终极守护——针对黑客的高级防御技术

这本最前沿的参考指南旨在帮助保护网络和网站不受到恶意的攻击，它包括了以前从未公布过的高级安全技术，并以简明的文字说明如何防御软件和网络基础设施中的破坏性漏洞。本书提供的防御方案详细分析了现在的安全威胁及其解决方案；介绍了定制漏洞评估的有效方法，包括如何确定攻击目标和攻击方案等方方面面。通过这些深入的底层技术描述，读者将学会如何防御未来的安全威胁，从而保护好网络和软件――这也是网络安全管理员必须具备的一种能力。

Victor Oppleman 是一位资深的作者、同时也是一名演说家。他拥有网络安全方面的多项专利，并兼任一些全球大公司的专业顾问。他的开源软件被全球成千上万个工程师所使用。 Oliver Friedrichs 是美术Symantec 安全响应中心的高级经理，该机构的任务是提供对病毒的定义、检测方法以及警告技术。Friedrichs Focus以及Secure Networks公司的创始人之一。 Brett Watson在一些全球大型Internet服务提供商和企业中负责网络安全方面的工作长达17年，此外他还是Hopscotch（全球第一个大规模的目录分布式管理平台）的专利所有人之一。

第I部分 安全专家眼中的核心 Internet基础设施 第1章 安全的Internet基础设施 1.1Internet基本服务 1.1.1IP地址(前缀)的分配和注册 1.1.2自治系统号的分配与注册 1.1.3Internet路由 1.2.Internet辅助服务 1.2.1DNS服务 1.2.2电子邮件服务 1.3安全问题调查表 1.4防御方案小结 第2章 ISP的安全实现：事实与设想 2.1ISP安全组件 2.2ISP安全弱点 2.3深入了解Internet路由 2.4路由策略 2.4.1路由策略的开发和配置 2.4.2不可路由的前缀 2.4.3什么是bogon 2.4.4单播逆向路径转发 2.5ISP的可接受使用策略 和事件响应 2.6防御方案小结 第3章 DNS的保护 3.1背景和功能 3.1.1历史回顾 3.1.2DNS功能和安全注意事项 3.2暴露缺陷 3.2.1全球根DNS的基础设施 3.2.2机构的：DNS基础设施 3.3防御方案小结 第II部分 网络边界和关键Internet 基础设施的保护 第4章 可靠连接 4.1可靠连接的组件 4.2揭示连接中的缺陷 4.3边界路由器的安全性 4.3.1选择网络操作系统 4.3.2中止危险服务或不需要的服务 4.3.3边界路由器访问控制策略 4.3.4配置管理服务 4.4Internet网关以及多重连接 4.4.1与单个ISP的多重连接 4.4.2与不同ISP的多重连接 4.5关键设备配置的备份 4.6带宽利用率 4.7冗余及备份设备 4.8关键系统的物理分布 4.9防御方案小结 第5章 网络边界的保护 5.1网络防火墙 5.2防火墙技术类型 5.2.1基于代理的防火墙 5.2.2无状态的包过滤 5.2.3有状态的包过滤 5.2.4深度数据包检测 5.2.5Web／XML防火墙 5.3防火墙部署 5.3.1默认安全状态 5.3.2允许进出网络的应用程序 5.3.3反IP欺骗的措施 5.4防御方案小结 第6章 DMZ的新定义：关键系统 的安全保护 6.1深度防御的组件 6.2DMZ的漏洞 6.3DMZ中的独立系统 6.4DMZ中的反向代理系统 6.5防御方案小结 第7章 入侵检测和防御 7.1基于网络的入侵检测 7.1.1被动入侵检测 7.1.2入侵防御 7.1.3入侵检测引擎类型 7.2基于主机的入侵防御 7.2.1系统调用学习 7.2.2基于策略的入侵防御 7.2.3缓冲区溢出防御 7.2.4系统完整性和变化检测 7.3安全信息管理 7.3.1事务标准化 7.3.2事务关联和简化 7.4防御方案小结 第8章 E-mail的网关、过滤以及 备份机制 8.1背景和功能 8.2缺陷：E-mail滥用 8.2.1openrelay(开放式转发) 和代理服务器 8.2.2受到安全威胁的MTA 8.2.3被感染的系统 8.3MTA 8.3.1内置MTA 8.3.2单机MTA 8.3.3单机MTA的实现 8.4中继安全和黑名单 8.5MTA的E.mail过滤 8.5.1SMTP认证 8.5.2MTA的反病毒机制和 其他过滤机制 8.5.3垃圾邮件过滤技术 8.5.4邮件过滤总结 8.6MTA加密 8.7MTA冗余 8.7.1邮件交换服务器(MX)冗余 8.7.2系统冗余 8.8远程／客户端E-mail安全 8.8.1POP3／IMAP 8.8.2Web访问 8.8.3VPN(虚拟专用网) 8.8.4消息提交协议 8.8.5许可和密码 8.9公共通知和角色账户 8.10防御方案小结 第9章 出口流量中的数据泄露 9.1背景和功能 9.2暴露的缺陷. 