《UNIX/Linux网络日志分析与流量监控》
出版社官网: http://www.cmpbook.com/stackroom.php?id=39384
|
日志分析是系统管理员的基本技能。UNIX/Linux系统提供了强大的日志系统,为管理员查找和发现问题提供了强有力的支持。本书以讲故事的形式,将作者的亲身实战经历融入其中,仿佛福尔摩斯在向华生讲述整个案情的来龙去脉,让读者在跟随作者分析的过程中,了解UNIX/Linux日志分析的窍门。本书语言通俗易懂,结合案例情景,易于实践操作。
更重要的是,系统管理员(包括各类IT从业者)通过本书,不仅可以学习到UNIX/ Linux日志的作用,还可以举一反三,站在更高的角度看待IT运维和系统安全。只有整体看待这些问题,才能增加系统的稳定性和安全性,将系统管理员从日常事务中解脱出来。
——吴玉征 51CTO副主编(原〈计算机世界〉报副总编)
本书作者李晨光先生是51CTO专家博主,他的文章深受技术同行关注。作者在2011~2013年度中国IT博客大赛中被评为“十大杰出IT博客”,一个如此优秀的博主写的书肯定值得一看。此书详细介绍了UNIX/Linux平台下日志分析方法和计算机取证技巧,并以讲故事的形式,介绍日志分析的全过程,其最大亮点是将UNIX/Linux系统中枯燥的技术问题,通过生动案例展现出来,每个案例读完后都能让系统管理员们有所收获。读完这本书你一定不会后悔。
——曹亚莉 51CTO博客总编、51CTO学院高级运营经理
《Unix/Linux网络日志分析与流量监控》这本书以企业网络安全运维作为背景,不但详细分析了如今比较典型的安全问题,包括DDOS***、无线***、恶意代码、SQL注入等等案例以及补救措施,更是能够让企业运维人员了解并熟悉使用目前最受欢迎的Ossim开源系统,挖掘网络安全问题。作者用10来年的经验分享,无论您是网络工程师,系统管理员还是信息安全人员,都将在本书中与作者产生共鸣。本书最大的亮点不同于其他安全书籍,它所给读者传递的是一种解决问题的思路和方法,而不是简简单单的案例讲解。授之以渔,值得推荐。
——任丽萍 51CTO读书频道 主管
李晨光老师是ChinaUnix专家博主,在UNIX/Linux领域研究多年,对日志分析技术有独到见解。这本《UNIX/Linux网络日志分析与流量监控》是业界第一本基于UNIX/Linux环境,讲解应用系统日志收集、分析方法的专著,是李老师多年沉淀的技术结晶。书中采用大量鲜活的案例,生动地展示了系统漏洞防范、恶意代码分析、DoS分析、恶意流量过滤等安全防护技术,深入分析了诸多系统管理员的错误维护方法及误区,对安全工作者有很好的参考价值。如果你对网络安全、日志分析感兴趣,我们强烈推荐此书。
——ChinaUnix技术社区
运维人员都很清楚,非常枯燥又不得不做的事情就是服务器日志文件分析和流量监控。尽管现在有很多相关工具和软件,但真正将它们与自己的实际工作相结合时,往往力不从心。这本《UNIX/Linux网络日志分析与流量监控》以案例驱动的形式从 UNIX/Linux系统的原始日志(Raw Log)采集、分析到日志审计与取证环节都进行了详细的介绍和说明,内容非常丰富,中间还穿插了很多小故事,毫不枯燥,让您在轻松的阅读环境中提升自己的日志分析技能。如果是运维人员或想成为运维人员,您值得拥有!
