第1章 iptables使用簡介
1.1 iptables
1.2 使用iptables進行包過濾
1.2.1 錶
1.2.2 鏈
1.2.3 匹配
1.2.4 目標
1.3 安裝iptables
1.4 內核配置
1.4.1 基本Netfilter編譯選項
1.4.2 結束內核配置
1.4.3 可加載內核模塊與內置編譯和安全
1.5 安全性和最小化編譯
1.6 內核編譯和安裝
1.7 安裝iptables用戶層二進製文件
1.8 默認iptables策略
1.8.1 策略需求
1.8.2 iptables.sh腳本的開頭
1.8.3 INPUT鏈
1.8.4 OUTPUT鏈
1.8.5 FORWARD鏈
1.8.6 網絡地址轉換
1.8.7 激活策略
1.8.8 iptables-save與iptables-restore
1.8.9 測試策略：TCP
1.8.10 測試策略：UDP
1.8.11 測試策略：ICMP
1.9 本章總結
第2章 網絡層的攻擊與防禦
2.1 使用iptables記錄網絡層首部信息
2.2 網絡層攻擊的定義
2.3 濫用網絡層
2.3.1 Nmap ICMP Ping
2.3.2 IP欺騙
2.3.3 IP分片
2.3.4 低TTL值
2.3.5 Smurf攻擊
2.3.6 DDoS攻擊
2.3.7 Linux內核IGMP攻擊
2.4 網絡層迴應
2.4.1 網絡層過濾迴應
2.4.2 網絡層閾值迴應
2.4.3 結閤多層的迴應
第3章 傳輸層的攻擊與防禦
3.1 使用iptables記錄傳輸層首部
3.1.1 記錄TCP首部
3.1.2 記錄UDP首部
3.2 傳輸層攻擊的定義
3.3 濫用傳輸層
3.3.1 端口掃描
3.3.2 端口掃射
3.3.3 TCP序號預測攻擊
3.3.4 SYN洪泛
3.4 傳輸層迴應
3.4.1 TCP迴應
3.4.2 UDP迴應
3.4.3 防火牆規則和路由器ACL
第4章 應用層的攻擊與防禦
4.1 使用iptables實現應用層字符串匹配
4.1.1 實際觀察字符串匹配擴展
4.1.2 匹配不可打印的應用層數據
4.2 應用層攻擊的定義
4.3 濫用應用層
4.3.1 Snort簽名
4.3.2 緩衝區溢齣攻擊
4.3.3 SQL注入攻擊
4.3.4 大腦灰質攻擊
4.4 加密和應用層編碼
4.5 應用層迴應
第5章 端口掃描攻擊檢測程序psad簡介
5.1 發展曆史
5.2 為何要分析防火牆日誌
5.3 psad特性
5.4 psad的安裝
5.5 psad的管理
5.5.1 啓動和停止psad
5.5.2 守護進程的唯一性
5.5.3 iptables策略配置
5.5.4 syslog配置
5.5.5 whois客戶端
5.6 psad配置
5.6.1 /etc/psad/psad.conf
5.6.2 /etc/psad/auto_dl
5.6.3 /etc/psad/signatures
5.6.4 /etc/psad/snort_rule_dl
5.6.5 /etc/psad/ip_options
5.6.6 /etc/psad/pf.os
5.7 本章總結
第6章 psad運作：檢測可疑流量
6.1 使用psad檢測端口掃描
6.1.1 TCP connect()掃描
6.1.2 TCP SYN或半開放掃描
6.1.3 TCP FIN、XMAS和NULL掃描
6.1.4 UDP掃描
6.2 psad警報和報告
6.2.1 psad電子郵件警報
6.2.2 psad的syslog報告
6.3 本章總結
第7章 psad高級主題：從簽名匹配到操作係統指紋識彆
7.1 使用Snort規則檢測攻擊
7.1.1 檢測ipEye端口掃描器
7.1.2 檢測LAND攻擊
7.1.3 檢測TCP端口0流量
7.1.4 檢測零TTL值流量
7.1.5 檢測Naptha拒絕服務攻擊
7.1.6 檢測源站選路企圖
7.1.7 檢測Windows Messenger彈齣廣告
7.2 psad簽名更新
7.3 識彆操作係統指紋
7.3.1 使用Nmap實現主動式操作係統指紋識彆
7.3.2 使用p0f實現被動式操作係統指紋識彆
7.4 DShield報告
7.4.1 DShield報告格式
7.4.2 DShield報告樣本
7.5 查看psad的狀態輸齣
7.6 取證模式
7.7 詳細/調試模式
7.8 本章總結
第8章 使用psad實現積極迴應
