Linux防火墙【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Linux防火墙PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章iptables使用简介1

iptables1

使用iptables进行包过滤2

表2

链2

匹配3

目标3

安装iptables4

内核配置5

基本Netfilter编译选项6

结束内核配置7

可加载内核模块与内置编译和安全7

安全性和最小化编译9

内核编译和安装9

安装iptables用户层二进制文件10

默认iptables策略11

策略需求11

iptables.sh脚本的开头12

INPUT链13

OUTPUT链15

FORWARD链15

网络地址转换16

激活策略17

iptables-save与iptables-restore18

测试策略：TCP20

测试策略：UDP21

测试策略：ICMP22

本章总结23

第2章 网络层的攻击与防御24

使用iptables记录网络层首部信息24

网络层攻击的定义27

滥用网络层28

Nmap ICMP Ping28

IP欺骗28

IP分片30

低TTL值30

Smurf攻击31

DDoS攻击32

Linux内核IGMP攻击32

网络层回应33

网络层过滤回应33

网络层阈值回应33

结合多层的回应34

第3章 传输层的攻击与防御35

使用iptables记录传输层首部35

记录TCP首部35

记录UDP首部37

传输层攻击的定义38

滥用传输层38

端口扫描38

端口扫射46

TCP序号预测攻击46

SYN洪泛47

传输层回应47

TCP回应47

UDP回应50

防火墙规则和路由器ACL51

第4章 应用层的攻击与防御53

使用iptables实现应用层字符串匹配53

实际观察字符串匹配扩展54

匹配不可打印的应用层数据55

应用层攻击的定义56

滥用应用层56

Snort签名57

缓冲区溢出攻击57

SQL注入攻击59

大脑灰质攻击60

加密和应用层编码62

应用层回应63

第5章 端口扫描攻击检测程序psad简介64

发展历史64

为何要分析防火墙日志64

psad特性65

psad的安装65

psad的管理67

启动和停止psad68

守护进程的唯一性68

iptables策略配置68

syslog配置70

whois客户端71

psad配置72

/etc/psad/psad.conf72

/etc/psad/auto_dl77

/etc/psad/signatures78

/etc/psad/snort_rule_dl78

/etc/psad/ip_options78

/etc/psad/pf.os79

本章总结79

第6章psad运作：检测可疑流量80

使用psad检测端口扫描80

TCP connect（）扫描81

TCP SYN或半开放扫描83

TCP FIN、XMAS和NULL扫描85

UDP扫描86

psad警报和报告87

psad电子邮件警报87

psad的syslog报告90

本章总结91

第7章psad高级主题：从签名匹配到操作系统指纹识别92

使用Snort规则检测攻击92

检测ipEye端口扫描器93

检测LAND攻击94

检测TCP端口0流量94

检测零TTL值流量95

检测Naptha拒绝服务攻击95

检测源站选路企图96

检测Windows Messenger弹出广告96

psad签名更新97

识别操作系统指纹98

使用Nmap实现主动式操作系统指纹识别98

使用p0f现被动式操作系统指纹识别99

DShield报告101

DShield报告格式101

DShield报告样本102

查看psad的状态输出102

取证模式105

详细/调试模式106

本章总结107

第8章 使用psad实现积极回应108

入侵防御与积极回应108

积极回应的取舍109

攻击类型109

误报110

使用psad回应攻击110

特性111

配置变量111

积极回应示例113

积极回应的配置114

SYN扫描的回应114

UDP扫描的回应116

Nmap版本扫描116

FIN扫描的回应117

恶意伪造扫描117

将psad的积极回应与第三方工具集成118

命令行接口118

与Swatch集成120

与自定义脚本集成121

本章总结122

第9章 转换Snort规则为iptables规则123

为什么要运行fwsnort124

纵深防御124

基于目标的入侵检测和网络层分片重组124

轻量级的资源占用125

线内回应125

签名转换示例126

Nmap命令尝试签名126

Bleeding Snort的“Bancos木马”签名127

PGPNet连接尝试签名127

fwsnort对Snort规则的解释128

转换Snort规则头128

转换Snort规则选项：iptables数据包记录130

Snort选项和iptables数据包过滤132

不支持的Snort规则选项142

本章总结143

第10章 部署fwsnort144

安装fwsnort144

运行fwsnort146

fwsnort的配置文件148

fwsnort.sh的结构150

fwsnort的命令行选项153

实际观察fwsnort154

检测Trin00 DDoS工具154

检测Linux Shellcode流量155

检测并回应Dumador木马156

检测并回应DNS高速缓存投毒攻击157

设置白名单和黑名单160

本章总结161

第11章psad与fwsnort结合162

fwsnort检测与psad运作的结合162

重新审视积极回应166

psad与fwsnort166

限制psad只回应fwsnort检测到的攻击167

结合fwsnort与psad回应167

DROP目标与REJECT目标169

阻止Metasploit更新172

Metasploit更新功能172

签名开发174

使用fwsnort和psad破坏Metasploit更新175

本章总结179

第12章 端口碰撞与单数据包授权180

减少攻击面180

零日攻击问题180

发现零日攻击182

对基于签名的入侵检测的影响182

纵深防御183

端口碰撞183

挫败Nmap和目标识别阶段184

共享的端口碰撞序列185

加密的端口碰撞序列187

端口碰撞的架构限制189

单数据包授权191

解决端口碰撞的限制192

SPA的架构限制193

通过隐藏实现安全？194

本章总结195

第13章fwknop简介196

fwknop的安装196

fwknop的配置198

/etc/fwknop/fwknop.conf配置文件198

/etc/fwknop/access.conf配置文件202

/etc/fwknop/access.conf配置文件示例204

fwknop SPA数据包的格式205

部署fwknop207

使用对称加密传输SPA207

使用非对称加密传输SPA209

检测并阻止重放攻击213

伪造SPA数据包的源地址215

fwknop的OpenSSH集成补丁216

通过Tor网络传输SPA数据包217

本章总结218

第14章 可视化iptables日志219

发现不寻常219

Gnuplot221

Gnuplot绘图指令222

psad与Gnuplot结合222

AfterGlow223

iptables攻击可视化224

端口扫描224

端口扫射227

Slammer蠕虫231

Nachi蠕虫232

来自被入侵系统的外出连接234

本章总结237

附录A攻击伪造238

附录B一个完整的fwsnort脚本243