開源安全運維平臺OSSIM疑難解析 提高篇

第 1章　入侵檢測Snort與Suricata\t1
Q001　Snort檢測規(guī)則存儲在何處？如果觸發(fā)規(guī)則Snort將會產(chǎn)生幾種動作類型？　1
Q002　Snort 2．9版本中主要有哪些預處理插件，各有什么功能？　2
Q003　如何利用Scapy測試Snort規(guī)則？　2
Q004　Snort有幾種工作模式，各有什么特點？　4
Q005　舉例說明Snort采用什么規(guī)則檢測可疑載荷？　9
Q006　Snort如何檢測Chargen/Echo DoS攻擊？　9
Q007　如何使用Snort的Packet logger模式將捕獲到的信息記錄到磁盤？　10
Q008　在同一個網(wǎng)段內(nèi)如何部署多個IDS？　10
Q009　手動編譯安裝Snort時，需要做哪些準備工作？　10
Q010　如何在Linux下編譯安裝Snort？　11
Q011　如何將Snort報警存入MySQL數(shù)據(jù)庫？　15
Q012　如何搭建基于BASE的可視化入侵檢測系統(tǒng)？　19
Q013　OSSIM的PHP IDS組件采用什么方法來接收和分析數(shù)據(jù)？　25
Q014　IP碎片攻擊對Snort會產(chǎn)生哪些危害？　25
Q015　在Snort規(guī)則中，msg、content、threshold、reference選項有何含義？　26
Q016　OSSIM中如何管理引用類型？　28
Q017　外部引用在OSSIM安全事件管理中起到什么作用？　29
Q018　OSSIM5中的Suricata支持PF_RING嗎？　30
Q019　如何利用DARPA 2000數(shù)據(jù)集重構(gòu)攻擊場景？　31
Q020　在Snort中如何使用參數(shù)查看數(shù)據(jù)鏈路層的包頭信息？　31
Q021　Snort的輸出插件分為幾類？各有什么作用？　32
Q022　sid-msg．map和gen-msg．map有什么區(qū)別？　38
Q023　在 OSSIM 4．12檢測器中Snort狀態(tài)為DOWN，而Suricata為UP，這種狀態(tài)正常嗎？
它們能同時為狀態(tài)UP嗎？　39
Q024　網(wǎng)絡(luò)主動探測與被動探測有什么區(qū)別？　39
Q025　如何找出/var/log/suricata目錄下24小時內(nèi)訪問過的日志并且找到后立即刪除？　40
Q026　Snort傳感器部署在企業(yè)網(wǎng)的什么位置？　40
Q027　Suricata與Snort有何區(qū)別？　41
Q028　如何調(diào)整Suricata同時處理的數(shù)據(jù)包的數(shù)量？　42
Q029　如何設(shè)置Suricata的運行模式？　42
Q030　Suricata事件輸出分為哪幾種？如何記錄匹配的信息？　43
Q031　當Suricata檢測到可疑數(shù)據(jù)包時，以二進制格式將其存儲到什么文件？通過什么
程序讀?。俊?3
Q032　Suricata通過什么參數(shù)記錄真實客戶機的IP？　44
Q033　若讓Suricata記錄所有HTTP日志，則該如何修改配置文件？　44
Q034　如何保存經(jīng)Suricata檢測的所有數(shù)據(jù)包？　44
Q035　如何啟用Suricata服務(wù)的Debug日志？　45
Q036　如何將Suricata的報警信息輸出到Syslog文件中？　45
Q037　數(shù)據(jù)包在Suricata檢測引擎中是如何匹配的？　45
Q038　Suricata檢測引擎的配置屬性分為幾種？　45
Q039　在多核心OSSIM服務(wù)器上如何改善Suricata處理性能？　46
Q040　在高速復雜的網(wǎng)絡(luò)環(huán)境中，如何提高Suricata規(guī)則檢測時的數(shù)據(jù)分片傳輸效率？　46
Q041　在Suricata的stream引擎中對數(shù)據(jù)包重組需要占用CPU資源，為了避免無限制地
重組數(shù)據(jù)包，應該修改什么參數(shù)對其進行限制？　47
Q042　Suricata的日志文件suricata．log保存在什么路徑中？該路徑由什么配置文件
