开源安全运维平台OSSIM疑难解析提高篇 pdf下载

中国OSSIM布道师的全新作品
以问与答的新颖方式进行写作
提供学习课程内容的部分重要软件
提供相关视频内容

OSSIM(Open Source Security Information Management，开源安全信息管理)系统是一个非常流行和完整的开源安全体系架构，通过将开源产品进行集成，提供了一种能实现安全监控功能的基础平台。当前，尽管OSSIM应用广泛，但是市面上缺乏系统化讲解OSSIM运维和开发的图书，OSSIM运维工程师在遇到疑难问题时没有头绪，不知如何解决。《开源安全运维平台OSSIM疑难解析 提高篇》因此而生。
《开源安全运维平台OSSIM疑难解析 提高篇》借助于作者在OSSIM领域长达10年的开发应用经验，精选了OSSIM日常因为操作中总结的近300个典型疑难问题，介绍了OSSIM系统安装部署和运维管理中常见的问题以及相应的解决方案。
《开源安全运维平台OSSIM疑难解析 提高篇》内容：
入侵检测Snort与Suricata；
基于主机的入侵检测——OSSEC；
漏洞扫描OpenVAS；
Memcache、RabbitMQ与Redis协同工作；
日志采集与分析；
关联分析技术；
资产管理；
网络流量与主机高可用监控；
NetFlow流量分析；
OSSIM前端汉化技巧；
压力测试及性能监控；
数据包抓包分析技巧。
《开源安全运维平台OSSIM疑难解析 提高篇》专门针对OSSIM常见故障编写，涵盖的知识面广泛，所述问题具有很强的独立性。读者既可以按序逐章阅读，也可以有选择性地阅读。本书适合具有相关工作经验的技术经理或中高级运维工程师阅读，也可以作为运维领域研究人员的参考用书。

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。
《开源安全运维平台OSSIM疑难解析：提高篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症，并给出了相应的解决方案。本书共分为12章，内容包括入侵检测Snort与Suricata，基于主机的入侵检测—OSSEC，漏洞扫描OpenVAS，Memcache、RabbitMQ与Redis协同工作，日志采集与分析，关联分析技术，资产管理，网络流量与主机高可用监控，NetFlow流量分析，OSSIM前端汉化技巧，压力测试及性能监控，数据包抓包分析技巧等。
《开源安全运维平台OSSIM疑难解析：提高篇》精选了作者在非常适合具有一定SIEM（Security Information and Event Management，安全信息和事件管理）系统实施经验的技术经理或中高级运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。

李晨光，OSSIM布道师、资深网络架构师、UNIX/Linux系统安全专家、中国计算机学会高级会员。写作的《Linux企业应用案例精解》、《UNIX/Linux网络日志分析与流量监控》、《开源安全运维平台OSSIM*佳实践》在图书市场上具有相当抢眼的表现与口碑，且中文繁体字版本也被输出到中国台湾地区。
李晨光先生还是51CTO、ChinaUnix、OSchina等社区的专家博主，撰写的技术博文被国内各大IT技术社区广泛转载；还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。

