计算机安全超级工具集
计算机安全超级工具集
Bryan Burns, Jennifer Stisa Granick, Steve Manzuik, Paul Guersch, Dave Killion, Nicol
李展, 贺民, 周希 译
出版时间:2009年04月
页数:700
“自从1993年首次出版本书以来,我一直在看它。我一直渴望,一直在等待它。感谢本书,它字字珠玑,感谢这些才华横溢的作者”
——Peiter “Mudge” Zatko

如果您可以与世界上天才的计算机安全工程师坐在一起,询问您的网络安全问题,会感觉如何?本书就能让您实现这个梦想!在本书中,Juniper网络安全工程团队的成员,还有一些外聘的专家,揭示了如何使用、处理和推广最流行的网络安全应用、实用程序和工具,它们适用于Windows、Linux、Mac OS X和Unix平台。

本书有23个章节,内容彼此关联,详细说明了现在世界上最优秀的安全工具,不管是对于黑帽技术,还是对白帽防御策略,都极具价值。正文内容中,针对免费软件和商用工具,范围涉及中级的命令行操作,甚至深入到相关软件的高级编程知识,都有提示、技巧以及“如何做”的忠告信息。

本书涉及的主要内容有:

* 检测工具——网络扫描工具,比如nmap;漏洞扫描;局域网检测;无线检测;自定义数据包生成。
* 渗透工具——远程计算机的自动渗透,比如Metasploit框架;查找无线网络的工具;操作shell代码的技巧和工具。
* 控制工具——作为后门使用的工具;已知rootkits的审查。
* 防御工具——基于主机的防火墙;主机加固;与SSH的通信安全;电子邮件安全和反恶意软件;设备安全测试。
* 监视工具——抓包和分析数据包的工具;使用Honeyd和snort进行网络监视;生产服务器的主机监视,用于文件更改。
* 发现工具——包括The Forensic Toolkit、SysInternals和其他流行的法律工具;应用程序干扰器和干扰技术;使用诸如Interactive Disassembler和Ollydbg这样的工具进行二进制逆向工程的技巧。