——ITPUB技术社区
随着网络威胁的日益严峻,信息安全问题受到越来越多的用户关注。而针对UNIX/ Linux系统的安全探讨,李晨光老师的这本《UNIX/Linux网络日志分析与流量监控》显然是非常不错的选择,本书通过一个个生动的案例将UNIX/Linux系统下的安全问题进行了深入浅出的剖析,让你可以更好地消化其中的方法和技术,非常值得一读。
——董建伟 IT168安全频道主编
本书从UNIX/Linux系统的原始日志(Raw Log)采集与分析讲起,逐步深入到日志审计与计算机取证环节。书中提供了多个案例,每个案例都以一种生动的记事手法讲述了网络遭到***之后,管理人员开展系统取证和恢复的过程,案例分析手法带有故事情节,使读者身临其境地检验自己的应急响应和计算机取证能力。
本书使用的案例都是作者从系统维护和取证工作中总结、筛选出来的,这些内容对提高网络维护水平和事件分析能力有重要的参考价值。如果你关注网络安全,那么书中的案例一定会引起你的共鸣。本书适合有一定经验的UNIX/Linux系统管理员和信息安全人士参考。
1.为什么写这本书
国内已出版了不少网络***等安全方面的书籍,其中多数是以Windows平台为基础。但互联网应用服务器大多架构在UNIX/Linux系统之上,读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux的书,从一个白帽的视角,为大家讲述企业网中UNIX/Linux系统在面临各种网络威胁时,如何通过日志信息查找问题的蛛丝马迹,修复网络漏洞,构建安全的网络环境。
2.本书特点与结构
书中案例覆盖了如今网络应用中典型的***类型,例如DDoS、恶意代码、缓冲区溢出、Web应用***、IP碎片***、中间人***、无线网***及SQL注入***等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查,收集各种信息(包括日志文件、拓扑图和设备配置文件),再对各种安全事件报警信息进行交叉关联分析,并引导读者自己分析***原因,将读者带入案例中。最后作者给出***过程的来龙去脉,在每个案例结尾提出针对这类***的防范手段和补救措施,重点在于告诉读者如何进行系统和网络取证,查找并修复各种漏洞,从而进行有效防御。
全书共有14章,可分为三篇。
第一篇日志分析基础(第1~3章),是全书的基础,对于IT运维人员尤为重要,系统地总结了UNIX/Linux系统及各种网络应用日志的特征、分布位置以及各字段的作用,包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、iptables日志、DNS日志、DHCP日志、邮件系统日志以及各种网络设备日志,还首次提出了可视化日志分析的实现技术,首次曝光了计算机系统在司法取证当中所使用的思路、方法、技术和工具,这为读者有效记录日志、分析日志提供了扎实的基础,解决了读者在日志分析时遇到的“查什么”、“怎么查”的难题。最后讲解了日志采集的实现原理和技术方法,包括开源和商业的日志分析系统的搭建过程。
第二篇日志分析实战(第4~12章),讲述了根据作者亲身经历改编的一些小故事,再现了作者当年遇到的各种网络***事件的发生、发展和处理方法、预防措施等内容,用一个个网络运维路上遇到的“血淋淋”的教训来告诫大家,如果不升级补丁会怎么样,如果不进行系统安全加固又会遇到什么后果。这些案例包括Web网站崩溃、DNS故障、遭遇DoS***、Solaris安插后门、遭遇溢出***、rootkit***、蠕虫***、数据库被SQL注入、服务器沦为跳板、IP碎片***等。
第三篇网络流量与日志监控(第13、14章),用大量实例讲解流量监控原理与方法,例如开源软件Xplico的应用技巧,NetFlow在异常流量中的应用。还介绍了用开源的OSSIM安全系统建立网络日志流量监控网络。
本书从网络安全人员的视角展现了网络***发生时,当你面临千头万绪的线索时如何从中挖掘关键问题,并最终得以解决。书中案例采用独创的情景式描述,通过一个个鲜活的IT场景,反映了IT从业者在工作中遇到的种种难题。案例中通过互动提问和开放式的回答,使读者不知不觉中掌握一些重要的网络安全知识和实用的技术方案。
本书案例中的IP地址、域名信息均为虚构,而解决措施涉及的下载网站以及各种信息查询网站是真实的,具有较高参考价值。书中有大量系统日志,这些日志是网络故障取证处理时的重要证据,由于涉及保密问题,所有日志均做过技术处理。
由于时间紧,能力有限,书中不当之处在所难免,还请各位读者到我的博客多多指正。
3.本书实验环境
本书选取的UNIX平台为Solaris和FreeBSD,Linux平台主要为Red Hat和Debian Linux。涉及取证调查工具盘是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com (作者的博客)提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虚拟机,可供读者下载学习研究。
精彩样章试读