多指正。

3.本书实验环境

本书选取的UNIX 平台为Solaris 和FreeBSD,Linux 平台主要为Red Hat 和DebianLinux。涉及取证调查工具盘是Deft 8.2 和Back Track5。在http://chenguang.blog.51cto.com(作者的博客)提供了DEFT-vmware、BT5-vmware、OSSIM-vmware 虚拟机,可供读者下载学习研究。

4.致谢

首先感谢我的父母多年来的养育之恩和关心呵护。感谢我在各个求学阶段的老师。尤其要感谢我的妻子,有了她精心的照顾,我才能全身心地投入到创作当中,没有她的支持和鼓励,我无法持之以恒地完成本书。最后要感谢机械工业出版社的车忱编辑,为了提升本书的质量,他花费了大量心血。

李晨光

2014 年7月

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目      
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Linux环境下C编程指南

本书系统地介绍了在Linux平台下用C语言进行程序开发的过程,通过列举大量的程序实例,使读者很快掌握在Linux平台下进行C程序开发的方法和技...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