2003年5月6日,几乎在Snort2.0版本发布的同时,Snort的官方网站上隆重介绍了《Snort2.0入侵检测》这本书。本书具有权威性、及时性、新颖性三大特点,中译本的推出使国内的网络安全从业人员、网络管理员和网络安全爱好者能及时深入地剖析这款著名入侵检测软件的最新版本。
入侵检测系统是网络安全体系中的重要组成部分,随着防火墙的渐渐普及,人们不再满足于防火墙的网络控制功能,需要有一种安全产品能够智能发现网络入侵行为,和防火墙一起组成立体防御体系。智能发现网络入侵行为就是入侵检测系统的工作。Snort作为世界上应用最广泛的开放源码的入侵检测系统,在业内有着重要的地位,在国内的网络安全行业甚至成为入侵检测系统的代名词。
正因为大家对Snort如此关注,Snord.0版本一直受到人们的期待,因为这是对1.x版本的一次大的变革。在Snort2.0版本中力图摆脱单包检测的弊病,在检测效率、准确率上有了很大的改进,而如何实现这些改进一直是人们关注的焦点。
本书的作者都是Snort核心开发组的成员,在Snort2.0开发的同时他们即着手本书的写作,凭着对Snort和入侵检测系统的深刻理解,完成了一本帮助读者了解入侵检测系统和Snort2.0体系结构的读物,并且在第一时间出版,出版时间甚至稍早于Snort2.0的发布时间。这也是惟一一本Snort官方推荐的书籍。
本书的引进解决了国内没有介绍Snort的权威资料的现状,帮助读者直接、全面地了解Snort的最新版本,无论是对以前接触过Snort的人员还是对第一次接触Snort的人员都大有裨益。
全书由宋劲松、李俊、郑理、徐鹏、杨焱、曲亚东主持翻译,宋劲松完成了校对工作。由于译者和审校者水平有限,对译文中不妥之处敬请广大读者批评指正。
第一章 入侵检测系统
1.1 什么是人侵检测
1.2 攻击三部曲
1.3 为什么IDS女口此重要
1.4 1DS还能做什么
第二章 Snort2.0介绍
2.1 什么是Snort
2.2 Snort系统需求
2.3 Snort的特性
2.4 在网络中部署Snort
2.5 Snort的安全考虑
第三章 安装Snort
3.1 关于Linux发布版本的简要介绍
3.2 安装PCAP
3.3 安装Snort
第四章 Snort的内部工作
4.1 Snort的主要部件
4.2 包解码
4.3 数据包处理
4.4 规则解析和检测引擎
4.5 输出与日志
第五章 规则的运行
5.1 理解配置文件
5.2 规则头
5.3 规则体
5.4 “好”规则的构成
5.5 测试规则
5.6 调整规则
第六章 预处理器
6.1 什么是预处理器
6.2 包重组的预处理器选项
6.3 协议解码和规范化的预处理器选项
6.4 非规则和异常检测预处理器选项
6.5 实验阶段的预处理器
6.6 书写自己的预处理器
第七章 Snort输出插出插件
7.1 什么是输出插件
7.2 输出插件选项
7.3 编写输出插件
第八章 数据分析工具的使用
8.1 使用Swatch
8.2 使用ACID
8.3 使用SnortSnarf
8.4 使用IDScenter
第九章 Snort的升级
9.1 打补丁
9.2 升级规则
9.3 测试规则更新
9.4 关注规则更新
第十章 Snort的优化
10.1 如何选择硬件
10.2 如何选择操作系统
10.3 加速Snort安装
10.4 配置的基准测试
第十一章 Barnyard插件
11.1 Barnyard是什么
11.2 Barnyard的准备与安装
11.3 Barnyard的工作方式
11.4 Barnyard输出选项
11.5 如何设置个性化输出
第十二章 深入Snort
12.1 基于策略的IDS
12.2 内嵌式IDS
附录
在现代社会互联网飞速发展的同时,入侵攻击,拒绝服务攻击,网络资源滥用等威胁也如影随形,为互联网带来很多负面的影响。面对这些挑战,很多公司都开发出阻止和检测网络攻击的软件。但是一套入侵检测软件价值不菲,少则数千,多则上万,因此它们在这个市场中面临着强劲的竞争对手:Snort。Snort是高效的,稳定的,并拥有一个不断成长的用户群体。最重要的是,Snort是免费的。
Snort的创始人MartyRoesch把Snort定位为轻量级的入侵检测系统。其实,这个定位是不妥当的。无论对小的家庭用户还是繁忙的公司网络,Snort都有能力实时分析和记录IP数据包,其基于规则的检测引擎能够检测多种变种攻击,包括CGI扫描,缓存区溢出攻击,SMB探测等。还能为确定网络中一些莫名其妙的服务都是做什么的提供帮助。
Snort能运行在众多的硬件平台和操作系统上。因为其可扩展的体系结构和开放源码的发布模式,Snort成为入侵检测软件中非常流行的选择。经常有已经花费了数千美元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。
从本质上说,Snort是网络数据包嗅探器。只要运行Snort时不加载规则,就可以把网络中的数据包显示出来。但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中的所有数据包作充分的分析,决定如何处理任何特殊的数据包。Snort可以选择的方式有忽略、记录或告警管理员。Snort有很多种记录或告警的方法,例如,syslog、写入文件、写入XMI格式文件、发送WinPopup消息等。当有了新的攻击手段时,只要简单加入新的规则就可以升级Snort。
尽管Snort设计得很简洁,但它并不是一个能够即安即用的方案。要想把Snort用好,用户必须对Snort的原理非常熟悉。本书的作者将花很多篇幅教读者如何使用Snort,从基础的安装到高级的规则配置,覆盖了使用Snort的方方面面,包括基本安装、预处理插件配置、系统优化等。在这些方面作者提供了珍贵的和有价值的经验,并用简单易懂的语言描述出来。这是目前惟一如此深入地描述如何安装、配置和使用Snort的文档。
Snort没有打算做所有的事情,没有打算和商业入侵检测软件作全面竞争。但是在分析和定位恶意的网络流量时,Snort会做得更好。秘诀就是Snort能让使用者完全定制自己的规则。定制规则的前提是使用者有关于Snort规则的相关知识。第五章剖析了Snort规则的构成,指导读者如何完成一个高效和精确的规则,并详细介绍了每个变量,选项和可能用到的动作。
第六章《预处理器》和第七章《Snort输出插件的实现》描述了预处理器和输出选项的细节问题,可以使读者很轻松地为自己的网络环境定制Snort。最后的几章解答了如何优化和使用Snort的问题,是Snort的高级进阶内容。
Snort没有提供友好的图形化用户界面,华丽的报表和在线帮助。Snort一直只在一点上深入发展,即如何做好入侵检测。有了强大的规则引擎和简洁的体系结构,它能毫无疑问地取代任何商业IDS的工作。Snort是必备的网络安全工具软件,如果您想使用这个工具保护您的网络,本书是您必备的参考书。
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com