全球顶尖安全公司FireEye（火眼）首席安全战略官、网络安全公司Mandiant首席安全官撰写，深入解读网络安全监控的核心思想、工具和最佳实践，从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，详细讲解网络安全监控（NSM）主流工具的使用。
全书分为四部分，共14章：第一部分（第1～2章）系统讲述了NSM的基本原理以及如何部署传感器以应对各种挑战；第二部分（第3～5章）讲解SO在硬件上的安装与配置，SO的单机与分布式环境的安装与部署，以及SO平台的运行维护；第三部分（第6～8章）主要介绍NSM工具链的应用，涵盖命令行和图形化的数据包分析工具（发现问题），以及NSM控制台（启动检测和响应流程）；第四部分（第9～14章）为实战部分，讲解如何建立有效的NSM团队，发现并制止服务器端和客户端的攻击，利用Bro来扩展SO成果，代理与校验和的识别和利用，NSM在云和协作环境下应用的新思想。
网络安全并不简单是坚不可摧的防御墙——志坚意决的攻击者终将突破传统的防御手段。网络安全监控（NSM）整合了最有效的计算机安全策略——收集并分析数据，以助你检测和响应入侵。
在本书中，火眼公司首席安全战略官、Mandiant首席安全官Richard Bejtlich向你展示了如何使用NSM在网络周围增添一个坚固的保护层，而无须先验知识。为避免使用“过高”或“不灵活”的解决方案，他使用开源软件和中立厂商的工具教你部署、创建及运行NSM。
通过阅读本书，你将会学到：
如何确定在哪里部署NSM平台，并根据受监控的网络进行调整。
如何部署单机或分布式NSM设备。
如何使用命令行和图形化包分析工具及NSM控制台。
如何从服务器端和客户端入侵截获网络证据。
如何将威胁情报整合到NSM软件来识别高级对手。
没有百分之百安全的方式能将攻击者阻止在你的网络之外，但是当他们侵入时，你需要有所准备。本书展示了如何构建一张安全之网，来检测、牵制并控制他们。攻击不可避免，但丢失敏感数据的情况则不应当发生。
作者简介
理查德 · 贝特利奇（Richard Bejtlich） 现任全球顶级安全公司FireEye的首席安全战略官、美国前沿网络安全公司Mandiant的首席安全官，曾任通用电气事件响应的主管，是最早一批研究网络安全和NSM防御的践行者。他毕业于哈弗大学和美国空军学院，著有《The Tao of Network Security Monitoring》、《Extrusion Detection》和《Real Digital Forensics》。
他还在博客和推特上创作，其博客地址为http://taosecurity.blogspot.com；推特账号为@taosecurity。

网络安全监控（Network Security Monitoring，NSM）是关于收集、分析和增强预警（Indications and Warnings，I&W）以检测和响应入侵的技术。
——Richard Bejtlich和Bamm Visscher

欢迎阅读本书。本书旨在帮助你使用以网络为中心的操作、工具和技术检测并响应数字入侵。我已试图使背景知识及理论需求保持最低水平，而且结合以往实践撰写此书。我希望本书改变你看待计算机安全或者力图影响的对象的方式。我的焦点不在于安全周期的规划和防御阶段，而在于处理已经被攻陷的或者处于被攻陷边缘的系统所采取的行动。
本书是我之前关于NSM作品的续篇和补充。
《The Tao of Network Security Monitoring：Beyond Intrusion Detection》（Addison-
Wesley, 2005；832页）。Tao提供了背景、理论、历史以及案例研究来指导你的NSM操作。
《Extrusion Detection：Security Monitoring for Internal Intrusions》（Addison-Wesley, 2006; 416页）。在阅读Tao之后，你会发现《Extrusion Detection》扩展了NSM架构（抵御客户端的攻击）的概念以及网络取证。
《Real Digital Forensics：Computer Security and Incident Response》与Keith J.Jones和Curtis W.Rose合著（Addison-Wesley, 2006; 688 页）。最后，RDF说明了如何将NSM与以主机和内存为中心的取证整合，这可以使审查者调查绑定在计算机上的DVD中的犯罪证据。
