第1章 iptables使用简介
1.1 iptables
1.2 使用iptables进行包过滤
1.2.1 表
1.2.2 链
1.2.3 匹配
1.2.4 目标
1.3 安装iptables
1.4 内核配置
1.4.1 基本Netfilter编译选项
1.4.2 结束内核配置
1.4.3 可加载内核模块与内置编译和安全
1.5 安全性和最小化编译
1.6 内核编译和安装
1.7 安装iptables用户层二进制文件
1.8 默认iptables策略
1.8.1 策略需求
1.8.2 iptables.sh脚本的开头
1.8.3 INPUT链
1.8.4 OUTPUT链
1.8.5 FORWARD链
1.8.6 网络地址转换
1.8.7 激活策略
1.8.8 iptables-save与iptables-restore
1.8.9 测试策略：TCP
1.8.10 测试策略：UDP
1.8.11 测试策略：ICMP
1.9 本章总结
第2章 网络层的攻击与防御
2.1 使用iptables记录网络层首部信息
2.2 网络层攻击的定义
2.3 滥用网络层
2.3.1 Nmap ICMP Ping
2.3.2 IP欺骗
2.3.3 IP分片
2.3.4 低TTL值
2.3.5 Smurf攻击
2.3.6 DDoS攻击
2.3.7 Linux内核IGMP攻击
2.4 网络层回应
2.4.1 网络层过滤回应
2.4.2 网络层阈值回应
2.4.3 结合多层的回应
第3章 传输层的攻击与防御
3.1 使用iptables记录传输层首部
3.1.1 记录TCP首部
3.1.2 记录UDP首部
3.2 传输层攻击的定义
3.3 滥用传输层
3.3.1 端口扫描
3.3.2 端口扫射
3.3.3 TCP序号预测攻击
3.3.4 SYN洪泛
3.4 传输层回应
3.4.1 TCP回应
3.4.2 UDP回应
3.4.3 防火墙规则和路由器ACL
第4章 应用层的攻击与防御
4.1 使用iptables实现应用层字符串匹配
4.1.1 实际观察字符串匹配扩展
4.1.2 匹配不可打印的应用层数据
4.2 应用层攻击的定义
4.3 滥用应用层
4.3.1 Snort签名
4.3.2 缓冲区溢出攻击
4.3.3 SQL注入攻击
4.3.4 大脑灰质攻击
4.4 加密和应用层编码
4.5 应用层回应
第5章 端口扫描攻击检测程序psad简介
5.1 发展历史
5.2 为何要分析防火墙日志
5.3 psad特性
5.4 psad的安装
5.5 psad的管理
5.5.1 启动和停止psad
5.5.2 守护进程的唯一性
5.5.3 iptables策略配置
5.5.4 syslog配置
5.5.5 whois客户端
5.6 psad配置
5.6.1 /etc/psad/psad.conf
5.6.2 /etc/psad/auto_dl
5.6.3 /etc/psad/signatures
5.6.4 /etc/psad/snort_rule_dl
5.6.5 /etc/psad/ip_options
5.6.6 /etc/psad/pf.os
5.7 本章总结
第6章 psad运作：检测可疑流量
6.1 使用psad检测端口扫描
6.1.1 TCP connect()扫描
6.1.2 TCP SYN或半开放扫描
6.1.3 TCP FIN、XMAS和NULL扫描
6.1.4 UDP扫描
6.2 psad警报和报告
6.2.1 psad电子邮件警报
6.2.2 psad的syslog报告
6.3 本章总结
第7章 psad高级主题：从签名匹配到操作系统指纹识别
7.1 使用Snort规则检测攻击
7.1.1 检测ipEye端口扫描器
7.1.2 检测LAND攻击
7.1.3 检测TCP端口0流量
7.1.4 检测零TTL值流量
7.1.5 检测Naptha拒绝服务攻击
7.1.6 检测源站选路企图
7.1.7 检测Windows Messenger弹出广告
7.2 psad签名更新
7.3 识别操作系统指纹
7.3.1 使用Nmap实现主动式操作系统指纹识别
7.3.2 使用p0f实现被动式操作系统指纹识别
7.4 DShield报告
7.4.1 DShield报告格式
7.4.2 DShield报告样本
7.5 查看psad的状态输出
7.6 取证模式
7.7 详细/调试模式
7.8 本章总结
