殭屍網路:網路程式殺手

Ran Ourmon Ourmon

圖書信息

出版社: 科學出版社; 第1版 (2009年8月1日)
外文書名: Botnets The Killer Web App
叢書名: 21世紀信息安全大系
平裝: 294頁
正文語種: 簡體中文
開本: 16
ISBN: 7030249437, 9787030249432
條形碼: 9787030249432
尺寸: 25.8 x 18.6 x 1.4 cm
重量: 558 g

作者簡介

作者:(美)席勒(SchillerCraigA.) Jim Binkley David Harley 等 譯者:邢健 黨開放 劉孜文
Craig A.Schiller(CISSP-ISSMP,ISSAP),波特蘭州立大學首席信息安全官;鷹眼安全培訓有限公司總裁;最早的公認系統安全準則(GASSP)的主要作者,與他人合著Handbook o,jnformation Security Management,data security Management的特約作者。Craig先生也參與編寫了Combating Spyure in the Enterprise(Syngress,ISBN:1597490644)和Winternals Defragmentation,Recovery,and AdministrationField Guide(Syngress,ISBN:1597490792)。他是高級網路安全工程師並負責美國宇航局航空情報服務處信息安全組。他負責美國俄勒岡州hillisboro警察局警察儲備專家部門。
Jim Binkley,波特蘭州立大學高級網路工程師和網路安全研究人員、Ourmon軟體的製作者。Jim Binkley有20多年的TCP/IP經驗和25年的UNIX作業系統經驗,在波特蘭州立大學從事網路管理、網路安全和UNIX作業系統的教學工作,為大學提供各種網路監測手段,並提供網路設計的諮詢工作。曾與John McHugh一起參與了波特蘭州立大學的“安全行動網路”項目(美國國防高級研究計畫局資助)。Jim Binkley獲得華盛頓州立大學計算機專業碩士,專門從事無線網路技術及網路異常監測包括開源Ourmon網路監測和異常監測系統。

內容簡介

《殭屍網路(網路程式殺手)》從一個真實的殭屍網路攻擊案例開始,隨後結合實例介紹殭屍網路的基礎知識,包括殭屍網路的概念、運行方式和環境、生命周期等。緊接著介紹殭屍網路的檢測、跟蹤工具和技術,以及0urmon和沙盒工具的使用,最後講解了如何獲取情報資源及如何應對殭屍網路。

