编辑推荐
中国OSSIM布道师的全新作品 n
以问与答的新颖方式进行写作 n
提供学习课程内容的部分重要软件 n
提供相关视频内容n
OSSIM(OpeSource Security InformatioManagement,开源安全信息管理)系统是一个非常流行和完整的开源安全体系架构,通过将开源产品进行集成,提供了一种能实现安全监控功能的基础平台。当前,尽管OSSIM应用广泛,但是市面上缺乏系统化讲解OSSIM运维和开发的图书,OSSIM运维工程师在遇到疑难问题时没有头绪,不知如何解决。《开源安全运维平台OSSIM疑难解析 提高篇》因此而生。 n
《开源安全运维平台OSSIM疑难解析 提高篇》借助于作者在OSSIM领域长达10年的开发应用经验,精选了OSSIM日常因为操作中总结的近300个典型疑难问题,介绍了OSSIM系统安装部署和运维管理中常见的问题以及相应的解决方案。 n
《开源安全运维平台OSSIM疑难解析 提高篇》内容: n
入侵检测Snort与Suricata; n
基于主机的入侵检测——OSSEC; n
漏洞扫描OpenVAS; n
Memcache、RabbitMQ与Redis协同工作; n
日志采集与分析; n
关联分析技术; n
资产管理; n
网络流量与主机高可用监控; n
NetFlow流量分析;n
OSSIM前端汉化技巧;n
压力测试及性能监控;n
数据包抓包分析技巧。 n
《开源安全运维平台OSSIM疑难解析 提高篇》专门针对OSSIM常见故障编写,涵盖的知识面广泛,所述问题具有很强的独立性。读者既可以按序逐章阅读,也可以有选择性地阅读。本书适合具有相关工作经验的技术经理或中高级运维工程师阅读,也可以作为运维领域研究人员的参考用书。
内容简介
OSSIM(OpeSource Security InformatioManagement,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。n
《开源安全运维平台OSSIM疑难解析:提高篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症,并给出了相应的解决方案。本书共分为12章,内容包括入侵检测Snort与Suricata,基于主机的入侵检测—OSSEC,漏洞扫描OpenVAS,Memcache、RabbitMQ与Redis协同工作,日志采集与分析,关联分析技术,资产管理,网络流量与主机高可用监控,NetFlow流量分析,OSSIM前端汉化技巧,压力测试及性能监控,数据包抓包分析技巧等。n
《开源安全运维平台OSSIM疑难解析:提高篇》精选了作者在非常适合具有一定SIEM(Security Informatioand Event Management,安全信息和事件管理)系统实施经验的技术经理或中高级运维工程师阅读,还可以作为开源技术研究人员、网络安全管理人员的参考资料。
作者简介
李晨光,OSSIM布道师、资深网络架构师、UNIX/Linux系统安全专家、中国计算机学会高级会员。写作的《Linux企业应用案例精解》、《UNIX/Linux网络日志分析与流量监控》、《开源安全运维平台OSSIM*佳实践》在图书市场上具有相当抢眼的表现与口碑,且中文繁体字版本也被输出到中国台湾地区。n
李晨光先生还是51CTO、ChinaUnix、OSchina等社区的专家博主,撰写的技术博文被国内各大IT技术社区广泛转载;还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。
目录
第 1章 入侵检测Snort与Suricata 1n
Q001 Snort检测规则存储在何处?如果触发规则Snort将会产生几种动作类型? 1n
Q002 Snort 2.9版本中主要有哪些预处理插件,各有什么功能? 2n
Q003 如何利用Scapy测试Snort规则? 2n
Q004 Snort有几种工作模式,各有什么特点? 4n
Q005 举例说明Snort采用什么规则检测可疑载荷? 9n
Q006 Snort如何检测Chargen/Echo DoS攻击? 9n
Q007 如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘? 10n
Q008 在同一个网段内如何部署多个IDS? 10n
