網(wǎng)絡(luò)入侵檢測分析員手冊(cè)

第1章 Mitnick攻擊
1.1 利用TCP
1.1.1 TCP回顧
1.1.2 SYN湮沒
1.1.3 TCP劫取
1.2 檢測Mitnick攻擊
1.3 預(yù)防Mitnick攻擊
1.4 小結(jié)
第2章 過濾器和攻擊特征介紹
2.1 過濾策略
2.1.1 拒絕一切
2.1.2 允許一切
2.2 攻擊特征
2.2.1 用來檢測攻擊特征的過濾器
2.2.2 升級(jí)特征
2.3 過濾器實(shí)例
2.3.1 Land攻擊
2.3.2 WinNuke攻擊
2.3.3 圣誕樹過濾器
2.3.4 Web服務(wù)器攻擊檢測過濾器示例
2.4 與目標(biāo)過濾器相關(guān)的策略問題
2.4.1 非授權(quán)使用
2.4.2 壞雇員
2.4.3 到此為止
2.5 小結(jié)
第3章 體系結(jié)構(gòu)問題
3.1 關(guān)注的事件
3.2 觀測限制
3.3 簡易系統(tǒng)模式
3.4 人的因素對(duì)檢測的限制
3.4.1 分析員帶來的限制
3.4.2 CIRT帶來的限制
3.5 攻擊的嚴(yán)重性
3.5.1 系統(tǒng)重要性
3.5.2 攻擊的毀壞性
3.6 對(duì)策
3.7 檢測器位置
3.7.1 放在防火墻之外
3.7.2 檢測器在防火墻內(nèi)
3.7.3 防火墻內(nèi)外都有檢測器
3.7.4 檢測器的其他位置
3.8 推(Push)和拉(Pull)
3.9 分析員控制臺(tái)
3.9.1 快速控制臺(tái)
3.9.2 誤報(bào)警管理
3.9.3 顯示過濾器
3.9.4 標(biāo)記分析事件
3.9.5 層層探究
3.9.6 關(guān)聯(lián)分析
3.9.7 好的報(bào)告
3.10 基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測
3.11 小結(jié)
第4章 互操作性和關(guān)聯(lián)性
4.1 多種方案協(xié)同工作
4.1.1 CIDF
4.1.2 CISL
4.2 商業(yè)入侵檢測系統(tǒng)互操作解決方案
4.2.1 OPSEC
4.2.2 CCI
4.2.3 ISS的ANSA
4.3 關(guān)聯(lián)性
4.3.1 源IP關(guān)聯(lián)
4.3.2 目標(biāo)IP地址關(guān)聯(lián)
4.3.3 欺騙數(shù)據(jù)包特征關(guān)聯(lián)
4.3.4 新攻擊特征
4.3.5 時(shí)間周期
4.3.6 記錄
4.4 SQL數(shù)據(jù)庫
4.4.1 載入數(shù)據(jù)
4.4.2 數(shù)據(jù)縮減
4.4.3 查詢支持
4.4.4 交互性能
4.5 小結(jié)
第5章 基于網(wǎng)絡(luò)的入侵檢測解決方案
5.1 商業(yè)工具
5.2 運(yùn)行于MS Windows上的系統(tǒng)
5.2.1 ISS的RealSecure
5.2.2 Axent的NetProwler
5.3 基于UNIX的系統(tǒng)
5.3.1 NFR (Network Flight Recorder)
5.3.2 Cisco的NetRanger
5.4 GOTS
5.4.1 EPIC2
5.4.2 網(wǎng)絡(luò)入侵檢測器(NID)
5.4.3 Shadow
5.5 評(píng)估入侵檢測系統(tǒng)
5.5.1 Mitre評(píng)測中心
5.5.2 InfowarCon
5.5.3 Lincoln實(shí)驗(yàn)室的評(píng)估方法
5.5.4 ID99中的IDNet
5.5.5 供應(yīng)商
5.6 小結(jié)
第6章 對(duì)攻擊的檢測
6.1 誤報(bào)警
6.1.1 沒有激勵(lì)，只有響應(yīng)
6.1.2 SYN湮沒
6.1.3 Back Orifice
6.1.4 脆弱性標(biāo)準(zhǔn)
6.2 對(duì)IMAP的攻擊
6.2.1 10143源端口特征的IMAP攻擊
6.2.2 111特征的IMAP攻擊
6.3 SYN/FIN均設(shè)為1的端口攻擊
