网络入侵检测分析员手册

第1章 Mitnick攻击
1.1 利用TCP
1.1.1 TCP回顾
1.1.2 SYN湮没
1.1.3 TCP劫取
1.2 检测Mitnick攻击
1.3 预防Mitnick攻击
1.4 小结
第2章 过滤器和攻击特征介绍
2.1 过滤策略
2.1.1 拒绝一切
2.1.2 允许一切
2.2 攻击特征
2.2.1 用来检测攻击特征的过滤器
2.2.2 升级特征
2.3 过滤器实例
2.3.1 Land攻击
2.3.2 WinNuke攻击
2.3.3 圣诞树过滤器
2.3.4 Web服务器攻击检测过滤器示例
2.4 与目标过滤器相关的策略问题
2.4.1 非授权使用
2.4.2 坏雇员
2.4.3 到此为止
2.5 小结
第3章 体系结构问题
3.1 关注的事件
3.2 观测限制
3.3 简易系统模式
3.4 人的因素对检测的限制
3.4.1 分析员带来的限制
3.4.2 CIRT带来的限制
3.5 攻击的严重性
3.5.1 系统重要性
3.5.2 攻击的毁坏性
3.6 对策
3.7 检测器位置
3.7.1 放在防火墙之外
3.7.2 检测器在防火墙内
3.7.3 防火墙内外都有检测器
3.7.4 检测器的其他位置
3.8 推(Push)和拉(Pull)
3.9 分析员控制台
3.9.1 快速控制台
3.9.2 误报警管理
3.9.3 显示过滤器
3.9.4 标记分析事件
3.9.5 层层探究
3.9.6 关联分析
3.9.7 好的报告
3.10 基于主机和基于网络的入侵检测
3.11 小结
第4章 互操作性和关联性
4.1 多种方案协同工作
4.1.1 CIDF
4.1.2 CISL
4.2 商业入侵检测系统互操作解决方案
4.2.1 OPSEC
4.2.2 CCI
4.2.3 ISS的ANSA
4.3 关联性
4.3.1 源IP关联
4.3.2 目标IP地址关联
4.3.3 欺骗数据包特征关联
4.3.4 新攻击特征
4.3.5 时间周期
4.3.6 记录
4.4 SQL数据库
4.4.1 载入数据
4.4.2 数据缩减
4.4.3 查询支持
4.4.4 交互性能
4.5 小结
第5章 基于网络的入侵检测解决方案
5.1 商业工具
5.2 运行于MS Windows上的系统
5.2.1 ISS的RealSecure
5.2.2 Axent的NetProwler
5.3 基于UNIX的系统
5.3.1 NFR (Network Flight Recorder)
5.3.2 Cisco的NetRanger
5.4 GOTS
5.4.1 EPIC2
5.4.2 网络入侵检测器(NID)
5.4.3 Shadow
5.5 评估入侵检测系统
5.5.1 Mitre评测中心
5.5.2 InfowarCon
5.5.3 Lincoln实验室的评估方法
5.5.4 ID99中的IDNet
5.5.5 供应商
5.6 小结
第6章 对攻击的检测
6.1 误报警
6.1.1 没有激励，只有响应
6.1.2 SYN湮没
6.1.3 Back Orifice
6.1.4 脆弱性标准
6.2 对IMAP的攻击
6.2.1 10143源端口特征的IMAP攻击
6.2.2 111特征的IMAP攻击
6.3 SYN/FIN均设为1的端口攻击
6.3.1 SYN/FIN均设为1，源端口为65535的攻击
6.3.2 对DNS、NFS的攻击
6.3.3 关于这种模式跟踪记录的其他答案
6.4 应用扫描程序攻击
6.4.1 Mscan
6.4.2 Mscan的二代产品
6.4.3 Access Builder
6.5 portmap攻击
6.5.1 Rexec
6.5.2 POP3
6.5.3 目标SGI系统
6.5.4 Discard
6.5.5 三端口扫描
6.5.6 一个古怪的Web扫描
6.5.7 协议类型扫描工具IP-191
6.5.8 SYN/FIN均设为1，源端口为23的扫描模式
6.6 小结
第7章 拒绝服务攻击
7.1 检测到的拒绝服务跟踪记录
7.1.1 广播
7.1.2 病态的数据分段
7.1.3 echo和chargen
7.1.4 我们在玩Doom游戏
7.1.5 nmap 2.01版
7.2 极少出现的著名程序
7.2.1 land攻击
7.2.2 Ping of Death
7.3 小结
第8章 情报收集技术
8.1 网络和主机映射
8.1.1 ICMP主机扫描
8.1.2 利用UDP echo请求对主机进行扫描
8.1.3 ICMP协议广播方式
8.1.4 基于网络屏蔽的广播方式
8.1.5 端口扫描
8.1.6 扫描特定端口
8.1.7 复杂的过程，可能的损害
8.1.8 "随机"端口扫描
8.1.9 数据库相关性报告
8.1.10 SNMP/ICMP
8.1.11 FTP 传输反射(bounce)