Q009 手动编译安装Snort时,需要做哪些准备工作? 10n
Q010 如何在Linux下编译安装Snort? 11n
Q011 如何将Snort报警存入MySQL数据库? 15n
Q012 如何搭建基于BASE的可视化入侵检测系统? 19n
Q013 OSSIM的PHP IDS组件采用什么方法来接收和分析数据? 25n
Q014 IP碎片攻击对Snort会产生哪些危害? 25n
Q015 在Snort规则中,msg、content、threshold、reference选项有何含义? 26n
Q016 OSSIM中如何管理引用类型? 28n
Q017 外部引用在OSSIM安全事件管理中起到什么作用? 29n
Q018 OSSIM5中的Suricata支持PF_RING吗? 30n
Q019 如何利用DARPA 2000数据集重构攻击场景? 31n
Q020 在Snort中如何使用参数查看数据链路层的包头信息? 31n
Q021 Snort的输出插件分为几类?各有什么作用? 32n
Q022 sid-msg.map和gen-msg.map有什么区别? 38n
Q023 在 OSSIM 4.12检测器中Snort状态为DOWN,而Suricata为UP,这种状态正常吗?n
它们能同时为状态UP吗? 39n
Q024 网络主动探测与被动探测有什么区别? 39n
Q025 如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除? 40n
Q026 Snort传感器部署在企业网的什么位置? 40n
Q027 Suricata与Snort有何区别? 41n
Q028 如何调整Suricata同时处理的数据包的数量? 42n
Q029 如何设置Suricata的运行模式? 42n
Q030 Suricata事件输出分为哪几种?如何记录匹配的信息? 43n
Q031 当Suricata检测到可疑数据包时,以二进制格式将其存储到什么文件?通过什么n
程序读取? 43n
Q032 Suricata通过什么参数记录真实客户机的IP? 44n
Q033 若让Suricata记录所有HTTP日志,则该如何修改配置文件? 44n
Q034 如何保存经Suricata检测的所有数据包? 44n
Q035 如何启用Suricata服务的Debug日志? 45n
Q036 如何将Suricata的报警信息输出到Syslog文件中? 45n
Q037 数据包在Suricata检测引擎中是如何匹配的? 45n
Q038 Suricata检测引擎的配置属性分为几种? 45n
Q039 在多核心OSSIM服务器上如何改善Suricata处理性能? 46n
Q040 在高速复杂的网络环境中,如何提高Suricata规则检测时的数据分片传输效率? 46n
Q041 在Suricata的stream引擎中对数据包重组需要占用CPU资源,为了避免无限制地n
重组数据包,应该修改什么参数对其进行限制? 47n
Q042 Suricata的日志文件suricata.log保存在什么路径中?该路径由什么配置文件n
定义? 48n
Q043 OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING? 48n
Q044 如何定制Suricata规则? 49n
Q045 如何更新AlienVault NIDS规则和签名? 50n
Q046 Snort可作为IPS使用吗?如何部署? 51n
Q047 在OSSIM 3中,PF_RING有哪几种工作模式? 51n
Q048 如何启用新的ET规则? 52n
Q049 如何在OSSIM系统中配置无线入侵系统? 52n
Q050 OSSIM平台上的iptables模块在什么位置? 58n
Q051 举例说明OSSIM如何发现Nmap扫描行为。 58n
Q052 AIDE有什么作用? 60n
Q053 如何在CentOS Linux中安装AIDE? 61n
Q054 如何在OSSIM中安装AIDE? 62n
本章测试 64n
第 2章 基于主机的入侵检测——OSSEC 69n
Q055 OSSEC Agent主要由哪些进程组成,各有什么作用? 69n
Q056 简述OSSEC Server/Agent工作流程及其关键进程的作用。 70n
