《UNIX/Linux网络日志分析与流量监控》新书发布

本书从UNIX/Linux系统的原始日志（Raw Log）采集与分析讲起，逐步深入到日志审计与计算机取证环节。书中提供了多个案例，每个案例都以一种生动的记事手法讲述了网络遭到入侵之后，管理人员开展系统取证和恢复的过程，案例分析手法带有故事情节，使读者身临其境地检验自己的应急响应和计算机取证能力。

本书使用的案例都是作者从系统维护和取证工作中总结、筛选出来的，这些内容对提高网络维护水平和事件分析能力有重要的参考价值。如果你关注网络安全，那么书中的案例一定会引起你的共鸣。本书适合有一定经验的UNIX/Linux系统管理员和信息安全人士参考。

1．为什么写这本书

国内已出版了不少网络攻防等安全方面的书籍，其中多数是以Windows平台为基础。但互联网应用服务器大多架构在UNIX/Linux系统之上，读者迫切需要了解有关这些系统的安全案例。所以我决心写一本基于UNIX/Linux的书，从一个白帽的视角，为大家讲述企业网中UNIX/Linux系统在面临各种网络威胁时，如何通过日志信息查找问题的蛛丝马迹，修复网络漏洞，构建安全的网络环境。

2．本书特点与结构

书中案例覆盖了如今网络应用中典型的攻击类型，例如DDoS、恶意代码、缓冲区溢出、Web应用攻击、IP碎片攻击、中间人攻击、无线网攻击及SQL注入攻击等内容。每段故事首先描述一起安全事件。然后由管理员进行现场勘查，收集各种信息（包括日志文件、拓扑图和设备配置文件），再对各种安全事件报警信息进行交叉关联分析，并引导读者自己分析入侵原因，将读者带入案例中。最后作者给出入侵过程的来龙去脉，在每个案例结尾提出针对这类攻击的防范手段和补救措施，重点在于告诉读者如何进行系统和网络取证，查找并修复各种漏洞，从而进行有效防御。

全书共有14章，可分为三篇。

第一篇日志分析基础（第1～3章），是全书的基础，对于IT运维人员尤为重要，系统地总结了UNIX/Linux系统及各种网络应用日志的特征、分布位置以及各字段的作用，包括Apache日志、FTP日志、Squid日志、NFS日志、Samba日志、iptables日志、DNS日志、DHCP日志、邮件系统日志以及各种网络设备日志，还首次提出了可视化日志分析的实现技术，首次曝光了计算机系统在司法取证当中所使用的思路、方法、技术和工具，这为读者有效记录日志、分析日志提供了扎实的基础，解决了读者在日志分析时遇到的“查什么”、“怎么查”的难题。最后讲解了日志采集的实现原理和技术方法，包括开源和商业的日志分析系统的搭建过程。

第二篇日志分析实战（第4～12章），讲述了根据作者亲身经历改编的一些小故事，再现了作者当年遇到的各种网络入侵事件的发生、发展和处理方法、预防措施等内容，用一个个网络运维路上遇到的“血淋淋”的教训来告诫大家，如果不升级补丁会怎么样，如果不进行系统安全加固又会遇到什么后果。这些案例包括Web网站崩溃、DNS故障、遭遇DoS攻击、Solaris安插后门、遭遇溢出攻击、rootkit攻击、蠕虫攻击、数据库被SQL注入、服务器沦为跳板、IP碎片攻击等。

第三篇网络流量与日志监控（第13、14章），用大量实例讲解流量监控原理与方法，例如开源软件Xplico的应用技巧，NetFlow在异常流量中的应用。还介绍了用开源的OSSIM安全系统建立网络日志流量监控网络。

本书从网络安全人员的视角展现了网络入侵发生时，当你面临千头万绪的线索时如何从中挖掘关键问题，并最终得以解决。书中案例采用独创的情景式描述，通过一个个鲜活的IT场景，反映了IT从业者在工作中遇到的种种难题。案例中通过互动提问和开放式的回答，使读者不知不觉中掌握一些重要的网络安全知识和实用的技术方案。

本书案例中的IP地址、域名信息均为虚构，而解决措施涉及的下载网站以及各种信息查询网站是真实的，具有较高参考价值。书中有大量系统日志,这些日志是网络故障取证处理时的重要证据，由于涉及保密问题，所有日志均做过技术处理。

由于时间紧，能力有限，书中不当之处在所难免，还请各位读者到我的博客多多指正。

3．本书实验环境

本书选取的UNIX平台为Solaris和FreeBSD，Linux平台主要为Red Hat和Debian Linux。涉及取证调查工具盘是Deft 8.2和Back Track5。在http://chenguang.blog.51cto.com （作者的博客）提供了DEFT-vmware、BT5-vmware、OSSIM-vmware虚拟机，可供读者下载学习研究。