本书会激发你的NSM行动，而且我的方法已经经过时间的检验。2004年，我的第一本书就包含了我提倡的“以检测为中心”的哲学核心思想：防护终将失败。一些读者质疑这种结论，他们认为如果“恰当地”综合应用防护、软件安全或者网络架构，阻止所有入侵还是有潜在可能性的。他们认为，如果你能够阻止攻击者对网络的非授权访问，那么检测就不必要。那些仍然信奉这种哲学的人很可能遭受某种长期、系统化的入侵，就如我们每周在媒体上看到的那样。
几乎在十年之后，安全行业和更加广泛的信息技术（IT）社区开始认识到，有决心的入侵者总能够找到危害其目标的方法。成熟的组织现在不仅试图阻止攻击者，还开始寻求快速检测攻击者，通过调查事件的影响程度来进行有效响应，同时，彻底牵制入侵者以限制其可能产生的危害。
殚精竭虑地看待企业安全是明智之举。事件响应不再是一件罕见、特别的事情，相反，它应当是具有确定度量和目标的持续商业过程。本书会提供一组数据、工具和使用网络的程序以便于你使用，同时它们可帮助你将安全操作转化成应对频繁遭受危害的利器。如果不知道上季度有多少次入侵使你的企业遭受折磨，或者不知道你能够多快地检测和控制这些入侵，本书将会向你展示如何实施这些活动并且跟踪这两种关键度量。
读者对象
本书面向不熟悉NSM的安全专业人士，也适用于更高级的事件处理人员、架构师以及需要向管理层、初级分析师或者其他不擅长技术的人讲解NSM的工程师。也许熟练的NSM实践者不能从本书中学到令人惊讶的新技术细节，但是我相信今天的安全专业人士很少有人已经学会如何恰当地实施NSM。对入侵检测系统或防护系统（Intrusion Detection /Prevention System，IDS/IPS）仅提供报警感到泄气的读者，你会发现使用NSM将是一种令人愉悦的体验。
预备知识
我尽量避免重复其他作者已经讲解透彻的知识。我假定你理解Linux和Windows操作系统的基本使用方法，掌握TCP/IP网络及其他网络攻击和防御的基本知识。如果你对TCP/IP或网络攻击和防御的知识掌握不够，请考虑参考下面的这些书籍：
《The Internet and Its Protocols：A Comparative Approach》，Adrian Farrel著（Morgan Kaufmann, 2004; 840页）。Farrel的书不是最新的，但是它涵盖了广泛的协议范围——包括应用协议和IPv6，对于每一种它都具有位级的图表和动人的描述。
《Wireshark Network Analysis》（第2版），Laura Chappell和Gerald Combs著（Laura Chappell University, 2012; 986页）。所有的网络和安全分析人员都需要理解和使用Wireshark，本书涵盖描述、屏幕快照、实际案例研究、复习题（附答案）、动手实践以及几十个网络追踪（联网获取）。
《Hacking Exposed》，第7版，Stuart McClure等著（McGraw-Hill Osborne Media, 2012; 768 页）。在攻击与防御IT类的书中，《Hacking Exposed》保持着单册销量最佳的记录。感谢它新颖的介绍方法：① 介绍一种技术；② 破坏方法；③ 修复方法。
对这些书中的核心概念感到满意的读者或许想考虑下列书籍来更深入地理解：
《Network Forensics：Tracking Hackers through Cyberspace》，Sherri Davidoff和Jonathan Ham著（Addison-Wesley, 2012; 592页）。《Network Forensics》采取以证据为中心的方法，使用网络流量（有线和无线的）、网络设备（IDS/IPS、交换机、路由器、防火墙和Web代理）、计算机（系统日志）和应用程序来调查事件。
《Metasploit：The Penetration Tester’s Guide》，David Kennedy、Jim O’Gorman、Devon Kearns和Mati Aharoni著（No Starch Press, 2011; 328页）。Metasploit是一个利用目标应用程序和系统的开源平台，本书说明了如何有效地使用它。
关于软件和协议的声明