Q057 什么是Agent和Agentless监控? 70n
Q058 如何测试OSSEC规则? 71n
Q059 当因磁盘空间不足而造成OSSEC服务故障时,该如何处理? 71n
Q060 分布式环境下OSSEC和Agent是如何通信的? 73n
Q061 在Linux环境中如何安装OSSEC Agent? 73n
Q062 Linux下安装OSSEC Agent报错时应如何解决? 76n
Q063 Nmap扫描和OpenVAS扫描有什么区别? 77n
Q064 OSSEC事件报警处理流程是什么? 77n
Q065 如何在Windows 8环境下安装OSSEC Agent? 78n
Q066 用于配置OSSEC Agent的文件位于何处? 82n
Q067 当OSSEC Agent无法连接服务器时,该如何处理? 82n
Q068 在Windows Server 2012中如何安装OSSEC Agent? 83n
Q069 如何在Web中查看OSSEC Agent状态? 88n
Q070 OSSEC日志存储在什么位置? 89n
Q071 Web UI中OSSEC调用规则的后台文件位于何处? 90n
Q072 如何监听OSSEC Server和Agent之间的数据通信? 91n
Q073 Windows平台中已安装了OSSEC Agent,但在OSSIM服务器中没有接收到n
日志,这怎么解决? 92n
Q074 OSSEC客户端无法连接到OSSEC服务器时,该如何处理? 92n
Q075 /var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义? 92n
Q076 在OSSEC输出插件中的特定字符表示什么含义? 93n
本章测试 94n
第3章 漏洞扫描OpenVAS 98n
Q077 OpenVAS的扫描日志存放在何处? 98n
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含义? 98n
Q079 OpenVAS主要进程和配置文件有哪些? 100n
Q080 OpenVAS脚本采用什么语言编写?请描述脚本加载过程。 101n
Q081 OpenVAS扫描初期如何加载脚本? 102n
Q082 漏洞扫描器中的脚本如何对目标进行安全检测? 102n
Q083 OpenVAS的扫描器openvas-scanner调用的私钥证书文件位于何处,证书由什么n
程序创建? 102n
Q084 OpenVAS扫描过程分为几个阶段,服务器端有几个主要模块,它们之间工作n
流程如何? 103n
Q085 OpenVAS扫描器工作状态出现Failed提示,表示什么含义? 104n
Q086 用OpenVAS进行扫描时出现故障如何排除? 104n
Q087 在什么情况下应终止漏洞扫描任务? 107n
Q088 Nessus与OpenVAS的扫描效果有什么区别? 108n
Q089 OSSIM使用OpenVAS扫描系统时,为何还保留Nessus规则? 109n
Q090 使用alienvault-update命令对系统升级之后出现OpenVAS无法正常工作的情况,n
如何解决? 110n
Q091 操作过程中无法连接到漏洞扫描器,这种故障该如何解决? 110n
Q092 漏洞扫描时间过短会发生哪些问题? 111n
Q093 扫描资源池之外的机器会出现什么情况,如何处理? 111n
Q094 如何手动更新CVE库? 112n
Q095 OSSIM系统中设置多长时间的漏洞扫描周期合适? 112n
Q096 OpenVAS导出报告中针对漏洞分类使用了几种颜色?各表示什么含义? 113n
Q097 X-Scan、Fluxay、Nessus及OpenVAS这几款扫描软件有何区别? 114n
本章测试 115n
第4章 Memcache、RabbitMQ与Redis协同工作 117n
Q098 为何单线程的Redis速度还能这么快? 117n
Q099 Memcache的作用是什么? 117n
Q100 如何增大Redis运行内存? 118n
Q101 如何安装MemCached监控探针? 119n
Q102 OSSIM为什么采用消息中间件? 120n
Q103 RabbitMQ在OSSIM系统中起到什么作用? 122n
Q104 如何查询OSSIM服务器上的消息队列以及连接信息? 122n