6.3.1 SYN/FIN均設(shè)為1，源端口為65535的攻擊
6.3.2 對(duì)DNS、NFS的攻擊
6.3.3 關(guān)于這種模式跟蹤記錄的其他答案
6.4 應(yīng)用掃描程序攻擊
6.4.1 Mscan
6.4.2 Mscan的二代產(chǎn)品
6.4.3 Access Builder
6.5 portmap攻擊
6.5.1 Rexec
6.5.2 POP3
6.5.3 目標(biāo)SGI系統(tǒng)
6.5.4 Discard
6.5.5 三端口掃描
6.5.6 一個(gè)古怪的Web掃描
6.5.7 協(xié)議類型掃描工具IP-191
6.5.8 SYN/FIN均設(shè)為1，源端口為23的掃描模式
6.6 小結(jié)
第7章 拒絕服務(wù)攻擊
7.1 檢測到的拒絕服務(wù)跟蹤記錄
7.1.1 廣播
7.1.2 病態(tài)的數(shù)據(jù)分段
7.1.3 echo和chargen
7.1.4 我們?cè)谕鍰oom游戲
7.1.5 nmap 2.01版
7.2 極少出現(xiàn)的著名程序
7.2.1 land攻擊
7.2.2 Ping of Death
7.3 小結(jié)
第8章 情報(bào)收集技術(shù)
8.1 網(wǎng)絡(luò)和主機(jī)映射
8.1.1 ICMP主機(jī)掃描
8.1.2 利用UDP echo請(qǐng)求對(duì)主機(jī)進(jìn)行掃描
8.1.3 ICMP協(xié)議廣播方式
8.1.4 基于網(wǎng)絡(luò)屏蔽的廣播方式
8.1.5 端口掃描
8.1.6 掃描特定端口
8.1.7 復(fù)雜的過程，可能的損害
8.1.8 "隨機(jī)"端口掃描
8.1.9 數(shù)據(jù)庫相關(guān)性報(bào)告
8.1.10 SNMP/ICMP
8.1.11 FTP 傳輸反射(bounce)
8.2 關(guān)于NetBIOS的特殊跟蹤記錄
8.2.1 來自Web服務(wù)器的訪問
8.2.2 Null Session
8.3 隱秘攻擊(stealth attack)
8.3.1 直接的隱秘映射技術(shù)
8.3.2 反向映射
8.4 小結(jié)
第9章 黑客技術(shù)介紹
9.1 1998年的圣誕前夜
9.1.1 占領(lǐng)系統(tǒng)
9.1.2 設(shè)置偵察掃描
9.1.3 開始偵察掃描
9.1.4 準(zhǔn)備進(jìn)行殺傷
9.1.5 攻擊未能奏效
9.1.6 現(xiàn)在我真的很生氣
9.2 攻擊者的交易場所
9.2.1 全面的工具集
9.2.2 培訓(xùn)過程
9.2.3 無法跟蹤的交易方式
9.2.4 輔導(dǎo)過程
9.3 通信網(wǎng)絡(luò)
9.3.1 IRC
9.3.2 網(wǎng)頁
9.3.3 電話會(huì)議
9.3.4 聲音郵箱
9.3.5 電子函件
9.3.6 共享系統(tǒng)
9.3.7 FTP貨倉
9.4 匿名
9.5 小結(jié)
第10章 協(xié)同攻擊
10.1 協(xié)同路由跟蹤
10.2 NetBIOS欺騙
10.3 關(guān)于TCP RESET
10.3.1 內(nèi)部的SYN/ACK請(qǐng)求
10.3.2 RESET作為TCP 劫取的指示器
10.3.3 RealSecure 自動(dòng)生成RESET
10.3.4 欺騙
10.3.5 相關(guān)問題
10.4 SFRP掃描器
10.5 基于目標(biāo)的分析
10.5.1 流量數(shù)據(jù)庫的重要性
10.5.2 檢測新攻擊
10.6 小結(jié)
第11章 其他工具
11.1 eNTrax
11.1.1 按時(shí)間進(jìn)行，由事件推動(dòng)
11.1.2 基于網(wǎng)絡(luò)的Sensor檢測器
11.1.3 脆弱性評(píng)估
11.1.4 策略
11.1.5 基于主機(jī)的入侵檢測
11.1.6 結(jié)束行
11.2 CMDS 4.0
11.3 tripwire
11.3.1 tripwire的價(jià)值
11.3.2 調(diào)整tripwire
11.3.3 結(jié)束行
11.4 nmap