本书中的例子都是以SO（Security Onion，安全洋葱）发行版（http://securityonion.blogspot.com/）中集成的软件为依托。Doug Burks创建了SO，这可以使管理员和分析人员使用类似 Snort、Suricata、Bro、Sguil、Squert、Snorby、Xplico以及NetworkMiner这样的工具执行NSM更容易一些。SO是免费的，可通过可引导的Xubuntu ISO映像或者通过向你喜爱的Ubuntu添加SO Personal Package Archive（PPA）并安装。尽管FreeBSD仍然是一个强大的操作系统，然而Doug为SO所做的工作，连同Scott Runnels的贡献，使得Ubuntu Linux分支成为我的NSM工具的首选。
我主要使用在SO中集成的软件，而且本书中的例子均使用开源工具来演示攻击和防御，而不是商业工具。尽管商业工具提供了许多有益的特征、付费支持以及推卸责任给开发商的可能，但我还是建议读者考虑首先使用开源工具来看看它们的功能。毕竟，几乎很少有组织为购置商业软件提供大量的预算来启动NSM行动。
本书主要关注IPv4流量。一些用SO打包的工具支持IPv6，但有一些则不支持。当IPv6在生产网络中的应用变得更加广泛时，我期望SO中更多的工具可集成IPv6能力。因此，本书的未来版本或许会讨论IPv6。
本书内容
本书由下列部分和章节组成。
第一部分——介绍NSM及如何放置传感器。
第1章　解释了为什么NSM会奏效，以获得在环境中部署NSM的必要性支持。
第2章　论述了围绕从物理访问到网络流量带来的挑战和解决方案。
第二部分——主要讨论了如何在硬件上有效安装SO并进行配置。
第3章　介绍了SO并说明了如何以较低的成本或零成本在备用硬件上安装软件以具备基本的NSM能力。
第4章　扩展了第3章的内容，进一步描述了如何安装分布式SO系统。
第5章　讨论了顺利安装SO所进行的维护活动。
第三部分——主要讨论了SO中的关键软件及如何使用这些应用。
第6章　解释了SO中的Tcpdump、Tshark、Dumpcap及 Argus工具的关键特征。
第7章　补充介绍了NSM工具链中基于GUI的软件，涵盖Wireshark、Xplico和Network-Miner。
第8章　说明了如Sguil、Squert、Snorby及ELSA这样的NSM套件如何启动检测和响应流程。
第四部分——讨论了如何使用NSM程序和数据检测及响应入侵。
第9章　分享了笔者创建和领导全球计算机事件响应团队（Global Computer Incident Response Team，CIRT）的经验。
第10章　给出第一个NSM案例研究，你将会学到如何应用NSM原理识别和验证连接到因特网的应用程序遭受到的攻击。
第11章　给出第二个NSM案例研究，本章提供了一个因客户端攻击而遭受侵害的用户案例。
第12章　用所讲过的工具和技术来扩展SO的能力。
第13章　讲解如何克服两种挑战来执行NSM。
结论　提供了一些关于未来NSM的思想，尤其考虑到了云环境。
附录包含了SO开发人员Doug Burks关于核心SO配置文件和控制脚本的信息。
致谢
首先，必须感谢我可爱的妻子Amy，感谢她对我工作的支持，包括写作文章、博客及其他在我们结婚之前就已开始创作的作品。自从在2004年年中出版了我的第一本书以来，我们有了两个可爱的女儿。Elise和Vivian激发我启动这项计划，因为你们三个人，我每天都感谢上帝。我的父母和姐妹也一直在支持我，而且我还要感激Michael Macaris（我的第一任功夫导师）向我浇灌的智慧之水。
除了在我第一本书中感谢过的NSM专家以外，我还必须补充感谢通用电气计算机事件响应团队（General Electric Computer Incident Response Team，GE-CIRT）成员，他们陪同我从2007年到2011年走过难以置信的安全之旅。我们拥有世界上最好的NSM实践（operation）。Bamm Visscher、David Bianco、Ken Bradley、Tyler Hudak、Tim Crothers、Aaron Wade、Sandy Selby、Brad Nottle以及30多位其他GE-CIRT成员，与你们共事令我非常快乐。还感谢Grady Summers——我们当时的首席信息安全官（Chief Information Security Officer），感谢他创建了我们的团队，还感谢 Jennifer Ayers 和Maurice Hampton，感谢他们使我们具备了唐·吉诃德式的想象力。
