更新时间:2020-04-22 12:02:34
封面
版权信息
内容提要
作者简介
前言
写作本书的目的
本书主要内容
本书读者对象
本书约定
学习之路中如何面对失败
学习过程中的提问技巧
致谢
勘误和支持
资源与支持
配套资源
提交勘误
与我们联系
关于异步社区和异步图书
第1章 入侵检测Snort与Suricata
Q001 Snort检测规则存储在何处?如果触发规则Snort将会产生几种动作类型?
Q002 Snort 2.9版本中主要有哪些预处理插件,各有什么功能?
Q003 如何利用Scapy测试Snort规则?
Q004 Snort有几种工作模式,各有什么特点?
Q005 举例说明Snort采用什么规则检测可疑载荷?
Q006 Snort如何检测Chargen/Echo DoS攻击?
Q007 如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘?
Q008 在同一个网段内如何部署多个IDS?
Q009 手动编译安装Snort时,需要做哪些准备工作?
Q010 如何在Linux下编译安装Snort?
Q011 如何将Snort报警存入MySQL数据库?
Q012 如何搭建基于BASE的可视化入侵检测系统?
Q013 OSSIM的PHP IDS组件采用什么方法来接收和分析数据?
Q014 IP碎片攻击对Snort会产生哪些危害?
Q015 在Snort规则中,msg、content、threshold、reference选项有何含义?
Q016 OSSIM中如何管理引用类型?
Q017 外部引用在OSSIM安全事件管理中起到什么作用?
Q018 OSSIM5中的Suricata支持PF_RING吗?
Q019 如何利用DARPA 2000数据集重构攻击场景?
Q020 在Snort中如何使用参数查看数据链路层的包头信息?
Q021 Snort的输出插件分为几类?各有什么作用?
Q022 sid-msg.map和gen-msg.map有什么区别?
Q023 在OSSIM 4.12检测器中Snort状态为DOWN,而Suricata为UP,这种状态正常吗?它们能同时为状态UP吗?
Q024 网络主动探测与被动探测有什么区别?
Q025 如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除?
Q026 Snort传感器部署在企业网的什么位置?
Q027 Suricata与Snort有何区别?
Q028 如何调整Suricata同时处理的数据包的数量?
Q029 如何设置Suricata的运行模式?
Q030 Suricata事件输出分为哪几种?如何记录匹配的信息?
Q031 当Suricata检测到可疑数据包时,以二进制格式将其存储到什么文件?通过什么程序读取?
Q032 Suricata通过什么参数记录真实客户机的IP?
Q033 若让Suricata记录所有HTTP日志,则该如何修改配置文件?
Q034 如何保存经Suricata检测的所有数据包?
Q035 如何启用Suricata服务的Debug日志?
Q036 如何将Suricata的报警信息输出到Syslog文件中?
Q037 数据包在Suricata检测引擎中是如何匹配的?
Q038 Suricata检测引擎的配置属性分为几种?
Q039 在多核心OSSIM服务器上如何改善Suricata处理性能?
Q040 在高速复杂的网络环境中,如何提高Suricata规则检测时的数据分片传输效率?
Q041 在Suricata的stream引擎中对数据包重组需要占用CPU资源,为了避免无限制地重组数据包,应该修改什么参数对其进行限制?
Q042 Suricata的日志文件suricata.log保存在什么路径中?该路径由什么配置文件定义?
Q043 OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING?
Q044 如何定制Suricata规则?
Q045 如何更新AlienVault NIDS规则和签名?
Q046 Snort可作为IPS使用吗?如何部署?
Q047 在OSSIM 3中,PF_RING有哪几种工作模式?
Q048 如何启用新的ET规则?
Q049 如何在OSSIM系统中配置无线入侵系统?
Q050 OSSIM平台上的iptables模块在什么位置?
Q051 举例说明OSSIM如何发现Nmap扫描行为。
Q052 AIDE有什么作用?
Q053 如何在CentOS Linux中安装AIDE?
Q054 如何在OSSIM中安装AIDE?
第2章 基于主机的入侵检测——OSSEC
Q055 OSSEC Agent主要由哪些进程组成,各有什么
Q056 简述OSSEC Server/Agent工作流程及其关键进程的作用。
Q057 什么是Agent和Agentless监控?
Q058 如何测试OSSEC规则?
Q059 当因磁盘空间不足而造成OSSEC服务故障时,
Q060 分布式环境下OSSEC和Agent是如何通信的?
Q061 在Linux环境中如何安装OSSEC Agent?
Q062 Linux下安装OSSEC Agent报错时应如何解决?
Q063 Nmap扫描和OpenVAS扫描有什么区别?
Q064 OSSEC事件报警处理流程是什么?
Q065 如何在Windows 8环境下安装OSSEC Agent?
Q066 用于配置OSSEC Agent的文件位于何处?
Q067 当OSSEC Agent无法连接服务器时,该如何处理?
Q068 在Windows Server 2012中如何安装OSSEC Agent?
Q069 如何在Web中查看OSSEC Agent状态?
Q070 OSSEC日志存储在什么位置?
Q071 Web UI中OSSEC调用规则的后台文件位于何处?
Q072 如何监听OSSEC Server和Agent之间的数据通信?
Q073 Windows平台中已安装了OSSEC Agent,但在OSSIM服务器中没有接收到日志,这怎么解决?
Q074 OSSEC客户端无法连接到OSSEC服务器时,该如何处理?
Q075 /var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义?
Q076 在OSSEC输出插件中的特定字符表示什么含义?
第3章 漏洞扫描OpenVAS
Q077 OpenVAS的扫描日志存放在何处?
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含义?
Q079 OpenVAS主要进程和配置文件有哪些?
