網(wǎng)絡(luò)入侵檢測分析員手冊

第1章 Mitnick攻擊
1.1 利用TCP
1.1.1 TCP回顧
1.1.2 SYN湮沒
1.1.3 TCP劫取
1.2 檢測Mitnick攻擊
1.3 預(yù)防Mitnick攻擊
1.4 小結(jié)
第2章 過濾器和攻擊特征介紹
2.1 過濾策略
2.1.1 拒絕一切
2.1.2 允許一切
2.2 攻擊特征
2.2.1 用來檢測攻擊特征的過濾器
2.2.2 升級特征
2.3 過濾器實例
2.3.1 Land攻擊
2.3.2 WinNuke攻擊
2.3.3 圣誕樹過濾器
2.3.4 Web服務(wù)器攻擊檢測過濾器示例
2.4 與目標(biāo)過濾器相關(guān)的策略問題
2.4.1 非授權(quán)使用
2.4.2 壞雇員
2.4.3 到此為止
2.5 小結(jié)
第3章 體系結(jié)構(gòu)問題
3.1 關(guān)注的事件
3.2 觀測限制
3.3 簡易系統(tǒng)模式
3.4 人的因素對檢測的限制
3.4.1 分析員帶來的限制
3.4.2 CIRT帶來的限制
3.5 攻擊的嚴重性
3.5.1 系統(tǒng)重要性
3.5.2 攻擊的毀壞性
3.6 對策
3.7 檢測器位置
3.7.1 放在防火墻之外
3.7.2 檢測器在防火墻內(nèi)
3.7.3 防火墻內(nèi)外都有檢測器
3.7.4 檢測器的其他位置
3.8 推(Push)和拉(Pull)
3.9 分析員控制臺
3.9.1 快速控制臺
3.9.2 誤報警管理
3.9.3 顯示過濾器
3.9.4 標(biāo)記分析事件
3.9.5 層層探究
3.9.6 關(guān)聯(lián)分析
3.9.7 好的報告
3.10 基于主機和基于網(wǎng)絡(luò)的入侵檢測
3.11 小結(jié)
第4章 互操作性和關(guān)聯(lián)性
4.1 多種方案協(xié)同工作
4.1.1 CIDF
4.1.2 CISL
4.2 商業(yè)入侵檢測系統(tǒng)互操作解決方案
4.2.1 OPSEC
4.2.2 CCI
4.2.3 ISS的ANSA
4.3 關(guān)聯(lián)性
4.3.1 源IP關(guān)聯(lián)
4.3.2 目標(biāo)IP地址關(guān)聯(lián)
4.3.3 欺騙數(shù)據(jù)包特征關(guān)聯(lián)
4.3.4 新攻擊特征
4.3.5 時間周期
4.3.6 記錄
4.4 SQL數(shù)據(jù)庫
4.4.1 載入數(shù)據(jù)
4.4.2 數(shù)據(jù)縮減
4.4.3 查詢支持
4.4.4 交互性能
4.5 小結(jié)
第5章 基于網(wǎng)絡(luò)的入侵檢測解決方案
5.1 商業(yè)工具
5.2 運行于MS Windows上的系統(tǒng)
5.2.1 ISS的RealSecure
5.2.2 Axent的NetProwler
5.3 基于UNIX的系統(tǒng)
5.3.1 NFR (Network Flight Recorder)
5.3.2 Cisco的NetRanger
5.4 GOTS
5.4.1 EPIC2
5.4.2 網(wǎng)絡(luò)入侵檢測器(NID)
5.4.3 Shadow
5.5 評估入侵檢測系統(tǒng)
5.5.1 Mitre評測中心
5.5.2 InfowarCon
5.5.3 Lincoln實驗室的評估方法
5.5.4 ID99中的IDNet
5.5.5 供應(yīng)商
5.6 小結(jié)
第6章 對攻擊的檢測
6.1 誤報警
6.1.1 沒有激勵，只有響應(yīng)
6.1.2 SYN湮沒
6.1.3 Back Orifice
6.1.4 脆弱性標(biāo)準
6.2 對IMAP的攻擊
6.2.1 10143源端口特征的IMAP攻擊
6.2.2 111特征的IMAP攻擊