我要感谢Mandiant（曼迪昂特）的同事的支持，包括首席执行官Kevin Mandia和主席Travis Reese，他们早在2011年就雇用了我，但是首次对我展示信任分别是在2002年的Foundstone和2004年的ManTech。感谢曼迪昂特的销售团队和我们的合作伙伴，因为他们为我们提供了一个向世界分享信息的平台和机会。感谢在撰写此书时防护曼迪昂特自身安全的那些坚强灵魂——Doug Burks、Dani Jackson、Derek Coulson以及Scott Runnels，赞赏你们的奉献、专业水准和出色的职业道德。特别感谢Doug Burks 和Scott Runnels，感谢他们对SO项目的辛勤工作，这个项目把强大的NSM工具带到了想要试用它们的任何人身边。我还要感谢SO中的所有开源软件开发人员的辛勤努力：你们的帮助使我们所有的网络更加安全。
感谢那些通过对话、新颖的项目以及合作方式质疑我对NSM理解的人们，他们包括Doug Steelman、Jason Meller、Dustin Webber和Seth Hall。那些自2003年阅读我博客（http://taosecurity.blogspot.com/）或者自2008年阅读我推特动态的人鼓励我进行创作。也感谢Black Hat（黑帽大会）的安全专业人士，我自2002年就开始随他们一起授课：前领导人Jeff Moss和Ping Look以及现领导人Trey Ford。还需要特别地提及Steve Andres和Joe Klein，无论何时，当我的学生数量变得太多而难以独自应对时，他们都会帮助我授课。
最后，感谢帮助我创作本书的令人惊讶的团队。首先是来自No Starch出版社的创始人Bill Pollock、产品经理Serena Yang以及宣传人员 Jessica Miller。Marilyn Smith和Julianne Jigour编辑了本书，Tina Salameh绘制了优美的封面。Susan Glinert Stevens是排版师，Ward Webber对本书进行了校对。技术编辑David Bianco、Doug Burks及Brad Shoop提供了无与伦比的评论，Brad的妻子Renee Shoop志愿进行了另一个层面的审阅。Doug Burks、Scott Runnels、Martin Holste和Brad Shoop也从文字编辑方面为本书提供了有价值的借鉴。最后同样重要的是，Todd Heberlein为本书作序。感谢Todd开发了网络安全监控软件，这款软件使NSM概念在20世纪90年代早期就进入了人们的生活。

计算机\安全

网络安全并不简单是坚不可摧的防御墙——志坚意决的攻击者终将突破传统的防御手段。网络安全监控（NSM）整合了最有效的计算机安全策略：收集并分析数据，以助你检测和响应入侵。
在本书中，火眼公司首席安全战略官、Mandiant首席安全官Richard Bejtlich向你展示了如何使用NSM在网络周围增添一个坚固的保护层，而无须先验知识。为避免使用“过高”或“不灵活”的解决方案，他使用开源软件和中立厂商的工具教你部署、创建及运行NSM。
通过阅读本书，你将会学到：
 如何确定在哪里部署NSM平台，并根据受监控的网络进行调整；
 如何部署单机或分布式NSM设备；
 如何使用命令行和图形化包分析工具及NSM控制台；
 如何从服务器端和客户端入侵截获网络证据；
 如何将威胁情报整合到NSM软件来识别高级对手。
没有百分之百安全的方式能将攻击者阻止在你的网络之外，但是当他们侵入时，你将需要有所准备。本书展示了如何构建一张安全之网，来检测、牵制并控制他们。攻击不可避免，但丢失敏感数据的情况则不应当发生。

[美]理查德·贝特利奇（Richard Bejtlich） 著：暂无简介

蒋蓓　姚领田　李潇　张建 译：暂无简介

安全是一个动态过程，充其量是过程中攻与防的暂时平衡，而不是一种持续存在的状态。在企业安全周期中，它在不停地被打破、重建，再打破、再重建，攻守双方围绕各自的目标开展针锋相对的较量。然而，“千里之堤毁于蚁穴”、“短板效应”的训诫决定了入侵者具有天生的优势。攻在暗，只需渗透一个点；防在明，需要防护一个面，任何不重视每一个细节的安全人员都可能在本已可怜的夹缝中打包走人。外有强行入侵者，内有规则破坏者，内忧外患并存，究竟是谁把木马带进了固若金汤的城堡？