定義？　48
Q043　OSSIM下Suricata的抓包方式采用AF_PACKET還是PF_RING？　48
Q044　如何定制Suricata規(guī)則？　49
Q045　如何更新AlienVault NIDS規(guī)則和簽名？　50
Q046　Snort可作為IPS使用嗎？如何部署？　51
Q047　在OSSIM 3中，PF_RING有哪幾種工作模式？　51
Q048　如何啟用新的ET規(guī)則？　52
Q049　如何在OSSIM系統(tǒng)中配置無線入侵系統(tǒng)？　52
Q050　OSSIM平臺上的iptables模塊在什么位置？　58
Q051　舉例說明OSSIM如何發(fā)現(xiàn)Nmap掃描行為。　58
Q052　AIDE有什么作用？　60
Q053　如何在CentOS Linux中安裝AIDE？　61
Q054　如何在OSSIM中安裝AIDE？　62
本章測試　64
第　2章 基于主機的入侵檢測——OSSEC　69
Q055　OSSEC Agent主要由哪些進程組成，各有什么作用？　69
Q056　簡述OSSEC Server/Agent工作流程及其關(guān)鍵進程的作用?！?0
Q057　什么是Agent和Agentless監(jiān)控？　70
Q058　如何測試OSSEC規(guī)則？　71
Q059　當因磁盤空間不足而造成OSSEC服務(wù)故障時，該如何處理？　71
Q060　分布式環(huán)境下OSSEC和Agent是如何通信的？　73
Q061　在Linux環(huán)境中如何安裝OSSEC Agent？　73
Q062　Linux下安裝OSSEC Agent報錯時應如何解決？　76
Q063　Nmap掃描和OpenVAS掃描有什么區(qū)別？　77
Q064　OSSEC事件報警處理流程是什么？　77
Q065　如何在Windows 8環(huán)境下安裝OSSEC Agent？　78
Q066　用于配置OSSEC Agent的文件位于何處？　82
Q067　當OSSEC Agent無法連接服務(wù)器時，該如何處理？　82
Q068　在Windows Server 2012中如何安裝OSSEC Agent？　83
Q069　如何在Web中查看OSSEC Agent狀態(tài)？　88
Q070　OSSEC日志存儲在什么位置？　89
Q071　Web UI中OSSEC調(diào)用規(guī)則的后臺文件位于何處？　90
Q072　如何監(jiān)聽OSSEC Server和Agent之間的數(shù)據(jù)通信？　91
Q073　Windows平臺中已安裝了OSSEC Agent，但在OSSIM服務(wù)器中沒有接收到
日志，這怎么解決？　92
Q074　OSSEC客戶端無法連接到OSSEC服務(wù)器時，該如何處理？　92
Q075　/var/log/suricata/目錄下 JSON 文件中的各個字段表示什么含義？　92
Q076　在OSSEC輸出插件中的特定字符表示什么含義？　93
本章測試　94
第3章　漏洞掃描OpenVAS　98
Q077　OpenVAS的掃描日志存放在何處？　98
Q078　CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含義？　98
Q079　OpenVAS主要進程和配置文件有哪些？　100
Q080　OpenVAS腳本采用什么語言編寫？請描述腳本加載過程?！?01
Q081　OpenVAS掃描初期如何加載腳本？　102
Q082　漏洞掃描器中的腳本如何對目標進行安全檢測？　102
Q083　OpenVAS的掃描器openvas-scanner調(diào)用的私鑰證書文件位于何處，證書由什么
程序創(chuàng)建？　102
Q084　OpenVAS掃描過程分為幾個階段，服務(wù)器端有幾個主要模塊，它們之間工作
流程如何？　103
Q085　OpenVAS掃描器工作狀態(tài)出現(xiàn)Failed提示，表示什么含義？　104
Q086　用OpenVAS進行掃描時出現(xiàn)故障如何排除？　104
Q087　在什么情況下應終止漏洞掃描任務(wù)？　107
Q088　Nessus與OpenVAS的掃描效果有什么區(qū)別？　108