6.3 SYN/FIN均設(shè)為1的端口攻擊
6.3.1 SYN/FIN均設(shè)為1，源端口為65535的攻擊
6.3.2 對DNS、NFS的攻擊
6.3.3 關(guān)于這種模式跟蹤記錄的其他答案
6.4 應(yīng)用掃描程序攻擊
6.4.1 Mscan
6.4.2 Mscan的二代產(chǎn)品
6.4.3 Access Builder
6.5 portmap攻擊
6.5.1 Rexec
6.5.2 POP3
6.5.3 目標(biāo)SGI系統(tǒng)
6.5.4 Discard
6.5.5 三端口掃描
6.5.6 一個古怪的Web掃描
6.5.7 協(xié)議類型掃描工具IP-191
6.5.8 SYN/FIN均設(shè)為1，源端口為23的掃描模式
6.6 小結(jié)
第7章 拒絕服務(wù)攻擊
7.1 檢測到的拒絕服務(wù)跟蹤記錄
7.1.1 廣播
7.1.2 病態(tài)的數(shù)據(jù)分段
7.1.3 echo和chargen
7.1.4 我們在玩Doom游戲
7.1.5 nmap 2.01版
7.2 極少出現(xiàn)的著名程序
7.2.1 land攻擊
7.2.2 Ping of Death
7.3 小結(jié)
第8章 情報收集技術(shù)
8.1 網(wǎng)絡(luò)和主機映射
8.1.1 ICMP主機掃描
8.1.2 利用UDP echo請求對主機進行掃描
8.1.3 ICMP協(xié)議廣播方式
8.1.4 基于網(wǎng)絡(luò)屏蔽的廣播方式
8.1.5 端口掃描
8.1.6 掃描特定端口
8.1.7 復(fù)雜的過程，可能的損害
8.1.8 "隨機"端口掃描
8.1.9 數(shù)據(jù)庫相關(guān)性報告
8.1.10 SNMP/ICMP
8.1.11 FTP 傳輸反射(bounce)
8.2 關(guān)于NetBIOS的特殊跟蹤記錄
8.2.1 來自Web服務(wù)器的訪問
8.2.2 Null Session
8.3 隱秘攻擊(stealth attack)
8.3.1 直接的隱秘映射技術(shù)
8.3.2 反向映射
8.4 小結(jié)
第9章 黑客技術(shù)介紹
9.1 1998年的圣誕前夜
9.1.1 占領(lǐng)系統(tǒng)
9.1.2 設(shè)置偵察掃描
9.1.3 開始偵察掃描
9.1.4 準備進行殺傷
9.1.5 攻擊未能奏效
9.1.6 現(xiàn)在我真的很生氣
9.2 攻擊者的交易場所
9.2.1 全面的工具集
9.2.2 培訓(xùn)過程
9.2.3 無法跟蹤的交易方式
9.2.4 輔導(dǎo)過程
9.3 通信網(wǎng)絡(luò)
9.3.1 IRC
9.3.2 網(wǎng)頁
9.3.3 電話會議
9.3.4 聲音郵箱
9.3.5 電子函件
9.3.6 共享系統(tǒng)
9.3.7 FTP貨倉
9.4 匿名
9.5 小結(jié)
第10章 協(xié)同攻擊
10.1 協(xié)同路由跟蹤
10.2 NetBIOS欺騙
10.3 關(guān)于TCP RESET
10.3.1 內(nèi)部的SYN/ACK請求
10.3.2 RESET作為TCP 劫取的指示器
10.3.3 RealSecure 自動生成RESET
10.3.4 欺騙
10.3.5 相關(guān)問題
10.4 SFRP掃描器
10.5 基于目標(biāo)的分析
10.5.1 流量數(shù)據(jù)庫的重要性
10.5.2 檢測新攻擊
10.6 小結(jié)
第11章 其他工具
11.1 eNTrax
11.1.1 按時間進行，由事件推動
11.1.2 基于網(wǎng)絡(luò)的Sensor檢測器
11.1.3 脆弱性評估
11.1.4 策略
11.1.5 基于主機的入侵檢測
11.1.6 結(jié)束行
11.2 CMDS 4.0
11.3 tripwire