当今社会，企业网络安全还没有引起足够的重视，从人力配备到资金投入，从话语权到政策，都得不到足够的支持，这也正是网络安全事件层出不穷的现实基础之一。从另一个层面看，策划、研发、市场直至企业的保洁人员都有可以量化评定的业绩，安全人员的工作仍无可量化的方法或度量的标准。在这样的环境中，成功阻止入侵的次数可以用来判定安全人员工作的优劣吗？网络安全的确不能为企业带来直接收益，但它或许可以成就你的竞争对手，甚至为你带来最直接、最致命的危害。从企业高层到普通职员，都应深刻认识到这一点。虽然没有哪个企业因网络安全防护做得好而蒸蒸日上，但远不乏因网络安全事件导致企业关门破产的案例。尤其在实名制大背景下的私人信息安全，更成了每个人不容忽视的问题。
智者驾驭工具，愚者役于工具。工具主义者认为花大价钱购置一大批盒式设备，搭积木似地堆在网络中，就可以高枕无忧了，事实上这些很可能只是提供了一种虚假的安全感。他们看不到方法在安全模型中的作用，方法是构建模型的基石，是安全策略的组成元素。只有把策略应用于设备和工具，它们才能得以新生，才能发挥出应有的作用，这也是作者一再强调的一个重要方面。就像每个人都有优缺点一样，每种工具也都有自己的专长和不足，要想真的驾驭工具，能在面对不同的任务时选择适合自己的工具，除了掌握各种工具的使用方法和增强工具效率的技巧外，还要了解它们的实现原理，比较其技术优劣。在这种基础上，才能用其所长、避其所短，发挥出它的最大效益。因此，作者也在书中详细介绍了一些主流监控工具的优缺点，以供读者在需要时做出科学的选择。
作者认为以检测为中心的哲学核心是防护，但终将会失败，也就是说安全破坏不可避免。但是，请各位读者改变审视入侵的方式，防御者尽管无法规避破坏，然而最终将会阻止入侵者，换句话说，志坚意决的入侵者最终会突破你的安全防护，但他们或许不能实现预期的目标。CIRT要做的是，在入侵者实现其目标之前阻止他们，从入侵者未能达成目标的角度来看，GIRT就是赢家。译者认为这种哲学核心才是本书最具启蒙性的思想。希望企业高层、安全管理人员及普通职员都能认识到这一点，从而改变对安全破坏的认识，采取有效的措施，最大程度地降低威胁，减少安全事件造成的危害程度。
除封面署名译者蒋蓓、姚领田、李潇、张建以外，参加本书翻译的还有朱曾志、李石、王少刚、张振顶、姚晓玉、王建国、贺丹、于伟华、郑永、高守传、姚金凤等，全书由姚领田进行技术审校。感谢本书的编辑们，是他们的热情和激励促使我顺利完成了全书的翻译。尤其要感谢张振顶先生及他的家人，他们对我的关心、指导和影响，我始终铭刻在心。
最后，感谢我的妻子。她是70后的尾巴尖，具有70后女子典型的美德：勤劳善良、娴淑典雅，还兼具80后女性的知性之美、独立率性。是她带给了我的女儿和我无限的幸福，以此译作献给她。
在翻译过程中，译者完整保留了原作者的称谓、举例和观点，但这并不代表译者支持或认可这些观点，请读者在阅读过程中注意甄别。由于水平有限，在翻译中难免出现一些问题，恳请读者批评指正。

姚领田
湖南·宁乡

译者序
序
前言
第一部分　准备开始
第1章　网络安全监控基本原理　2
1.1　NSM简介　3
1.1.1　NSM阻止入侵吗　3
1.1.2　NSM和持续监控的区别　6
1.1.3　NSM与其他方法相比如何呢　7
1.1.4　NSM为什么有效　8
1.1.5　如何配置NSM　8
1.1.6　NSM何时无效　10
1.1.7　NSM合法吗　10
1.1.8　在NSM作业期间如何保护用户隐私　11
1.2　一个简单的NSM测试　11
1.3　NSM数据的范围　12
1.3.1　完整内容数据　13
1.3.2　提取的内容数据　15
1.3.3　会话数据　17
1.3.4　事务数据　18
1.3.5　统计数据　19
1.3.6　元数据　21
1.3.7　警报数据　23
1.4　所有这些数据的关键是什么　25
1.5　NSM的缺点　26
1.6　在哪购买NSM　26
1.7　到哪里寻求支持或更多信息　27
1.8　结论　27
第2章　收集网络流量：访问、存储和管理　28
2.1　试验性NSM系统的网络示例　28
2.1.1　简单网络中的网络流　29
2.1.2　NSM的潜在位置　32
2.2　IP地址与网络地址转换　33
2.2.1　网络块　33
2.2.2　IP地址分配　34
2.2.3　地址转换　34
2.3　选择实现网络可见性的最佳位置　37
2.3.1　观察DMZ网络流量的位置　37