8.2 关于NetBIOS的特殊跟踪记录
8.2.1 来自Web服务器的访问
8.2.2 Null Session
8.3 隐秘攻击(stealth attack)
8.3.1 直接的隐秘映射技术
8.3.2 反向映射
8.4 小结
第9章 黑客技术介绍
9.1 1998年的圣诞前夜
9.1.1 占领系统
9.1.2 设置侦察扫描
9.1.3 开始侦察扫描
9.1.4 准备进行杀伤
9.1.5 攻击未能奏效
9.1.6 现在我真的很生气
9.2 攻击者的交易场所
9.2.1 全面的工具集
9.2.2 培训过程
9.2.3 无法跟踪的交易方式
9.2.4 辅导过程
9.3 通信网络
9.3.1 IRC
9.3.2 网页
9.3.3 电话会议
9.3.4 声音邮箱
9.3.5 电子函件
9.3.6 共享系统
9.3.7 FTP货仓
9.4 匿名
9.5 小结
第10章 协同攻击
10.1 协同路由跟踪
10.2 NetBIOS欺骗
10.3 关于TCP RESET
10.3.1 内部的SYN/ACK请求
10.3.2 RESET作为TCP 劫取的指示器
10.3.3 RealSecure 自动生成RESET
10.3.4 欺骗
10.3.5 相关问题
10.4 SFRP扫描器
10.5 基于目标的分析
10.5.1 流量数据库的重要性
10.5.2 检测新攻击
10.6 小结
第11章 其他工具
11.1 eNTrax
11.1.1 按时间进行，由事件推动
11.1.2 基于网络的Sensor检测器
11.1.3 脆弱性评估
11.1.4 策略
11.1.5 基于主机的入侵检测
11.1.6 结束行
11.2 CMDS 4.0
11.3 tripwire
11.3.1 tripwire的价值
11.3.2 调整tripwire
11.3.3 结束行
11.4 nmap
11.4.1 发现新的攻击模式
11.4.2 随机扫描的特征分析
11.4.3 2.02版nmap
11.4.4 可开发端口扫描的特征分析
11.4.5 nmap的扫描效用
11.4.6 TCP fingerprinting
11.4.7 序列号预测
11.4.8 nmap 结束语
11.5 小结
第12章 风险管理和入侵检测
12.1 安全模型中的入侵检测
12.1.1 安全策略
12.1.2 应当关注的行业活动
12.1.3 安全基础结构
12.1.4 实施首选对策
12.1.5 定期复查
12.1.6 实施事故处理
12.2 定义风险
12.3 风险
12.3.1 接受风险
12.3.2 降低风险
12.3.3 转移风险
12.4 定义威胁
12.4.1 有多不好-威胁所带来的冲击
12.4.2 威胁频率-按年度计算
12.4.3 不确定性的识别
12.5 风险管理是由美元推动的
12.6 一种风险有多危险
12.6.1 定量的风险评估
12.6.2 定性的风险评估
12.6.3 为什么它们不起作用
12.7 小结
第13章 自动和人工响应
13.1 自动响应
13.1.1 压制调速(Throttling)
13.1.2 SYN/ACK
13.1.3 RESETs
13.2 蜜罐
13.2.1 代理系统
13.2.2 DTK
13.2.3 空系统
13.2.4 蜜罐小结
13.3 人工响应
13.3.1 遏制事态发展
13.3.2 根除问题
13.3.3 恢复
13.3.4 总结经验教训
13.4 小结
第14章 入侵检测商业应用实例
14.1 第1部分--与管理部门相关的问题
14.1.1 利益大于投入
14.1.2 开支有限
14.1.3 该技术不会影响机构的稳定
14.1.4 更大战略中的一部分
14.2 第2部分--威胁和脆弱性
14.2.1 威胁评估和分析
14.2.2 财产识别
14.2.3 定价
14.2.4 脆弱性分析
14.2.5 风险评价
14.3 第3部分--权衡和推荐的解决方案
14.3.1 定义信息保障风险管理体系结构
14.3.2 确定该体系结构中已经就位的部分
14.3.3 确定你的提案
14.3.4 确定备选对策
14.3.5 开支与收益分析
14.3.6 项目进度
14.3.7 后续步骤
14.4 小结
第15章 将来的发展方向
15.1 增加的威胁
15.1.1 改进的工具
15.1.2 改进的目标寻找技术
15.1.3 机动代码
15.1.4 陷门
15.2 计算机恐怖主义和2000年问题
15.3 受到信任的内部人员
15.4 改进的响应方式
15.5 再谈防病毒产业
15.6 基于硬件的入侵检测
15.6.1 Toasters
15.6.2 交换网络的入侵检测
15.7 纵深防御
15.8 基于程序的入侵检测
15.9 第63号总统决议和指示(PDD63)
15.10 聪明的审计人员
15.11 小结