另外,本书还有斯坦福大学法律教授编写的有关网络安全的相关法律知识,这些内容实用而且及时有效,这使得本书成为一座网络安全信息的金矿。
  1. 创作者队伍
  2. 前言
  3. 第一部分 法律和道德
  4. 1 法律和道德问题
  5. 1.1 核心问题
  6. 1.2 计算机入侵法规:不允许“黑客入侵”
  7. 1.3 逆向工程
  8. 1.4 漏洞公布
  9. 1.5 今后要做什么
  10. 第二部分 检测工具
  11. 2 网络扫描
  12. 2.1 扫描器的工作方式
  13. 2.2 超级用户权限
  14. 2.3 三种网络扫描器
  15. 2.4 主机发现
  16. 2.5 端口扫描
  17. 2.6 指定自定义端口
  18. 2.7 指定扫描目标
  19. 2.8 不同的扫描种类
  20. 2.9 调整扫描速度
  21. 2.10 应用程序指纹识别
  22. 2.11 操作系统检测
  23. 2.12 保存Nmap输出
  24. 2.13 恢复Nmap扫描
  25. 2.14 检测规避
  26. 2.15 结论
  27. 3 漏洞扫描
  28. 3.1 Nessus
  29. 3.2 Nikto
  30. 3.3 WebInspect
  31. 4 局域网搜索
  32. 4.1 映射局域网
  33. 4.2 交换网中使用ettercap和arpspoof
  34. 4.3 处理静态ARP表
  35. 4.4 从局域网获取信息
  36. 4.5 操作数据包数据
  37. 5 无线搜索
  38. 5.1 获得正确的驾驶攻击设备
  39. 5.2 802.11网络基础
  40. 5.3 802.11帧
  41. 5.4 无线网络发现工具的工作方式
  42. 5.5 Netstumbler
  43. 5.6 Kismet一瞥
  44. 5.7 使用Kismet
  45. 5.8 对Kismet网络列表分类
  46. 5.9 利用Kismet使用网络组
  47. 5.10 通过调查请求来利用Kismet寻找网络
  48. 5.11 利用gpsd支持Kismet GPS
  49. 5.12 利用Kismet仔细观测流量
  50. 5.13 使用Kismet捕获数据包和破解流量
  51. 5.14 Wireshark一瞥
  52. 5.15 使用Wireshark
  53. 5.16 AirDefense Mobile
  54. 5.17 AirMagnet分析器
  55. 5.18 其他驾驶攻击工具
  56. 6 自定义数据包生成
  57. 6.1 创建自定义数据包的原因
  58. 6.2 hping
  59. 6.3 Scapy
  60. 6.4 使用Scapy构建数据包示例
  61. 6.5 使用Netfilter进行数据包处理
  62. 6.6 参考资料
  63. 第三部分 渗透工具
  64. 7 Metasploit
  65. 7.1 Metasploit界面
  66. 7.2 更新Metasploit
  67. 7.3 选择漏洞
  68. 7.4 选择有效载荷
  69. 7.5 设定选项
  70. 7.6 运行漏洞
  71. 7.7 管理会话和工作
  72. 7.8 Meterpreter
  73. 7.9 安全设备规避
  74. 7.10 规避输出摘要
  75. 7.11 使用编码器和NOP的规避
  76. 7.12 结论
  77. 8 无线渗透
  78. 8.1 WEP以及WPA加密
  79. 8.2 Aircrack
  80. 8.3 安装Aircrack-ng
  81. 8.4 运行Aircrack-ng
  82. 8.5 Airpwn
  83. 8.6 Airpwn基本使用
  84. 8.7 Airpwn配置文件
  85. 8.8 在WEP加密的网络上使用Airpwn
  86. 8.9 使用Airpwn运行脚本
  87. 8.10 Karma
  88. 8.11 结论
  89. 9 探测框架应用程序
  90. 9.1 任务总览
  91. 9.2 Core Impact概述
  92. 9.3 使用Core Impact搜索网络
  93. 9.4 Core Impact探测搜索引擎
  94. 9.5 运行探测
  95. 9.6 运行宏
  96. 9.7 试探安装的代理
  97. 9.8 使代理在重新引导后仍存在
  98. 9.9 大范围探测
  99. 9.10 为Core Impact编写模块
  100. 9.11 Canvas探测框架
  101. 9.12 使用Canvas进行探测移植
  102. 9.13 在命令行中使用Canvas
  103. 9.14 深入挖掘Canvas
  104. 9.15 带有MOSDEF的高级探测
  105. 9.16 为Canvas编写探测
  106. 9.17 备选探测工具
  107. 10 自定义探测程序
  108. 10.1 理解探测
  109. 10.2 分析shell代码
  110. 10.3 测试shell代码
  111. 10.4 创建shell代码
  112. 10.5 伪装shell代码
  113. 10.6 执行流劫持
  114. 10.7 参考书目
  115. 第四部分 控制工具
  116. 11 后门程序
  117. 11.1 选择后门程序
  118. 11.2 VNC
  119. 11.3 创建VNC后门程序且打包
  120. 11.4 连接以及移除VNC后门程序
  121. 11.5 Back Orifice 2000
  122. 11.6 配置BO2k服务器
  123. 11.7 配置BO2k客户端
  124. 11.8 向BO2k工作界面中添加新服务器
  125. 11.9 使用BO2k后门
  126. 11.10 BO2k的强大工具
  127. 11.11 BO2k通信的加密手段
  128. 11.12 隐藏BO2k协议
  129. 11.13 移除BO2k
  130. 11.14 Unix后门程序
  131. 12 Rootkit
  132. 12.1 Windows Rootkit:计算机黑客防卫者
  133. 12.2 Linux Rootkit:Adore-ng
  134. 12.3 Rootkit探测技术
  135. 12.4 Windows Rootkit检测器