Q089　OSSIM使用OpenVAS掃描系統(tǒng)時，為何還保留Nessus規(guī)則？　109
Q090　使用alienvault-update命令對系統(tǒng)升級之后出現(xiàn)OpenVAS無法正常工作的情況，
如何解決？　110
Q091　操作過程中無法連接到漏洞掃描器，這種故障該如何解決？　110
Q092　漏洞掃描時間過短會發(fā)生哪些問題？　111
Q093　掃描資源池之外的機器會出現(xiàn)什么情況，如何處理？　111
Q094　如何手動更新CVE庫？　112
Q095　OSSIM系統(tǒng)中設(shè)置多長時間的漏洞掃描周期合適？　112
Q096　OpenVAS導出報告中針對漏洞分類使用了幾種顏色？各表示什么含義？　113
Q097　X-Scan、Fluxay、Nessus及OpenVAS這幾款掃描軟件有何區(qū)別？　114
本章測試　115
第4章　Memcache、RabbitMQ與Redis協(xié)同工作　117
Q098　為何單線程的Redis速度還能這么快？　117
Q099　Memcache的作用是什么？　117
Q100　如何增大Redis運行內(nèi)存？　118
Q101　如何安裝MemCached監(jiān)控探針？　119
Q102　OSSIM為什么采用消息中間件？　120
Q103　RabbitMQ在OSSIM系統(tǒng)中起到什么作用？　122
Q104　如何查詢OSSIM服務(wù)器上的消息隊列以及連接信息？　122
Q105　如何重置RabbitMQ節(jié)點？　122
Q106　如何查看已啟用的RabbitMQ插件？　123
Q107　OSSIM中的RabbitMQ如何打開Web管理后臺？　123
Q108　OSSIM為何要引入Redis內(nèi)存數(shù)據(jù)庫，采用key/value存儲？　125
Q109　OSSIM服務(wù)器使用RabbitMQ有何優(yōu)勢？　126
Q110　如何查看Redis服務(wù)器實時轉(zhuǎn)儲收到的請求？　127
Q111　如何進入或退出Erlang Shell界面？　127
本章測試　128
第5章　日志采集與分析　130
Q112　在OSSIM平臺上日志可視化體現(xiàn)在何處？　130
Q113　iptables日志有幾種記錄形式？各有什么區(qū)別？　131
Q114　如何將iptables日志轉(zhuǎn)發(fā)到指定文件中？　132
Q115　如何在Web界面中查看iptables事件？　134
Q116　如何發(fā)現(xiàn)日志時間被篡改？　136
Q117　為什么使用GNS3？　137
Q118　在實驗環(huán)境中使用GNS3有哪些短板？　137
Q119　GNS3如何模擬3層交換機？　138
Q120　如何將GNS3與本地網(wǎng)卡橋接？　138
Q121　如何用OSSIM采集Squid日志？　139
Q122　如何通過Snare將Windows事件轉(zhuǎn)發(fā)至Linux日志采集服務(wù)器？　140
Q123　如何用Syslog-Slogger測試Syslog服務(wù)器？　143
Q124　如何使用logger發(fā)送測試日志？　144
Q125　如何模擬Syslog流量？　144
Q126　WMI與Snare有什么區(qū)別？　146
Q127　OSSIM日志處理流程是什么？　146
Q128　原始安全事件需要具備哪些屬性？　147
Q129　原始日志和歸一化事件有什么不同？　149
Q130　將Windows日志轉(zhuǎn)換為Syslog日志的工具有哪些？　149
Q131　如何選擇合適的日志級別？　150
Q132　有哪些工具可以將Windows日志轉(zhuǎn)換為Syslog？　151
Q133　如何利用Evtsys工具采集Windows日志并轉(zhuǎn)發(fā)到Syslog服務(wù)器？　152
Q134　如何收集Apache日志？　153
Q135　為什么在Zabbix服務(wù)器上啟用Syslog消息轉(zhuǎn)發(fā)后，服務(wù)器會出現(xiàn)卡頓的現(xiàn)象？　154
Q136　如何利用Rsyslog協(xié)議采集日志？　154
Q137　如何用Rsyslog將日志發(fā)送到不同的日志收集器中？　155