8.1 入侵防禦與積極迴應
8.2 積極迴應的取捨
8.2.1 攻擊類型
8.2.2 誤報
8.3 使用psad迴應攻擊
8.3.1 特性
8.3.2 配置變量
8.4 積極迴應示例
8.4.1 積極迴應的配置
8.4.2 SYN掃描的迴應
8.4.3 UDP掃描的迴應
8.4.4 Nmap版本掃描
8.4.5 FIN掃描的迴應
8.4.6 惡意僞造掃描
8.5 將psad的積極迴應與第三方工具集成
8.5.1 命令行接口
8.5.2 與Swatch集成
8.5.3 與自定義腳本集成
8.6 本章總結
第9章 轉換Snort規則為iptables規則
9.1 為什麼要運行fwsnort
9.1.1 縱深防禦
9.1.2 基於目標的入侵檢測和網絡層分片重組
9.1.3 輕量級的資源占用
9.1.4 綫內迴應
9.2 簽名轉換示例
9.2.1 Nmap命令嘗試簽名
9.2.2 Bleeding Snort的“Bancos木馬”簽名
9.2.3 PGPNet連接嘗試簽名
9.3 fwsnort對Snort規則的解釋
9.3.1 轉換Snort規則頭
9.3.2 轉換Snort規則選項：iptables數據包記錄
9.3.3 Snort選項和iptables數據包過濾
9.3.4 不支持的Snort規則選項
9.4 本章總結
第10章 部署fwsnort
10.1 安裝fwsnort
10.2 運行fwsnort
10.2.1 fwsnort的配置文件
10.2.2 fwsnort.sh的結構
10.2.3 fwsnort的命令行選項
10.3 實際觀察fwsnort
10.3.1 檢測Trin00 DDoS工具
10.3.2 檢測Linux Shellcode流量
10.3.3 檢測並迴應Dumador木馬
10.3.4 檢測並迴應DNS高速緩存投毒攻擊
10.4 設置白名單和黑名單
10.5 本章總結
第11章 psad與fwsnort結閤
11.1 fwsnort檢測與psad運作的結閤
11.2 重新審視積極迴應
11.2.1 psad與fwsnort
11.2.2 限製psad隻迴應fwsnort檢測到的攻擊
11.2.3 結閤fwsnort與psad迴應
11.2.4 DROP目標與REJECT目標
11.3 阻止Metasploit更新
11.3.1 Metasploit更新功能
11.3.2 簽名開發
11.3.3 使用fwsnort和psad破壞Metasploit更新
11.4 本章總結
第12章 端口碰撞與單數據包授權
12.1 減少攻擊麵
12.2 零日攻擊問題
12.2.1 發現零日攻擊
12.2.2 對基於簽名的入侵檢測的影響
12.2.3 縱深防禦
12.3 端口碰撞
12.3.1 挫敗Nmap和目標識彆階段
12.3.2 共享的端口碰撞序列
12.3.3 加密的端口碰撞序列
12.3.4 端口碰撞的架構限製
12.4 單數據包授權
12.4.1 解決端口碰撞的限製
12.4.2 SPA的架構限製
12.5 通過隱藏實現安全？
12.6 本章總結
第13章 fwknop簡介
13.1 fwknop的安裝
13.2 fwknop的配置
13.2.1 /etc/fwknop/fwknop.conf配置文件
13.2.2 /etc/fwknop/access.conf配置文件
13.2.3 /etc/fwknop/access.conf配置文件示例
13.3 fwknop SPA數據包的格式
13.4 部署fwknop
13.4.1 使用對稱加密傳輸SPA
13.4.2 使用非對稱加密傳輸SPA
13.4.3 檢測並阻止重放攻擊
13.4.4 僞造SPA數據包的源地址
13.4.5 fwknop的OpenSSH集成補丁
13.4.6 通過Tor網絡傳輸SPA數據包
13.5 本章總結
第14章 可視化iptables日誌
14.1 發現不尋常
14.2 Gnuplot
14.2.1 Gnuplot繪圖指令
14.2.2 psad與Gnuplot結閤
14.3 AfterGlow
14.4 iptables攻擊可視化
14.4.1 端口掃描
14.4.2 端口掃射
14.4.3 Slammer蠕蟲
14.4.4 Nachi蠕蟲
14.4.5 來自被入侵係統的外齣連接
14.5 本章總結
附錄A 攻擊僞造
附錄B 一個完整的fwsnort腳本
· · · · · · (收起)