11.4.1 發(fā)現(xiàn)新的攻擊模式
11.4.2 隨機(jī)掃描的特征分析
11.4.3 2.02版nmap
11.4.4 可開發(fā)端口掃描的特征分析
11.4.5 nmap的掃描效用
11.4.6 TCP fingerprinting
11.4.7 序列號(hào)預(yù)測
11.4.8 nmap 結(jié)束語
11.5 小結(jié)
第12章 風(fēng)險(xiǎn)管理和入侵檢測
12.1 安全模型中的入侵檢測
12.1.1 安全策略
12.1.2 應(yīng)當(dāng)關(guān)注的行業(yè)活動(dòng)
12.1.3 安全基礎(chǔ)結(jié)構(gòu)
12.1.4 實(shí)施首選對(duì)策
12.1.5 定期復(fù)查
12.1.6 實(shí)施事故處理
12.2 定義風(fēng)險(xiǎn)
12.3 風(fēng)險(xiǎn)
12.3.1 接受風(fēng)險(xiǎn)
12.3.2 降低風(fēng)險(xiǎn)
12.3.3 轉(zhuǎn)移風(fēng)險(xiǎn)
12.4 定義威脅
12.4.1 有多不好-威脅所帶來的沖擊
12.4.2 威脅頻率-按年度計(jì)算
12.4.3 不確定性的識(shí)別
12.5 風(fēng)險(xiǎn)管理是由美元推動(dòng)的
12.6 一種風(fēng)險(xiǎn)有多危險(xiǎn)
12.6.1 定量的風(fēng)險(xiǎn)評(píng)估
12.6.2 定性的風(fēng)險(xiǎn)評(píng)估
12.6.3 為什么它們不起作用
12.7 小結(jié)
第13章 自動(dòng)和人工響應(yīng)
13.1 自動(dòng)響應(yīng)
13.1.1 壓制調(diào)速(Throttling)
13.1.2 SYN/ACK
13.1.3 RESETs
13.2 蜜罐
13.2.1 代理系統(tǒng)
13.2.2 DTK
13.2.3 空系統(tǒng)
13.2.4 蜜罐小結(jié)
13.3 人工響應(yīng)
13.3.1 遏制事態(tài)發(fā)展
13.3.2 根除問題
13.3.3 恢復(fù)
13.3.4 總結(jié)經(jīng)驗(yàn)教訓(xùn)
13.4 小結(jié)
第14章 入侵檢測商業(yè)應(yīng)用實(shí)例
14.1 第1部分--與管理部門相關(guān)的問題
14.1.1 利益大于投入
14.1.2 開支有限
14.1.3 該技術(shù)不會(huì)影響機(jī)構(gòu)的穩(wěn)定
14.1.4 更大戰(zhàn)略中的一部分
14.2 第2部分--威脅和脆弱性
14.2.1 威脅評(píng)估和分析
14.2.2 財(cái)產(chǎn)識(shí)別
14.2.3 定價(jià)
14.2.4 脆弱性分析
14.2.5 風(fēng)險(xiǎn)評(píng)價(jià)
14.3 第3部分--權(quán)衡和推薦的解決方案
14.3.1 定義信息保障風(fēng)險(xiǎn)管理體系結(jié)構(gòu)
14.3.2 確定該體系結(jié)構(gòu)中已經(jīng)就位的部分
14.3.3 確定你的提案
14.3.4 確定備選對(duì)策
14.3.5 開支與收益分析
14.3.6 項(xiàng)目進(jìn)度
14.3.7 后續(xù)步驟
14.4 小結(jié)
第15章 將來的發(fā)展方向
15.1 增加的威脅
15.1.1 改進(jìn)的工具
15.1.2 改進(jìn)的目標(biāo)尋找技術(shù)
15.1.3 機(jī)動(dòng)代碼
15.1.4 陷門
15.2 計(jì)算機(jī)恐怖主義和2000年問題
15.3 受到信任的內(nèi)部人員
15.4 改進(jìn)的響應(yīng)方式
15.5 再談防病毒產(chǎn)業(yè)
15.6 基于硬件的入侵檢測
15.6.1 Toasters
15.6.2 交換網(wǎng)絡(luò)的入侵檢測
15.7 縱深防御
15.8 基于程序的入侵檢測
15.9 第63號(hào)總統(tǒng)決議和指示(PDD63)
15.10 聰明的審計(jì)人員
15.11 小結(jié)