  136. 12.5 Linux Rootkit检测器
  137. 12.6 清理感染的系统
  138. 12.7 Rootkit的特性
  139. 第五部分 防御工具
  140. 13 前摄防御:防火墙
  141. 13.1 防火墙初步
  142. 13.2 网络地址转换
  143. 13.3 使用ipfw/natd保护BSD系统安全
  144. 13.4 使用netfilter /iptable保护GNU/Linux系统
  145. 13.5 带有Windows防火墙/Internet连接共享Windows系统的安全措施
  146. 13.6 校验范围
  147. 14 主机加固
  148. 14.1 控制服务
  149. 14.2 关闭不需要的服务
  150. 14.3 访问限制
  151. 14.4 减小损害
  152. 14.5 Bastille Linux
  153. 14.6 SELinux
  154. 14.7 密码破译
  155. 14.8 chroot
  156. 14.9 操作系统的虚拟沙盒
  157. 15 通信安全保护
  158. 15.1 SSH-2协议
  159. 15.2 SSH的配置
  160. 15.3 SSH认证
  161. 15.4 SSH的不足
  162. 15.5 SSH故障处理
  163. 15.6 使用SSH远程访问文件
  164. 15.7 SSH高级用法
  165. 15.8 在Windows中使用SSH
  166. 15.9 文件和电子邮件的签名和加密
  167. 15.10 GPG
  168. 15.11 创建GPG密钥
  169. 15.12 使用GPG加密和签名
  170. 15.13 PGP和GPG的兼容性
  171. 15.14 使用S/MIME加密和签名
  172. 15.15 Stunnel
  173. 15.16 磁盘加密
  174. 15.17 使用PGP磁盘进行Windows文件系统加密
  175. 15.18 使用LUKS进行Linux文件系统加密
  176. 15.19 结论
  177. 16 电子邮件安全和反垃圾邮件
  178. 16.1 Norton反病毒软件
  179. 16.2 ClamAV项目
  180. 16.3 ClamWin
  181. 16.4 Freshclam
  182. 16.5 clamscan
  183. 16.6 clamd和clamdscan
  184. 16.7 ClamAV病毒特征
  185. 16.8 Procmail
  186. 16.9 基本Procmail规则
  187. 16.10 高级Procmail规则
  188. 16.11 ClamAV和Procmail
  189. 16.12 无请求邮件
  190. 16.13 使用Bayesian过滤器过滤垃圾邮件
  191. 16.14 SpamAssassin
  192. 16.15 SpamAssassin规则
  193. 16.16 SpamAssassin插件
  194. 16.17 SpamAssass和Procmail
  195. 16.18 反钓鱼工具
  196. 16.19 结论
  197. 17 设备安全测试
  198. 17.1 使用Tcpreply重放数据
  199. 17.2 Traffic IQ Pro
  200. 17.3 ISIC工具包
  201. 17.4 Protos
  202. 第六部分 监视工具
  203. 18 网络抓包
  204. 18.1 tcpdump
  205. 18.2 Ethereal/Wireshark
  206. 18.3 pcap实用工具:tcpflow和Netdude
  207. 18.4 Python/Scapy脚本修补校验
  208. 18.5 结论
  209. 19 网络监控
  210. 19.1 Snort
  211. 19.2 部署Snort
  212. 19.3 蜜罐监控
  213. 19.4 综述
  214. 20 主机监控
  215. 20.1 使用文件完整性检查
  216. 20.2 文件完整性哈希
  217. 20.3 使用rpmverify进行DIY
  218. 20.4 对比文件完整性检查工具
  219. 20.5 为Samhain和Tripwire准备环境
  220. 20.6 使用Samhain和Tripwire初始化数据库
  221. 20.7 使用Samhain和Tripwire防护基准存储
  222. 20.8 使用Samhain和Tripwire运行文件系统检查
  223. 20.9 使用Samhain和Tripwire管理文件更改和更新存储数据库
  224. 20.10 使用Samhain和Tripwire识别恶意行为
  225. 20.11 使用Logwatch监视日志
  226. 20.12 改进Logwatch的过滤器
  227. 20.13 使用Prelude-IDS在大型网络环境下的主机监控
  228. 20.14 结论
  229. 第七部分 发现工具
  230. 21 Forensic工具
  231. 21.1 Netstat
  232. 21.2 Forensic ToolKit
  233. 21.3 Sysinternal
  234. 22 应用程序干扰
  235. 22.1 使用哪个干扰器
  236. 22.2 完成不同任务的不同类型干扰器
  237. 22.3 用Spike写干扰器
  238. 22.4 Spike API
  239. 22.5 文件干扰程序
  240. 22.6 干扰Web应用程序
  241. 22.7 配置WebProxy
  242. 22.8 使用Webnspect自动干扰
  243. 22.9 下一代干扰器
  244. 22.10 干扰还是不干扰
  245. 23 二进制逆向工程
  246. 23.1 Interactive Disassembler
  247. 23.2 Sysinternals
  248. 23.3 OllyDbg
  249. 23.4 其他工具
书名:计算机安全超级工具集
译者:李展, 贺民, 周希 译
国内出版社:清华大学出版社
出版时间:2009年04月
页数:700
书号:978-7-302-19439-2
原版书出版商:O'Reilly Media
Bryan Burns
 