2.3.2　观察无线网络和内网流量的位置　37
2.4　对流量的物理访问　39
2.4.1　用交换机实现流量监控　39
2.4.2　使用网络窃听器　40
2.4.3　直接在客户端或服务器上捕获流量　40
2.5　选择NSM平台　41
2.6　10条NSM平台管理建议　42
2.7　结论　43
第二部分　SO部署
第3章　单机NSM部署与安装　46
3.1　单机或服务器加传感器　46
3.2　选择如何将SO代码安装到硬件上　49
3.3　安装单机系统　50
3.3.1　将SO安装到硬盘上　50
3.3.2　配置SO软件　53
3.3.3　选择管理接口　55
3.3.4　安装NSM软件组件　56
3.3.5　检查安装　59
3.4　结论　61
第4章　分布式部署　62
4.1　使用SO的.iso映像安装SO服务器　62
4.1.1　关于SO服务器的一些考虑　63
4.1.2　创建SO服务器　63
4.1.3　配置SO服务器　64
4.2　使用SO的.iso映像安装SO传感器　66
4.2.1　配置SO传感器　66
4.2.2　完成配置　68
4.2.3　验证传感器正在工作　68
4.2.4　验证autossh隧道正在工作　69
4.3　使用PPA创建SO服务器　69
4.3.1　安装Ubuntu服务器作为SO服务器操作系统　70
4.3.2　选择静态IP地址　71
4.3.3　更新软件　73
4.3.4　通过PPA配置SO服务器　74
4.4　使用PPA创建SO传感器　75
4.4.1　安装Ubuntu服务器作为SO传感器操作系统　75
4.4.2　将系统配置为传感器　77
4.4.3　运行设置向导　78
4.5　结论　81
第5章　SO平台的日常管理　82
5.1　及时更新SO　82
5.1.1　通过GUI更新　82
5.1.2　通过命令行更新　83
5.2　限制对SO的访问　84
5.2.1　通过SOCKS代理连接　85
5.2.2　改变防火墙策略　86
5.3　管理SO数据存储　87
5.3.1　管理传感器存储　88
5.3.2　检查数据库驱动器的使用　88
5.3.3　管理Sguil数据库　89
5.3.4　跟踪磁盘使用　89
5.4　结论　90
第三部分　工具
第6章　命令行下的数据包分析工具　92
6.1　SO工具种类　92
6.1.1　SO数据表示工具　92
6.1.2　SO数据收集工具　93
6.1.3　SO数据传送工具　93
6.2　运行Tcpdump　94
6.2.1　用Tcpdump显示、写入和读取流量　95
6.2.2　使用Tcpdump过滤器　97
6.2.3　从Tcpdump输出中提取细节　99
6.2.4　用Tcpdump研究完整内容数据　99
6.3　使用Dumpcap和Tshark　100
6.3.1　运行Tshark　101
6.3.2　运行Dumpcap　101
6.3.3　使用Tshark分析Dumpcap捕获的流量　102
6.3.4　对Tshark使用显示过滤器　103
6.3.5　Tshark显示过滤器应用示例　105
6.4　运行Argus和Ra客户端　106
6.4.1　停止及启动Argus　106
6.4.2　Argus文件格式　107
6.4.3　研究Argus数据　107
6.5　结论　110
第7章　图形化数据包分析工具　111
7.1　使用Wireshark　111
7.1.1　运行Wireshark　111
7.1.2　在Wireshark中查看数据包捕获　112
7.1.3　修改默认的Wireshark布局　112
7.1.4　Wireshark一些有益的特性　115
7.2　使用Xplico　121
7.2.1　运行Xplico　122
7.2.2　创建Xplico实例和会话　123
7.2.3　处理网络流量　123
7.2.4　检查解码的流量　124
7.2.5　获取元数据和汇总流量　126
7.3　使用NetworkMiner检查内容　127
7.3.1　运行NetworkMiner　127
7.3.2　收集和组织流量细节　128
7.3.3　描绘内容　130
7.4　结论　131
第8章　NSM控制台　132
8.1　以NSM为中心查看网络流量　132
8.2　使用Sguil　133
8.2.1　运行Sguil　134
8.2.2　Sguil的6个关键功能　135
8.3　使用Squert　144
8.4　使用Snorby　145