Q138　如何在OSSIM中啟用SNMP服務(wù)？　155
Q139　如何讓Linux客戶機通過Syslog將日志發(fā)送到OSSIM服務(wù)器？　156
Q140　alerts．log文件中突然產(chǎn)生大量日志，應如何處理？　157
Q141　Syslog中每條消息的最大長度是多少？　157
Q142　在OSSIM企業(yè)版中如何從Web UI中導出日志？　157
Q143　安全審計要求日志保存時間是多久？　158
Q144　如何通過WMI方式接收日志？　158
Q145　如何將VsFTP日志發(fā)送到OSSIM？　159
Q146　如何將客戶端的sudo日志重定向到服務(wù)器端指定的文件中？　161
本章測試　162
第6章　關(guān)聯(lián)分析技術(shù)　164
Q147　OSSIM的關(guān)聯(lián)分析如何工作？　164
Q148　安全事件關(guān)聯(lián)分析的目的是什么？　165
Q149　安全事件歸一化處理的步驟是什么？　166
Q150　如何通過關(guān)聯(lián)分析來判斷攻擊？　167
Q151　OSSIM如何將網(wǎng)絡(luò)安全事件進行分類？　167
Q152　舉例說明OSSIM關(guān)聯(lián)分析指令的結(jié)構(gòu)？　171
Q153　如何新建關(guān)聯(lián)指令？　172
Q154　如何查看交叉關(guān)聯(lián)規(guī)則？　176
Q155　在交叉關(guān)聯(lián)規(guī)則中顯示數(shù)據(jù)源及插件信息時為什么比較慢？　176
Q156　RISK、PRIORITY、RELIABILITY這3個參數(shù)在關(guān)聯(lián)分析時有何關(guān)聯(lián)？　177
Q157　在儀表盤中，Risk顯示的Risk Metric中C、A值表示什么含義？　178
Q158　在評估主機風險時，事件屬性Risk的C、A值會發(fā)生哪些變化？這些變化
反映出什么問題？　181
Q159　OSSEC與Snort事件能合并嗎？　182
Q160　如何聚合OSSEC報警信息？　183
Q161　如何判斷OSSEC產(chǎn)生的同類報警？　184
Q162　如何在Web UI中配置關(guān)聯(lián)指令？　185
Q163　OSSIM中關(guān)聯(lián)規(guī)則的基本屬性是什么，各有何含義？　189
Q164　SIEM控制臺如何將不同數(shù)據(jù)源的事件進行聚合處理？　191
Q165　OSSIM關(guān)聯(lián)規(guī)則樹由什么構(gòu)成？含義如何？　192
Q166　OSSIM關(guān)聯(lián)分析引擎分為幾種類型？可靠性和風險值在里面起到了什么作用？　195
Q167　如何理解安全事件的交叉關(guān)聯(lián)分析？　196
Q168　風險評估三要素是什么？它們之間的關(guān)系如何？　196
Q169　為什么說可靠性的值是動態(tài)變化的？　197
Q170　如果內(nèi)網(wǎng)一臺郵件服務(wù)器的資產(chǎn)值設(shè)定為5，而優(yōu)先級和可靠性的默認值設(shè)置為3，那么這臺服務(wù)器的風險值為多少？　198
Q171　OSSIM關(guān)聯(lián)引擎有何作用，工作過程是怎樣的？　198
本章測試　200
第7章　資產(chǎn)管理　203
Q172　OSSIM平臺中需要對資產(chǎn)的哪些特征進行監(jiān)控？　203
Q173　如何為資產(chǎn)賦值？　204
Q174　OSSIM中資產(chǎn)列表位于什么位置？　205
Q175　資產(chǎn)掃描有6個選項，各表示什么含義？　205
Q176　如何設(shè)置Nmap掃描周期？　206
Q177　為什么掃描192．168．1．0/24網(wǎng)段內(nèi)的資產(chǎn)時，結(jié)果中卻包含其他網(wǎng)段的資產(chǎn)
信息？　206
Q178　如何通過CSV文件導入資產(chǎn)信息？　207
Q179　如何設(shè)置OCS，使其進行周期性檢測？　209
Q180　調(diào)節(jié)資產(chǎn)的可靠性值會對風險產(chǎn)生什么影響？　209