Bryan Burns:我是Juniper网络公司J级安全团队的首席安全架构师。我与本书其他Juniper公司的作者紧密合作,保证Juniper网络公司的产品能够防御本书列出的所有工具及技术。事实上,我熟悉这些安全工具的原因是,我使用和研究它们,探测和制止恶意攻击。我负责整理本书中工具和章节的初始列表,并且,也深信其他作者将其专业技能和宝贵的时间贡献出来,使得本书最终成形。我撰写了第2章 —— 网络扫描、第7章 —— Metasploit以及第8章 —— 无线渗透中关于airpwn(我编写的工具)的内容。最后,与Steve Manzuik一起提供了本书的技术审阅。
 
 
Jennifer Stisa Granick
 
Jennifer Stisa Granick:在过去的七年中,我已经成为斯坦福法学院Internet中心的执行主任,同时,我在计算机法规培训班以及计算机犯罪研究会任教。当您阅读这些内容的时候,虽然我计划继续在斯坦福讲授计算机犯罪课程,我将已经接任美国电子疆土基金会国内自由权利主任。我还专门研究计算机安全法规、国家安全、宪法权力以及电子监控。在我以前的生活中,我为国家公众辩护律师加利福尼亚办公机构工作,并且在旧金山开始了我自己的事业。我写了第1章 —— 法律与道德问题,试图让读者了解有关网络安全的相关法律基础知识,对法规的印象,以及该主题的广阔性及其变化。
 
 
Steve Manzuik
 
Steve Manzuik:Juniper网络公司的高级研发经理,同时担任本书的高级技术审查人员、小型工具章节的替补作者以及代码检查人员。在过去的6个月中,我在Juniper网络公司工作。在这之前,我为eEye数码安全公司、Ernst & Young、IBM以及BindView RAZOR公司的研究团队工作。我还是完全披露邮件列表VulnWatch(www.vulnwatch.org)的奠基人和主持人,以及其他有助于深层IT安全效果的开源方案的衷心支持者。由于我已经为别家出版社编写过两本书,对写书并不陌生,所以乐于作为技术编辑提供我的帮助,并且撰写部分章节中的各种小段落。
 
 
Paul Guersch
 
Paul Guersch:安全技术作家,而且担任本书的开发编辑,至少对本书编辑和检验过两次。我是这个项目中最让人讨厌的人,每天都在吹毛求疵,挑所有人的毛病。我已经在Juniper网络公司工作了一年半。在这之前,我为McAfee、Entercept、苹果、Fairchild,还有一些刚创建的公司工作过。在那段时间里,我撰写了一些硬件和软件的技术说明手册,讲授过技术课程,并且开发过自学课程。我承认,与本书的高级技术团队成员一起工作是一段美妙的经历。由于我不是工程师,所以,当我阅读了一章后,我确实感到震惊,因为他们对网络安全了解得如此之多。当谈及巩固和保护客户系统时,他们的确是所在领域中的顶尖人物。他们使我五体投地。
 
 
Dave Killion
 
Dave Killion:专攻网络防御的网络安全工程师。我撰写了第13章以及第18章。我已经在Juniper网络公司(前NetScreen公司)工作了六年多。在这之前,作为信息战/信号职能分析员为美国陆军工作。我还参加过Configuraing NetScreen Firewalls(Syngress)的编写。在我撰写的章节中,我采用了简单直接的网络安全方法,并且假定您对网络安全知之甚少,但对所用的操作系统十分熟悉。
 
 
Nicol
 
本书封面上的图称为电锤。这种工具也称为锤钻,用于钻石头或水泥。它利用一个旋转的钻头,往石头上钻孔,快而且不费力。旋转速度低的时候,也可以用它来凿空和更精确的切割。
封面图由Frank Deras拍摄。