本书从UNIX/Linux系统的原始日志(Raw Log)采集与分析讲起,逐步深入到日志审计与计算机取证环节。书中提供了多个案例,每个案例都以一种生动的记事手法讲述了网络遭到入侵之后,管理人员开展系统取证和恢复的过程,案例分析手法带有故事情节,使读者身临其境地检验自己的应急响应和计算机取证能力。
本书使用的案例都是作者从系统维护和取证工作中总结、筛选出来的,这些内容对提高网络维护水平和事件分析能力有重要的参考价值。如果你关注网络安全,那么书中的案例一定会引起你的共鸣。本书适合有一定经验的UNIX/Linux系统管理员和信息安全人士参考。
1.为什么写这本书
国内已出版了不少网络攻防等安全方面的书籍,其中多数是以Windows平台为基础。但互联网应用服务器大多架构在UNIX/Linux系统之上,读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux的书,从一个白帽的视角,为大家讲述企业网中UNIX/Linux系统在面临各种网络威胁时,如何通过日志信息查找问题的蛛丝马迹,修复网络漏洞,构建安全的网络环境。
2.本书特点与结构
书中案例覆盖了如今网络应用中典型的攻击类型,例如DDoS、恶意代码、缓冲区溢出、Web应用攻击、IP碎片攻击、中间人攻击、无线网攻击及SQL注入攻击等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查,收集各种信息(包括日志文件、拓扑图和设备配置文件),再对各种安全事件报警信息进行交叉关联分析,并引导读者自己分析入侵原因,将读者带入案例中。最后作者给出入侵过程的来龙去脉,在每个案例结尾提出针对这类攻击的防范手段和补救措施,重点在于告诉读者如何进行系统和网络取证,查找并修复各种漏洞,从而进行有效防御。
全书共有14章,可分为三篇。
第一篇日志分析基础(第1~3章),是全书的基础,对于IT运维人员尤为重要,系统地总结了UNIX/Linux系统及各种网络应用日志的特征、分布位置以及各字段的作用,包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、iptables日志、DNS日志、DHCP日志、邮件系统日志以及各种网络设备日志,还首次提出了可视化日志分析的实现技术,首次曝光了计算机系统在司法取证当中所使用的思路、方法、技术和工具,这为读者有效记录日志、分析日志提供了扎实的基础,解决了读者在日志分析时遇到的“查什么”、“怎么查”的难题。最后讲解了日志采集的实现原理和技术方法,包括开源和商业的日志分析系统的搭建过程。
第二篇日志分析实战(第4~12章),讲述了根据作者亲身经历改编的一些小故事,再现了作者当年遇到的各种网络入侵事件的发生、发展和处理方法、预防措施等内容,用一个个网络运维路上遇到的“血淋淋”的教训来告诫大家,如果不升级补丁会怎么样,如果不进行系统安全加固又会遇到什么后果。这些案例包括Web网站崩溃、DNS故障、遭遇DoS攻击、Solaris安插后门、遭遇溢出攻击、rootkit攻击、蠕虫攻击、数据库被SQL注入、服务器沦为跳板、IP碎片攻击等。
第三篇网络流量与日志监控(第13、14章),用大量实例讲解流量监控原理与方法,例如开源软件Xplico的应用技巧,NetFlow在异常流量中的应用。还介绍了用开源的OSSIM安全系统建立网络日志流量监控网络。
本书从网络安全人员的视角展现了网络入侵发生时,当你面临千头万绪的线索时如何从中挖掘关键问题,并最终得以解决。书中案例采用独创的情景式描述,通过一个个鲜活的IT场景,反映了IT从业者在工作中遇到的种种难题。案例中通过互动提问和开放式的回答,使读者不知不觉中掌握一些重要的网络安全知识和实用的技术方案。
本书案例中的IP地址、域名信息均为虚构,而解决措施涉及的下载网站以及各种信息查询网站是真实的,具有较高参考价值。书中有大量系统日志,这些日志是网络故障取证处理时的重要证据,由于涉及保密问题,所有日志均做过技术处理。
由于时间紧,能力有限,书中不当之处在所难免,还请各位读者到我的博客多多指正。
3.本书实验环境
本书选取的UNIX平台为Solaris和FreeBSD,Linux平台主要为Red Hat和Debian Linux。涉及取证调查工具盘是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com (作者的博客)提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虚拟机,可供读者下载学习研究。