Q181　如何在OSSIM 5的Web UI中批量刪除資產(chǎn)？　211
Q182　在OSSIM中進行資產(chǎn)掃描時，如果定義網(wǎng)段不當則會出現(xiàn)“Scanning network
(172．16．0．0/12)　with local Nmap，please wait．．．”提示，并且掃描停止。這一問題
如何解決？　212
Q183　OSSIM中Prads程序的作用是什么？　213
Q184　Prads啟動失敗如何解決？　213
Q185　當監(jiān)控的資產(chǎn)過多時，OSSIM系統(tǒng)頁面的刷新為什么非常慢？　214
Q186　如何為資產(chǎn)啟用插件？　214
Q187　在OSSIM中安裝iTop的詳細步驟是什么？　216
Q188　如何將OSSIM產(chǎn)生的報警轉(zhuǎn)發(fā)到iTop的CMDB？　223
Q189　如何限制iTop上傳文件的大??？　225
Q190　如何在外網(wǎng)訪問iTop站點？　225
Q191　在iTop安裝過程中若出現(xiàn)“iTop is read-only iTop is temporarily frozen，please
wait…”系統(tǒng)提示，該如何處理？　225
本章測試　226
第8章　網(wǎng)絡(luò)流量與主機高可用監(jiān)控　227
Q192　在OSSIM中Monit與Nagios服務(wù)有什么區(qū)別？　227
Q193　RRDTool代表什么含義，它在OSSIM中起到什么作用？　227
Q194　RRDTool繪圖流程包括哪些內(nèi)容？　228
Q195　如何用Nagios監(jiān)控MySQL？　229
Q196　如何在命令行下使用Nagios插件？　229
Q197　如何通過Nagios插件來檢測負載？　230
Q198　如何利用Nagios插件來檢查交換分區(qū)和內(nèi)存？　230
Q199　添加Nagios來監(jiān)控主機后，打開Web UI時報錯該如何處理？　231
Q200　Nagios中顯示的返回碼包括哪幾種，各表示什么含義？　232
Q201　Ntop流量采集方式有什么特點？　233
Q202　網(wǎng)絡(luò)中數(shù)據(jù)包大小變化的背后隱藏了哪些玄機？Ntop如何統(tǒng)計流量的變化？　233
Q203　用Ntop分析網(wǎng)絡(luò)數(shù)據(jù)時，需要在交換機上設(shè)置端口鏡像嗎？　235
Q204　如何重置Ntop的admin密碼？　236
Q205　當OSSIM系統(tǒng)中存在多個傳感器時，如何選擇Ntop的默認傳感器？　236
Q206　打開Ntop時出現(xiàn)“Sensor not available”提示，應如何處理？　237
Q207　打開Ntop主界面時速度緩慢，如何處理？　237
Q208　如何設(shè)置Ntop中的流向統(tǒng)計功能？　238
Q209　若在分布式系統(tǒng)中為傳感器設(shè)置多塊網(wǎng)卡，使用Ntop時提示“Sensor not available
please　select for the above dropdown”，該如何處理？　239
Q210　在Ntop中設(shè)置Local Network Traffic Map時出現(xiàn)錯誤提示，應如何處理？　239
Q211　如何在OSSIM中安裝Ntopng？　239
Q212　蠕蟲爆發(fā)時，流量、協(xié)議以及數(shù)據(jù)包大小會發(fā)生哪些異常，Ntop如何感知這些
變化？　240
Q213　如何監(jiān)控OSSIM服務(wù)器和傳感器中的磁盤、網(wǎng)絡(luò)、系統(tǒng)進程及Postfix？　242
Q214　如何通過Ntop顯示受控服務(wù)器的IP流量？　244
Q215　如何采用phpMyAdmin工具監(jiān)控OSSIM服務(wù)器的流量？　245
本章測試　246
第9章　NetFlow流量分析　247
Q216　OSSIM服務(wù)器中的NetFlow模塊由幾部分組成，分別有什么作用？　247
Q217　nfdump模塊由哪些進程組成，各有什么功能？　247