9.2.1出口流量数据包过滤器 的缺陷 9.2.2网关路由中的缺陷 9.3防御方案小结 第10章 sinkhole和backscaer 10.1背景和功能 10.2用sinkhole部署诱捕网络 10.2.1darknet部署 10.2.2honeynet部署 10.3防御DDoS攻击的sinkhole 实现(黑洞路由) 10.4backscatter和traceback 10.4.1backscatter 10.4.2traceback 10.5防御方案小结 第11章 无线网络的安全保护 11.1无线技术历史 11.2基本无线安全技术 11.2.1MAC地址过滤 11.2.2广播服务集合标识符 11.2.3有线等效加密. 11.2.4WtFi保护访问 11.3高级无线安全技术 11.3.1用户授权认证 11.3.2802.11i以及EAP 11.3.3各类安全软件 11.4蓝牙技术 11.5无线监禁 11.6防御方案小结 第III部分 网络漏洞评估 第12章 漏洞和补丁程序的管理 12.1漏洞的生命周期 12.2发现漏洞 12.2.1免费的漏洞信息来源 12.2.2安全情报服务 12.3漏洞处理优先级 12.3.1NIAC通用漏洞评分 12.3.2现有安全方案分析 12.3.3工具 12.4部署补丁程序 12.4.1补丁测试 12.4.2时间安排 12.4.3补丁发布 12.4.4虚拟补丁 12.5防御方案小结 第13章 漏洞评估的有效方法 13.1安全与功能的权衡 13.2方法 13.2.1方法标准 13.2.2收集信息 13.2.3确定攻击区域 13.2.4描述攻击目标 13.2.5确定攻击方案 13.2.6攻击 13.2.7防御 13.3评估保障 13.3.1评估频率 13.3.2勺部评估 13.3.3第三方评估 13.3.4对评估工作的保障 13.4防御方案小结 第14章 漏洞评估实践I 14.1收集信息 14.1.1公共路由前缀公告 14.1.2ISP路由过滤策略 14.1.3Whois／注册服务商询问 14.1.4Web搜索 14.1.5DNS工具 14.2映射攻击区域 14.3防御方案小结 第15章 漏洞评估实践II 15.1确定攻击目标 15.1.1服务确认 15.1.2端口扫描 15.1.3端口扫描工具 15.1.4目标确定备注 15.2攻击方案 15.3攻击 15.3.1漏洞评估工具 15.3.2确认工具 15.4防御及补救工具 15.4.1补丁管理软件 15.4.2IISLockDown 15.4.3微软基准安全分析器 (MBSA) 15.5评估方法小结 15.6防御方案小结 第Ⅳ部分 应付未来威胁的对策 第16章 数字取证技术的开发 16.1标准取证方法 16.1.1确认目标及攻击时间、 危害程度或调查区域 16.1.2完成非入侵的预备性调查 16.1.3利用网络分流器完成被动 网络监控 16.1.4隔离可疑系统 16.1.5从目标系统中复制 所有数据 16.1.6分析复制数据并确定 入侵点 16.1.7记录发现信息 16.1.8在纠正错误根源后 恢复服务 16.2取证技术：取证数据恢复及 调查过程举例 16.2.1确认目标 16.2.2利用网络分流器被动 监控网络 16.2.3利用dd创建磁盘镜像 并挂载文件系统 16.2.4利用Foremost发现或 恢复数据 16.3高级数字取证工具 16.3.1用于数据救援的dd.rescue 16.3.2disktype 16.3.311leCoroner’sToolkit(TCT) 16.3.4memdump 16.3.5tcpflow 16.4实现取证追踪 16.4.1文件完整性实施方案 16.4.2入侵检测及确认 16.5防御方案小结 第17章 恶意代码. 17.1恶意代码的类型及其 安全风险 17.1.1病毒 17.1.2蠕虫 17.1.3bot(傀儡程序)和 botnetwork(僵尸网络) 17.1.4特洛伊木马 17.1.5间谍程序 17.1.6广告软件 17.1.7Phishing(钓鱼式)攻击 17.2常见恶意代码行为 17.2.1进程中断 17.2.2创建互斥锁 17.2.3修改系统主机文件 17.2.4打开后门程序 17.2.5安装其他恶意代码 17.3防御方案小结 第18章 软件漏洞的利用 18.1应用程序攻击向量 18.1.1信息揭露，信息截获 18.1.2远程登录，未受保护账户 18.1.3网络服务惕受攻击的服务 18.1.4未受保护的本地进程 18.1.5未受保护的本地账户 18.1.6未受保护的本地文件 18.2安全威胁和漏洞 18.2.1输入确认 18.2.2SQL注入 18.2.3缓冲区溢出 18.2.4竞态条件以及其他异常 条件 18.2.5内存及资源耗尽 18.3未来的漏洞及防御技术 18.3.1混合式攻击 18.3.2带宽检测器及数据包截获 18.3.3端口扫描器及密钥登录器 18.3.4加密技术 18.3.5代理软件 18.3.6躲避检测的高级技术 18.4防御方案小结