Q105 如何重置RabbitMQ节点? 122n
Q106 如何查看已启用的RabbitMQ插件? 123n
Q107 OSSIM中的RabbitMQ如何打开Web管理后台? 123n
Q108 OSSIM为何要引入Redis内存数据库,采用key/value存储? 125n
Q109 OSSIM服务器使用RabbitMQ有何优势? 126n
Q110 如何查看Redis服务器实时转储收到的请求? 127n
Q111 如何进入或退出Erlang Shell界面? 127n
本章测试 128n
第5章 日志采集与分析 130n
Q112 在OSSIM平台上日志可视化体现在何处? 130n
Q113 iptables日志有几种记录形式?各有什么区别? 131n
Q114 如何将iptables日志转发到指定文件中? 132n
Q115 如何在Web界面中查看iptables事件? 134n
Q116 如何发现日志时间被篡改? 136n
Q117 为什么使用GNS3? 137n
Q118 在实验环境中使用GNS3有哪些短板? 137n
Q119 GNS3如何模拟3层交换机? 138n
Q120 如何将GNS3与本地网卡桥接? 138n
Q121 如何用OSSIM采集Squid日志? 139n
Q122 如何通过Snare将Windows事件转发至Linux日志采集服务器? 140n
Q123 如何用Syslog-Slogger测试Syslog服务器? 143n
Q124 如何使用logger发送测试日志? 144n
Q125 如何模拟Syslog流量? 144n
Q126 WMI与Snare有什么区别? 146n
Q127 OSSIM日志处理流程是什么? 146n
Q128 原始安全事件需要具备哪些属性? 147n
Q129 原始日志和归一化事件有什么不同? 149n
Q130 将Windows日志转换为Syslog日志的工具有哪些? 149n
Q131 如何选择合适的日志级别? 150n
Q132 有哪些工具可以将Windows日志转换为Syslog? 151n
Q133 如何利用Evtsys工具采集Windows日志并转发到Syslog服务器? 152n
Q134 如何收集Apache日志? 153n
Q135 为什么在Zabbix服务器上启用Syslog消息转发后,服务器会出现卡顿的现象? 154n
Q136 如何利用Rsyslog协议采集日志? 154n
Q137 如何用Rsyslog将日志发送到不同的日志收集器中? 155n
Q138 如何在OSSIM中启用SNMP服务? 155n
Q139 如何让Linux客户机通过Syslog将日志发送到OSSIM服务器? 156n
Q140 alerts.log文件中突然产生大量日志,应如何处理? 157n
Q141 Syslog中每条消息的最大长度是多少? 157n
Q142 在OSSIM企业版中如何从Web UI中导出日志? 157n
Q143 安全审计要求日志保存时间是多久? 158n
Q144 如何通过WMI方式接收日志? 158n
Q145 如何将VsFTP日志发送到OSSIM? 159n
Q146 如何将客户端的sudo日志重定向到服务器端指定的文件中? 161n
本章测试 162n
第6章 关联分析技术 164n
Q147 OSSIM的关联分析如何工作? 164n
Q148 安全事件关联分析的目的是什么? 165n
Q149 安全事件归一化处理的步骤是什么? 166n
Q150 如何通过关联分析来判断攻击? 167n
Q151 OSSIM如何将网络安全事件进行分类? 167n
Q152 举例说明OSSIM关联分析指令的结构? 171n
Q153 如何新建关联指令? 172n
Q154 如何查看交叉关联规则? 176n
Q155 在交叉关联规则中显示数据源及插件信息时为什么比较慢? 176n
Q156 RISK、PRIORITY、RELIABILITY这3个参数在关联分析时有何关联? 177n
Q157 在仪表盘中,Risk显示的Risk Metric中C、A值表示什么含义? 178n
Q158 在评估主机风险时,事件属性Risk的C、A值会发生哪些变化?这些变化n
反映出什么问题? 181n
Q159 OSSEC与Snort事件能合并吗? 182n