Q218　NetFlow數(shù)據(jù)流存儲路徑定義在什么文件中？修改配置后若生效該如何處理？　248
Q219　如何在傳感器中啟用NetFlow功能？　248
Q220　在OSSIM分布式系統(tǒng)中，NetFlow數(shù)據(jù)存儲在服務(wù)器端還是傳感器端？　249
Q221　OSSIM系統(tǒng)中如何分析NetFlow數(shù)據(jù)包？　249
Q222　“LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等參數(shù)
表示什么含義？　250
Q223　分布式環(huán)境下如何監(jiān)測NetFlow數(shù)據(jù)流？　250
Q224　如何清理NetFlow采集的數(shù)據(jù)？　253
Q225　NetFlow采集的抽樣數(shù)據(jù)可保存多長時間？　254
Q226　如何通過命令行讀取NetFlow數(shù)據(jù)？　255
Q227　NetFlow數(shù)據(jù)集能在Web UI的儀表盤中顯示嗎？　255
Q228　在分布式部署的OSSIM環(huán)境中，傳感器如何區(qū)別來自不同傳感器的NetFlow
數(shù)據(jù)？　256
Q229　在OSSIM平臺上利用NetFlow采集路由器流量會對路由器的工作造成影響嗎？　257
Q230　在OSSIM平臺上將NetFlow數(shù)據(jù)與谷歌地圖結(jié)合有什么優(yōu)點？　257
Q231　NetFlow能否檢測出SYN泛洪攻擊？　258
Q232　在nfsend進程中出現(xiàn)“Connection refused”報錯時該如何處理？　258
Q233　OSSIM如何分析網(wǎng)絡(luò)異常行為？　259
Q234　sFlow協(xié)議有什么功能？哪些軟件可以分析sFlow的數(shù)據(jù)包？　262
Q235　sFlow與NetFlow的協(xié)議有何區(qū)別？　262
Q236　NetFlow接收不到流數(shù)據(jù)該如何處理？　262
本章測試　266
第　10章 OSSIM前端漢化技巧　269
Q237　OSSIM 5．3中的Web UI菜單調(diào)用源碼位于何處？　269
Q238　locale參數(shù)的作用是什么？如何查詢和修改locale？　271
Q239　如何漢化OSSIM中的Web UI菜單？　271
Q240　在漢化OSSIM時需要修改源代碼嗎？　275
Q241　對于漢化后的Web UI界面，若使用IE 10瀏覽器應該如何選擇編碼方式才能
顯示中文？　276
Q242　在OSSIM終端界面上如何顯示和輸入中文字符？　276
Q243　Windows環(huán)境下使用什么工具編輯PHP文件？需要注意些什么？　277
Q244　用SecureCRT遠程連接到OSSIM系統(tǒng)，當直接修改漢化后的PHP代碼時，
瀏覽器中顯示都是亂碼，如何處理？　278
Q245　如何修改Favicon圖標？　278
Q246　如何修改Logo圖標？　278
Q247　如何修改Web UI中的Title標識？　279
Q248　如何修改選項卡名稱？　280
Q249　如何更換OSSIM系統(tǒng)的Web UI背景？　281
Q250　OSSIM系統(tǒng)中的ADOdb包有什么作用？它的配置文件在什么位置？　281
Q251　在OSSIM Web UI儀表盤中，雷達圖主要顯示傳感器收集事件的數(shù)量。在該
雷達圖中，可以描述多少個不同的傳感器的信息？　281
Q252　如何將Loading Widget修改成中文字符？　282
Q253　如何修改OSSIM的Web UI菜單？　283
Q254　如何修改Web UI儀表盤的名稱？　286
Q255　如何修改Alarm數(shù)據(jù)的300s刷新時間？　288
Q256　OSSIM中的Web UI如何實現(xiàn)動態(tài)加載頁面？　288
Q257　如何將UTC（世界標準時間）轉(zhuǎn)化為本地時間？　289
Q258　jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete．js腳本有什么作用？　289