目錄

第1章 殭屍網路:呼籲行動
前言
網路程式殺手
問題有多大?
殭屍網路的概念史
殭屍病毒的新聞案例
業界反響
小結
快速回顧
常見問題
第2章 殭屍網路概述
什麼是殭屍網路?
殭屍網路的生命周期
漏洞利用
召集和保護殭屍網路客戶端
等候命令並接受payload
殭屍網路究竟做什麼?
吸收新成員
DDoS
廣告軟體(Adware)和Clicks4Hire的安裝
殭屍網路垃圾郵件和網路釣魚連線
存儲和分配偷竊或非法(侵犯)智慧財產權的信息資料
勒索軟體(Ransomware)
數據挖掘
匯報結果
銷毀證據,放棄(殭屍)客戶端
殭屍網路經濟
垃圾郵件和網路釣魚攻擊
惡意廣告外掛程式和Clicks4Hire陰謀
Ransomware勒索軟體
小結
快速回顧
常見問題
第3章 殭屍網路C&C的替換技術
簡介:為什麼會有C8LC的替換技術?
追溯C&C的發展歷史
DNS和C&C技術
域名技術
多宿(Multihoming)
可替換控制信道
基於Web的C&C伺服器
基於回聲的殭屍網路
P2P殭屍網路
即時訊息(IM)C&C
遠程管理工具
降落區(drop zone)和基於FTP的C&C
基於DNS的高級殭屍網路
小結
快速回顧
常見問題
第4章 殭屍網路
簡介
SDBot
別名
感染途徑
被感染的標誌
註冊表項
新生成的檔案
病毒傳播
RBot
別名
感染途徑
被感染的標誌
Agobot
別名
感染途徑
被感染的標誌
傳播
Spybot
別名
感染途徑
被感染的標誌
註冊表項
不正常的流量
傳播
Mytob
別名
感染途徑
被感染的標誌
系統資料夾
不正常的流量
傳播
小結
快速回顧
常見問題
第5章 殭屍網路檢測:工具和技術
簡介
濫用
垃圾郵件和濫用
網路設施:工具和技術
SNMP和網路流:網路監控工具
防火牆和日誌
第二層的交換機和隔離技術
入侵檢測
主機的病毒檢測
作為IDS例子的Snort
Tripwire
暗網、蜜罐和其他陷阱
殭屍網路檢測中的取證技術和工具
過程
事件日誌
防火牆日誌
反病毒軟體日誌
小結
快蘧回顧
常見問題
第6章 Ourmon:概述和安裝
簡介
案例分析:在黑暗中跌撞前行的事情
案例1:DDoS(分散式拒絕服務)
案例2外部並行掃描
案例3殭屍客戶端
案例4殭屍伺服器
Ourmon如何工作
Ourmon的安裝
Ourmon安裝提示和竅門
小結
快速回顧
常見問題
第7章 Ourmon:異常檢測工具
簡介
Ourmon網頁接口
原理簡介
TCP異常檢測
TCP連線埠報告:30秒視圖
TcP蠕蟲圖表
TCP每小時摘要
UDP異常檢測
e_mail異常檢測
小結
快速回顧
常見問題
第8章 IRC和殭屍網路
簡介
IRC協定
Ourmon的RRDT00L統計與IRC報告
IRC報告的格式
檢測IRC殭屍網路客戶端
檢測IRC殭屍網路伺服器
小結
快速回顧
常見問題
第9章 ourmon高級技術
簡介
自動包捕獲
異常檢測觸發器
觸發器套用實例
Ourmon事件日誌
搜尋Ourmon日誌的技巧
嗅探IRC訊息
最佳化系統
買一個雙核(Dual—Core)CPU
使用不同的電腦,分開前端與後端
買一個雙核,雙CPU的主機板
擴大核心的環快取
減少中斷
小結
快速回顧
常見問題
第10章 使用沙盒工具應對殭屍網路
簡介
CWSandbox介紹
組件介紹
檢查分析報告的樣本
部分
分析82f78a89bde09a71ef99b3ced b991bcc.exe
分析Arman.exe
解釋分析報告
殭屍病毒是如何安裝的?
病毒如何感染新主機
殭屍病毒如何保護本地主機和自己?
聯繫哪個C&C伺服器以及如何聯繫
殭屍病毒如何更新?
進行了什麼樣的惡意操作?
線上沙盒對殭屍病毒的監測結果
小結
快速回顧
常見問題
第11章 情報資源
簡介
辨別企業/大學應該盡力收集的信息
反彙編
可找到公用信息的地方/組織
反病毒、反間諜軟體、反惡意軟體的網頁
專家和志願者組織
郵件列表和討論團體
會員組織以及如何獲得資格
審查成員
保密協定
什麼可以共享
什麼不能共享
違背協定的潛在影響
利益衝突
獲取信息時如何處理
情報收集在法律相關的執行方面扮演的角色
小結
快速回顧
常見問題
第12章 應對殭屍網路
簡介
放棄不是一個選項
為什麼會有這個問題?
刺激需求:金錢,垃圾郵件,以及網路釣魚
法律實施問題
軟體工程的棘手問題
缺乏有效的安全策略或者過程
執行過程中的挑戰
我們應該做什麼?
有效的方法
如何應對殭屍網路?
報告殭屍網路
絕地反擊
法律的實施
暗網、蜜罐和殭屍網路顛覆
戰鬥的號角
小結
快速回顧
常見問題

熱門詞條

聯絡我們