Q160 如何聚合OSSEC报警信息? 183n
Q161 如何判断OSSEC产生的同类报警? 184n
Q162 如何在Web UI中配置关联指令? 185n
Q163 OSSIM中关联规则的基本属性是什么,各有何含义? 189n
Q164 SIEM控制台如何将不同数据源的事件进行聚合处理? 191n
Q165 OSSIM关联规则树由什么构成?含义如何? 192n
Q166 OSSIM关联分析引擎分为几种类型?可靠性和风险值在里面起到了什么作用? 195n
Q167 如何理解安全事件的交叉关联分析? 196n
Q168 风险评估三要素是什么?它们之间的关系如何? 196n
Q169 为什么说可靠性的值是动态变化的? 197n
Q170 如果内网一台邮件服务器的资产值设定为5,而优先级和可靠性的默认值设置为3,那么这台服务器的风险值为多少? 198n
Q171 OSSIM关联引擎有何作用,工作过程是怎样的? 198n
本章测试 200n
第7章 资产管理 203n
Q172 OSSIM平台中需要对资产的哪些特征进行监控? 203n
Q173 如何为资产赋值? 204n
Q174 OSSIM中资产列表位于什么位置? 205n
Q175 资产扫描有6个选项,各表示什么含义? 205n
Q176 如何设置Nmap扫描周期? 206n
Q177 为什么扫描192.168.1.0/24网段内的资产时,结果中却包含其他网段的资产n
信息? 206n
Q178 如何通过CSV文件导入资产信息? 207n
Q179 如何设置OCS,使其进行周期性检测? 209n
Q180 调节资产的可靠性值会对风险产生什么影响? 209n
Q181 如何在OSSIM 5的Web UI中批量删除资产? 211n
Q182 在OSSIM中进行资产扫描时,如果定义网段不当则会出现“Scanning networkn
(172.16.0.0/12) with local Nmap,please wait...”提示,并且扫描停止。这一问题n
如何解决? 212n
Q183 OSSIM中Prads程序的作用是什么? 213n
Q184 Prads启动失败如何解决? 213n
Q185 当监控的资产过多时,OSSIM系统页面的刷新为什么非常慢? 214n
Q186 如何为资产启用插件? 214n
Q187 在OSSIM中安装iTop的详细步骤是什么? 216n
Q188 如何将OSSIM产生的报警转发到iTop的CMDB? 223n
Q189 如何限制iTop上传文件的大小? 225n
Q190 如何在外网访问iTop站点? 225n
Q191 在iTop安装过程中若出现“iTop is read-only iTop is temporarily frozen,pleasen
wait…”系统提示,该如何处理? 225n
本章测试 226n
第8章 网络流量与主机高可用监控 227n
Q192 在OSSIM中Monit与Nagios服务有什么区别? 227n
Q193 RRDTool代表什么含义,它在OSSIM中起到什么作用? 227n
Q194 RRDTool绘图流程包括哪些内容? 228n
Q195 如何用Nagios监控MySQL? 229n
Q196 如何在命令行下使用Nagios插件? 229n
Q197 如何通过Nagios插件来检测负载? 230n
Q198 如何利用Nagios插件来检查交换分区和内存? 230n
Q199 添加Nagios来监控主机后,打开Web UI时报错该如何处理? 231n
Q200 Nagios中显示的返回码包括哪几种,各表示什么含义? 232n
Q201 Ntop流量采集方式有什么特点? 233n
Q202 网络中数据包大小变化的背后隐藏了哪些玄机?Ntop如何统计流量的变化? 233n
Q203 用Ntop分析网络数据时,需要在交换机上设置端口镜像吗? 235n
Q204 如何重置Ntop的admin密码? 236n
Q205 当OSSIM系统中存在多个传感器时,如何选择Ntop的默认传感器? 236n
Q206 打开Ntop时出现“Sensor not available”提示,应如何处理? 237n
Q207 打开Ntop主界面时速度缓慢,如何处理? 237n
Q208 如何设置Ntop中的流向统计功能? 238n