Q259　腳本jquery．dynatree．js有什么作用？若發(fā)生故障會影響Web UI的哪些功能？　290
本章測試　290
第　11章 壓力測試及性能監(jiān)控　293
Q260　如何利用Netperf測試網(wǎng)絡(luò)性能？　293
Q261　如何使用I/O分析工具dstat？　295
Q262　如何用sysbench測試數(shù)據(jù)庫？　296
Q263　如何用dd工具測試系統(tǒng)I/O性能？　297
Q264　如何使用OSSIM自帶的性能測試工具？　298
Q265　如何測試系統(tǒng)的IOPS？　299
Q266　當OSSIM服務(wù)器產(chǎn)生大量套接字連接時，如何查看全局統(tǒng)計信息？　300
Q267　OSSIM系統(tǒng)空間不足時如何查找大文件？　301
Q268　如何檢測OSSIM系統(tǒng)的整體狀態(tài)？　302
Q269　如何使用圖形化監(jiān)控工具nmon？　303
Q270　如何用atop監(jiān)控Linux系統(tǒng)資源和進程？　303
Q271　如何找出最消耗內(nèi)存的進程？　304
Q272　如何測試OSSIM Web UI頁面的響應速度？　306
Q273　如何對OSSIM系統(tǒng)目錄的大小進行排序？　306
Q274　如何使用OSSIM的流量監(jiān)控工具iftop？　307
Q275　如何利用Apache自帶的ab工具測試OSSIM的響應速度？　309
Q276　如何詳細了解OSSIM系統(tǒng)進程的網(wǎng)絡(luò)帶寬占用情況？　310
Q277　OSSIM下如何使用nload軟件監(jiān)控流量？　310
Q278　如何對OSSIM系統(tǒng)進行壓力測試？　311
Q279　OSSIM中如何應用hping3進行測試？　312
Q280　OSSIM下如何安裝工具Knocker？　313
Q281　OSSIM下如何安裝sendip工具？　314
Q282　OSSIM中如何安裝Smokeping？　316
Q283　如何在OSSIM Server上安裝Cacti？　318
Q284　如何在OSSIM傳感器上安裝Zabbix？　320
Q285　如何利用Munin工具進行性能監(jiān)控？　321
Q286　如何安裝Glances工具？　322
本章測試　324
第　12章 數(shù)據(jù)抓包分析技巧　326
Q287　如何預防網(wǎng)絡(luò)嗅探？　326
Q288　SPAN端口鏡像技術(shù)有何局限？　327
Q289　采集數(shù)據(jù)流分為幾類，各有什么特點？　328
Q290　通過Traffic Capture抓包的數(shù)據(jù)存放在什么位置？　328
Q291　若在千兆網(wǎng)絡(luò)環(huán)境中存儲30天的完整抓包數(shù)據(jù)，需要多大的硬盤空間？　328
Q292　協(xié)議分析包括哪些內(nèi)容，常用的分析工具有哪些？　329
Q293　如何用tcpdump監(jiān)聽由傳感器發(fā)送到端口的數(shù)據(jù)包？　329
Q294　如何用tcpdump獲取Syslog數(shù)據(jù)包？　330
Q295　如何將tcpdump抓包存入文件？　330
Q296　采用OSSIM監(jiān)控千兆網(wǎng)絡(luò)環(huán)境會遇到哪些問題？　330
Q297　使用SecureCRT遠程連接到OSSIM進行抓包，如何顯示從網(wǎng)卡eth0獲取的
TCP　22端口之外的全部流量？　331
Q298　如何利用Traffic Capture遠程排除網(wǎng)絡(luò)故障？　331
Q299　在使用OSSIM Web UI的Traffic Capture時提示“This traffic capture is empty”，
應如何處理？　332
Q300　Traffic Capture分析數(shù)據(jù)包時如何對協(xié)議進行過濾？　332
Q301　Traffic Capture數(shù)據(jù)包捕獲的時間范圍是多少？　333
Q302　Traffic Capture數(shù)據(jù)包過濾技巧有哪些？　333
本章測試　333
附錄　Snort安裝包用途及安裝路線　335