8.5　使用ELSA　148
8.6　结论　151
第四部分　NSM实践
第9章　NSM操作　154
9.1　企业安全周期　154
9.1.1　规划阶段　155
9.1.2　抵抗阶段　155
9.1.3　检测和响应阶段　155
9.2　收集、分析、升级和解决　156
9.2.1　收集　156
9.2.2　分析　159
9.2.3　升级　162
9.2.4　解决　164
9.3　补救　167
9.3.1　使用NSM改进安全　167
9.3.2　创建CIRT　168
9.4　结论　169
第10章　服务器端攻击　170
10.1　服务器端攻击的定义　170
10.2　服务器端攻击实战　171
10.2.1　启动Sguil　172
10.2.2　从Sguil查询会话数据　173
10.2.3　再谈警报数据　176
10.2.4　使用Tshark检查完整内容数据　178
10.2.5　理解后门　180
10.2.6　入侵者做了什么　181
10.2.7　入侵者还做了什么　184
10.3　浏览会话数据　185
10.3.1　搜索Bro DNS日志　186
10.3.2　搜索Bro SSH日志　187
10.3.3　搜索Bro FTP日志　188
10.3.4　解码遭窃的敏感数据　190
10.3.5　提取被盗的归档　191
10.4　后退一步　192
10.4.1　阶段1总结　192
10.4.2　阶段2总结　192
10.4.3　后续步骤　193
10.5　结论　193
第11章　客户端攻击　194
11.1　客户端攻击的定义　194
11.2　客户端攻击实战　195
11.2.1　获取用户的事件报告　196
11.2.2　使用ELSA开始分析　197
11.2.3　查找丢失的流量　201
11.3　分析Bro dns.log文件　202
11.4　检查目的端口　204
11.5　研究命令控制通道　206
11.5.1　初始访问　207
11.5.2　改善shell　211
11.5.3　总结阶段1　212
11.5.4　转向另一个受害者　212
11.5.5　安装隐秘隧道　213
11.5.6　枚举受害者　214
11.5.7　总结阶段2　215
11.6　结论　215
第12章　扩展SO　217
12.1　使用Bro跟踪可执行文件　217
12.1.1　用Bro计算下载的可执行文件的散列　217
12.1.2　向VirusTotal提交散列　218
12.2　使用Bro从流量中提取二进制程序　219
12.2.1　配置Bro从流量中提取二进制程序　220
12.2.2　收集流量来测试Bro　221
12.2.3　测试Bro：从HTTP流量中提取二进制程序　222
12.2.4　研究从HTTP中提取的二进制程序　224
12.2.5　测试Bro：从FTP流量中提取二进制程序　224
12.2.6　研究从FTP中提取的二进制程序　226
12.2.7　向VirusTotal提交散列和二进制程序　226
12.2.8　重启Bro　228
12.3　使用APT1情报　230
12.3.1　使用APT1模块　230
12.3.2　安装APT1模块　232
12.3.3　生成流量来测试APT1模块　232
12.3.4　测试APT1模块　233
12.4　报告恶意二进制程序的下载　235
12.4.1　使用Team Cymru的Malware Hash Registry　235
12.4.2　MHR和SO：默认有效　236
12.4.3　MHR和SO与恶意程序下载　237
12.4.4　识别二进制程序　238
12.5　结论　240
第13章　代理与校验和　241
13.1　代理　241
13.1.1　代理与可见性　242
13.1.2　处理生产网络中的代理　245
13.2　校验和　246
13.2.1　好的校验和　246
13.2.2　坏的校验和　246
13.2.3　使用Tshark识别好的和坏的校验和　247
13.2.4　坏的校验和如何产生　249
13.2.5　Bro与坏的校验和　249
13.2.6　设置Bro忽略坏的校验和　251
13.3　结论　253
第14章　总论　254
14.1　云计算　254
14.1.1　云计算的挑战　255
14.1.2　云计算的好处　256
14.2　工作流、度量与协作　257
14.2.1　工作流和度量　257
14.2.2　协作　258
14.3　结论　259
附录　SO脚本与配置　260