Q209 若在分布式系统中为传感器设置多块网卡,使用Ntop时提示“Sensor not availablen
please select for the above dropdown”,该如何处理? 239n
Q210 在Ntop中设置Local Network Traffic Map时出现错误提示,应如何处理? 239n
Q211 如何在OSSIM中安装Ntopng? 239n
Q212 蠕虫爆发时,流量、协议以及数据包大小会发生哪些异常,Ntop如何感知这些n
变化? 240n
Q213 如何监控OSSIM服务器和传感器中的磁盘、网络、系统进程及Postfix? 242n
Q214 如何通过Ntop显示受控服务器的IP流量? 244n
Q215 如何采用phpMyAdmin工具监控OSSIM服务器的流量? 245n
本章测试 246n
第9章 NetFlow流量分析 247n
Q216 OSSIM服务器中的NetFlow模块由几部分组成,分别有什么作用? 247n
Q217 nfdump模块由哪些进程组成,各有什么功能? 247n
Q218 NetFlow数据流存储路径定义在什么文件中?修改配置后若生效该如何处理? 248n
Q219 如何在传感器中启用NetFlow功能? 248n
Q220 在OSSIM分布式系统中,NetFlow数据存储在服务器端还是传感器端? 249n
Q221 OSSIM系统中如何分析NetFlow数据包? 249n
Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等参数n
表示什么含义? 250n
Q223 分布式环境下如何监测NetFlow数据流? 250n
Q224 如何清理NetFlow采集的数据? 253n
Q225 NetFlow采集的抽样数据可保存多长时间? 254n
Q226 如何通过命令行读取NetFlow数据? 255n
Q227 NetFlow数据集能在Web UI的仪表盘中显示吗? 255n
Q228 在分布式部署的OSSIM环境中,传感器如何区别来自不同传感器的NetFlown
数据? 256n
Q229 在OSSIM平台上利用NetFlow采集路由器流量会对路由器的工作造成影响吗? 257n
Q230 在OSSIM平台上将NetFlow数据与谷歌地图结合有什么优点? 257n
Q231 NetFlow能否检测出SYN泛洪攻击? 258n
Q232 在nfsend进程中出现“Connectiorefused”报错时该如何处理? 258n
Q233 OSSIM如何分析网络异常行为? 259n
Q234 sFlow协议有什么功能?哪些软件可以分析sFlow的数据包? 262n
Q235 sFlow与NetFlow的协议有何区别? 262n
Q236 NetFlow接收不到流数据该如何处理? 262n
本章测试 266n
第 10章 OSSIM前端汉化技巧 269n
Q237 OSSIM 5.3中的Web UI菜单调用源码位于何处? 269n
Q238 locale参数的作用是什么?如何查询和修改locale? 271n
Q239 如何汉化OSSIM中的Web UI菜单? 271n
Q240 在汉化OSSIM时需要修改源代码吗? 275n
Q241 对于汉化后的Web UI界面,若使用IE 10浏览器应该如何选择编码方式才能n
显示中文? 276n
Q242 在OSSIM终端界面上如何显示和输入中文字符? 276n
Q243 Windows环境下使用什么工具编辑PHP文件?需要注意些什么? 277n
Q244 用SecureCRT远程连接到OSSIM系统,当直接修改汉化后的PHP代码时,n
浏览器中显示都是乱码,如何处理? 278n
Q245 如何修改Favicon图标? 278n
Q246 如何修改Logo图标? 278n
Q247 如何修改Web UI中的Title标识? 279n
Q248 如何修改选项卡名称? 280n
Q249 如何更换OSSIM系统的Web UI背景? 281n
Q250 OSSIM系统中的ADOdb包有什么作用?它的配置文件在什么位置? 281n
Q251 在OSSIM Web UI仪表盘中,雷达图主要显示传感器收集事件的数量。在该n
雷达图中,可以描述多少个不同的传感器的信息? 281n
Q252 如何将Loading Widget修改成中文字符? 282n