11.3.1 tripwire的價值
11.3.2 調(diào)整tripwire
11.3.3 結(jié)束行
11.4 nmap
11.4.1 發(fā)現(xiàn)新的攻擊模式
11.4.2 隨機掃描的特征分析
11.4.3 2.02版nmap
11.4.4 可開發(fā)端口掃描的特征分析
11.4.5 nmap的掃描效用
11.4.6 TCP fingerprinting
11.4.7 序列號預(yù)測
11.4.8 nmap 結(jié)束語
11.5 小結(jié)
第12章 風(fēng)險管理和入侵檢測
12.1 安全模型中的入侵檢測
12.1.1 安全策略
12.1.2 應(yīng)當(dāng)關(guān)注的行業(yè)活動
12.1.3 安全基礎(chǔ)結(jié)構(gòu)
12.1.4 實施首選對策
12.1.5 定期復(fù)查
12.1.6 實施事故處理
12.2 定義風(fēng)險
12.3 風(fēng)險
12.3.1 接受風(fēng)險
12.3.2 降低風(fēng)險
12.3.3 轉(zhuǎn)移風(fēng)險
12.4 定義威脅
12.4.1 有多不好-威脅所帶來的沖擊
12.4.2 威脅頻率-按年度計算
12.4.3 不確定性的識別
12.5 風(fēng)險管理是由美元推動的
12.6 一種風(fēng)險有多危險
12.6.1 定量的風(fēng)險評估
12.6.2 定性的風(fēng)險評估
12.6.3 為什么它們不起作用
12.7 小結(jié)
第13章 自動和人工響應(yīng)
13.1 自動響應(yīng)
13.1.1 壓制調(diào)速(Throttling)
13.1.2 SYN/ACK
13.1.3 RESETs
13.2 蜜罐
13.2.1 代理系統(tǒng)
13.2.2 DTK
13.2.3 空系統(tǒng)
13.2.4 蜜罐小結(jié)
13.3 人工響應(yīng)
13.3.1 遏制事態(tài)發(fā)展
13.3.2 根除問題
13.3.3 恢復(fù)
13.3.4 總結(jié)經(jīng)驗教訓(xùn)
13.4 小結(jié)
第14章 入侵檢測商業(yè)應(yīng)用實例
14.1 第1部分--與管理部門相關(guān)的問題
14.1.1 利益大于投入
14.1.2 開支有限
14.1.3 該技術(shù)不會影響機構(gòu)的穩(wěn)定
14.1.4 更大戰(zhàn)略中的一部分
14.2 第2部分--威脅和脆弱性
14.2.1 威脅評估和分析
14.2.2 財產(chǎn)識別
14.2.3 定價
14.2.4 脆弱性分析
14.2.5 風(fēng)險評價
14.3 第3部分--權(quán)衡和推薦的解決方案
14.3.1 定義信息保障風(fēng)險管理體系結(jié)構(gòu)
14.3.2 確定該體系結(jié)構(gòu)中已經(jīng)就位的部分
14.3.3 確定你的提案
14.3.4 確定備選對策
14.3.5 開支與收益分析
14.3.6 項目進度
14.3.7 后續(xù)步驟
14.4 小結(jié)
第15章 將來的發(fā)展方向
15.1 增加的威脅
15.1.1 改進的工具
15.1.2 改進的目標(biāo)尋找技術(shù)
15.1.3 機動代碼
15.1.4 陷門
15.2 計算機恐怖主義和2000年問題
15.3 受到信任的內(nèi)部人員
15.4 改進的響應(yīng)方式
15.5 再談防病毒產(chǎn)業(yè)
15.6 基于硬件的入侵檢測
15.6.1 Toasters
15.6.2 交換網(wǎng)絡(luò)的入侵檢測
15.7 縱深防御
15.8 基于程序的入侵檢測
15.9 第63號總統(tǒng)決議和指示(PDD63)
15.10 聰明的審計人員
15.11 小結(jié)