第8章 使用psad实现积极回应
8.1 入侵防御与积极回应
8.2 积极回应的取舍
8.2.1 攻击类型
8.2.2 误报
8.3 使用psad回应攻击
8.3.1 特性
8.3.2 配置变量
8.4 积极回应示例
8.4.1 积极回应的配置
8.4.2 SYN扫描的回应
8.4.3 UDP扫描的回应
8.4.4 Nmap版本扫描
8.4.5 FIN扫描的回应
8.4.6 恶意伪造扫描
8.5 将psad的积极回应与第三方工具集成
8.5.1 命令行接口
8.5.2 与Swatch集成
8.5.3 与自定义脚本集成
8.6 本章总结
第9章 转换Snort规则为iptables规则
9.1 为什么要运行fwsnort
9.1.1 纵深防御
9.1.2 基于目标的入侵检测和网络层分片重组
9.1.3 轻量级的资源占用
9.1.4 线内回应
9.2 签名转换示例
9.2.1 Nmap命令尝试签名
9.2.2 Bleeding Snort的“Bancos木马”签名
9.2.3 PGPNet连接尝试签名
9.3 fwsnort对Snort规则的解释
9.3.1 转换Snort规则头
9.3.2 转换Snort规则选项：iptables数据包记录
9.3.3 Snort选项和iptables数据包过滤
9.3.4 不支持的Snort规则选项
9.4 本章总结
第10章 部署fwsnort
10.1 安装fwsnort
10.2 运行fwsnort
10.2.1 fwsnort的配置文件
10.2.2 fwsnort.sh的结构
10.2.3 fwsnort的命令行选项
10.3 实际观察fwsnort
10.3.1 检测Trin00 DDoS工具
10.3.2 检测Linux Shellcode流量
10.3.3 检测并回应Dumador木马
10.3.4 检测并回应DNS高速缓存投毒攻击
10.4 设置白名单和黑名单
10.5 本章总结
第11章 psad与fwsnort结合
11.1 fwsnort检测与psad运作的结合
11.2 重新审视积极回应
11.2.1 psad与fwsnort
11.2.2 限制psad只回应fwsnort检测到的攻击
11.2.3 结合fwsnort与psad回应
11.2.4 DROP目标与REJECT目标
11.3 阻止Metasploit更新
11.3.1 Metasploit更新功能
11.3.2 签名开发
11.3.3 使用fwsnort和psad破坏Metasploit更新
11.4 本章总结
第12章 端口碰撞与单数据包授权
12.1 减少攻击面
12.2 零日攻击问题
12.2.1 发现零日攻击
12.2.2 对基于签名的入侵检测的影响
12.2.3 纵深防御
12.3 端口碰撞
12.3.1 挫败Nmap和目标识别阶段
12.3.2 共享的端口碰撞序列
12.3.3 加密的端口碰撞序列
12.3.4 端口碰撞的架构限制
12.4 单数据包授权
12.4.1 解决端口碰撞的限制
12.4.2 SPA的架构限制
12.5 通过隐藏实现安全？
12.6 本章总结
第13章 fwknop简介
13.1 fwknop的安装
13.2 fwknop的配置
13.2.1 /etc/fwknop/fwknop.conf配置文件
13.2.2 /etc/fwknop/access.conf配置文件
13.2.3 /etc/fwknop/access.conf配置文件示例
13.3 fwknop SPA数据包的格式
13.4 部署fwknop
13.4.1 使用对称加密传输SPA
13.4.2 使用非对称加密传输SPA
13.4.3 检测并阻止重放攻击
13.4.4 伪造SPA数据包的源地址
13.4.5 fwknop的OpenSSH集成补丁
13.4.6 通过Tor网络传输SPA数据包
13.5 本章总结
第14章 可视化iptables日志
14.1 发现不寻常
14.2 Gnuplot
14.2.1 Gnuplot绘图指令
14.2.2 psad与Gnuplot结合
14.3 AfterGlow
14.4 iptables攻击可视化
14.4.1 端口扫描
14.4.2 端口扫射
14.4.3 Slammer蠕虫
14.4.4 Nachi蠕虫
14.4.5 来自被入侵系统的外出连接
14.5 本章总结
附录A 攻击伪造
附录B 一个完整的fwsnort脚本