Q253 如何修改OSSIM的Web UI菜单? 283n
Q254 如何修改Web UI仪表盘的名称? 286n
Q255 如何修改Alarm数据的300s刷新时间? 288n
Q256 OSSIM中的Web UI如何实现动态加载页面? 288n
Q257 如何将UTC(世界标准时间)转化为本地时间? 289n
Q258 jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js脚本有什么作用? 289n
Q259 脚本jquery.dynatree.js有什么作用?若发生故障会影响Web UI的哪些功能? 290n
本章测试 290n
第 11章 压力测试及性能监控 293n
Q260 如何利用Netperf测试网络性能? 293n
Q261 如何使用I/O分析工具dstat? 295n
Q262 如何用sysbench测试数据库? 296n
Q263 如何用dd工具测试系统I/O性能? 297n
Q264 如何使用OSSIM自带的性能测试工具? 298n
Q265 如何测试系统的IOPS? 299n
Q266 当OSSIM服务器产生大量套接字连接时,如何查看全局统计信息? 300n
Q267 OSSIM系统空间不足时如何查找大文件? 301n
Q268 如何检测OSSIM系统的整体状态? 302n
Q269 如何使用图形化监控工具nmon? 303n
Q270 如何用atop监控Linux系统资源和进程? 303n
Q271 如何找出最消耗内存的进程? 304n
Q272 如何测试OSSIM Web UI页面的响应速度? 306n
Q273 如何对OSSIM系统目录的大小进行排序? 306n
Q274 如何使用OSSIM的流量监控工具iftop? 307n
Q275 如何利用Apache自带的ab工具测试OSSIM的响应速度? 309n
Q276 如何详细了解OSSIM系统进程的网络带宽占用情况? 310n
Q277 OSSIM下如何使用nload软件监控流量? 310n
Q278 如何对OSSIM系统进行压力测试? 311n
Q279 OSSIM中如何应用hping3进行测试? 312n
Q280 OSSIM下如何安装工具Knocker? 313n
Q281 OSSIM下如何安装sendip工具? 314n
Q282 OSSIM中如何安装Smokeping? 316n
Q283 如何在OSSIM Server上安装Cacti? 318n
Q284 如何在OSSIM传感器上安装Zabbix? 320n
Q285 如何利用Munin工具进行性能监控? 321n
Q286 如何安装Glances工具? 322n
本章测试 324n
第 12章 数据抓包分析技巧 326n
Q287 如何预防网络嗅探? 326n
Q288 SPAN端口镜像技术有何局限? 327n
Q289 采集数据流分为几类,各有什么特点? 328n
Q290 通过Traffic Capture抓包的数据存放在什么位置? 328n
Q291 若在千兆网络环境中存储30天的完整抓包数据,需要多大的硬盘空间? 328n
Q292 协议分析包括哪些内容,常用的分析工具有哪些? 329n
Q293 如何用tcpdump监听由传感器发送到端口的数据包? 329n
Q294 如何用tcpdump获取Syslog数据包? 330n
Q295 如何将tcpdump抓包存入文件? 330n
Q296 采用OSSIM监控千兆网络环境会遇到哪些问题? 330n
Q297 使用SecureCRT远程连接到OSSIM进行抓包,如何显示从网卡eth0获取的n
TCP 22端口之外的全部流量? 331n
Q298 如何利用Traffic Capture远程排除网络故障? 331n
Q299 在使用OSSIM Web UI的Traffic Capture时提示“This traffic capture is empty”,n
应如何处理? 332n
Q300 Traffic Capture分析数据包时如何对协议进行过滤? 332n
Q301 Traffic Capture数据包捕获的时间范围是多少? 333n
Q302 Traffic Capture数据包过滤技巧有哪些? 333n
本章测试 333n
附录 Snort安装包用途及安装路线 335