第 1章　入侵检测Snort与Suricata 1
Q001　Snort检测规则存储在何处？如果触发规则Snort将会产生几种动作类型？　1
Q002　Snort 2．9版本中主要有哪些预处理插件，各有什么功能？　2
Q003　如何利用Scapy测试Snort规则？　2
Q004　Snort有几种工作模式，各有什么特点？　4
Q005　举例说明Snort采用什么规则检测可疑载荷？　9
Q006　Snort如何检测Chargen/Echo DoS攻击？　9
Q007　如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘？　10
Q008　在同一个网段内如何部署多个IDS？　10
Q009　手动编译安装Snort时，需要做哪些准备工作？　10
Q010　如何在Linux下编译安装Snort？　11
Q011　如何将Snort报警存入MySQL数据库？　15
Q012　如何搭建基于BASE的可视化入侵检测系统？　19
Q013　OSSIM的PHP IDS组件采用什么方法来接收和分析数据？　25
Q014　IP碎片攻击对Snort会产生哪些危害？　25
Q015　在Snort规则中，msg、content、threshold、reference选项有何含义？　26
Q016　OSSIM中如何管理引用类型？　28
Q017　外部引用在OSSIM安全事件管理中起到什么作用？　29
Q018　OSSIM5中的Suricata支持PF_RING吗？　30
Q019　如何利用DARPA 2000数据集重构攻击场景？　31
Q020　在Snort中如何使用参数查看数据链路层的包头信息？　31
Q021　Snort的输出插件分为几类？各有什么作用？　32
Q022　sid-msg．map和gen-msg．map有什么区别？　38
Q023　在 OSSIM 4．12检测器中Snort状态为DOWN，而Suricata为UP，这种状态正常吗？
它们能同时为状态UP吗？　39
Q024　网络主动探测与被动探测有什么区别？　39
Q025　如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除？　40
Q026　Snort传感器部署在企业网的什么位置？　40
Q027　Suricata与Snort有何区别？　41
Q028　如何调整Suricata同时处理的数据包的数量？　42
Q029　如何设置Suricata的运行模式？　42
Q030　Suricata事件输出分为哪几种？如何记录匹配的信息？　43
Q031　当Suricata检测到可疑数据包时，以二进制格式将其存储到什么文件？通过什么
程序读取？　43
Q032　Suricata通过什么参数记录真实客户机的IP？　44
Q033　若让Suricata记录所有HTTP日志，则该如何修改配置文件？　44
Q034　如何保存经Suricata检测的所有数据包？　44
Q035　如何启用Suricata服务的Debug日志？　45
Q036　如何将Suricata的报警信息输出到Syslog文件中？　45
Q037　数据包在Suricata检测引擎中是如何匹配的？　45
Q038　Suricata检测引擎的配置属性分为几种？　45
Q039　在多核心OSSIM服务器上如何改善Suricata处理性能？　46
Q040　在高速复杂的网络环境中，如何提高Suricata规则检测时的数据分片传输效率？　46
Q041　在Suricata的stream引擎中对数据包重组需要占用CPU资源，为了避免无限制地
重组数据包，应该修改什么参数对其进行限制？　47
Q042　Suricata的日志文件suricata．log保存在什么路径中？该路径由什么配置文件
定义？　48
Q043　OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING？　48
Q044　如何定制Suricata规则？　49
Q045　如何更新AlienVault NIDS规则和签名？　50
Q046　Snort可作为IPS使用吗？如何部署？　51
Q047　在OSSIM 3中，PF_RING有哪几种工作模式？　51
Q048　如何启用新的ET规则？　52
Q049　如何在OSSIM系统中配置无线入侵系统？　52
Q050　OSSIM平台上的iptables模块在什么位置？　58
Q051　举例说明OSSIM如何发现Nmap扫描行为。　58
Q052　AIDE有什么作用？　60
Q053　如何在CentOS Linux中安装AIDE？　61
Q054　如何在OSSIM中安装AIDE？　62
本章测试　64
第　2章 基于主机的入侵检测——OSSEC　69
Q055　OSSEC Agent主要由哪些进程组成，各有什么作用？　69
Q056　简述OSSEC Server/Agent工作流程及其关键进程的作用。　70
Q057　什么是Agent和Agentless监控？　70
Q058　如何测试OSSEC规则？　71
Q059　当因磁盘空间不足而造成OSSEC服务故障时，该如何处理？　71
Q060　分布式环境下OSSEC和Agent是如何通信的？　73
Q061　在Linux环境中如何安装OSSEC Agent？　73
Q062　Linux下安装OSSEC Agent报错时应如何解决？　76
Q063　Nmap扫描和OpenVAS扫描有什么区别？　77
Q064　OSSEC事件报警处理流程是什么？　77
Q065　如何在Windows 8环境下安装OSSEC Agent？　78
Q066　用于配置OSSEC Agent的文件位于何处？　82
Q067　当OSSEC Agent无法连接服务器时，该如何处理？　82
Q068　在Windows Server 2012中如何安装OSSEC Agent？　83
Q069　如何在Web中查看OSSEC Agent状态？　88
Q070　OSSEC日志存储在什么位置？　89
Q071　Web UI中OSSEC调用规则的后台文件位于何处？　90
Q072　如何监听OSSEC Server和Agent之间的数据通信？　91
Q073　Windows平台中已安装了OSSEC Agent，但在OSSIM服务器中没有接收到
日志，这怎么解决？　92
Q074　OSSEC客户端无法连接到OSSEC服务器时，该如何处理？　92
Q075　/var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义？　92
Q076　在OSSEC输出插件中的特定字符表示什么含义？　93
本章测试　94
第3章　漏洞扫描OpenVAS　98
Q077　OpenVAS的扫描日志存放在何处？　98
Q078　CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含义？　98
Q079　OpenVAS主要进程和配置文件有哪些？　100
Q080　OpenVAS脚本采用什么语言编写？请描述脚本加载过程。　101
Q081　OpenVAS扫描初期如何加载脚本？　102
Q082　漏洞扫描器中的脚本如何对目标进行安全检测？　102
Q083　OpenVAS的扫描器openvas-scanner调用的私钥证书文件位于何处，证书由什么
程序创建？　102
Q084　OpenVAS扫描过程分为几个阶段，服务器端有几个主要模块，它们之间工作
流程如何？　103
Q085　OpenVAS扫描器工作状态出现Failed提示，表示什么含义？　104
Q086　用OpenVAS进行扫描时出现故障如何排除？　104
Q087　在什么情况下应终止漏洞扫描任务？　107
Q088　Nessus与OpenVAS的扫描效果有什么区别？　108
Q089　OSSIM使用OpenVAS扫描系统时，为何还保留Nessus规则？　109
Q090　使用alienvault-update命令对系统升级之后出现OpenVAS无法正常工作的情况，
如何解决？　110
Q091　操作过程中无法连接到漏洞扫描器，这种故障该如何解决？　110
Q092　漏洞扫描时间过短会发生哪些问题？　111
Q093　扫描资源池之外的机器会出现什么情况，如何处理？　111
Q094　如何手动更新CVE库？　112
Q095　OSSIM系统中设置多长时间的漏洞扫描周期合适？　112
Q096　OpenVAS导出报告中针对漏洞分类使用了几种颜色？各表示什么含义？　113
Q097　X-Scan、Fluxay、Nessus及OpenVAS这几款扫描软件有何区别？　114
本章测试　115
第4章　Memcache、RabbitMQ与Redis协同工作　117
Q098　为何单线程的Redis速度还能这么快？　117
Q099　Memcache的作用是什么？　117
Q100　如何增大Redis运行内存？　118
Q101　如何安装MemCached监控探针？　119
Q102　OSSIM为什么采用消息中间件？　120
Q103　RabbitMQ在OSSIM系统中起到什么作用？　122
Q104　如何查询OSSIM服务器上的消息队列以及连接信息？　122
Q105　如何重置RabbitMQ节点？　122
Q106　如何查看已启用的RabbitMQ插件？　123
Q107　OSSIM中的RabbitMQ如何打开Web管理后台？　123
Q108　OSSIM为何要引入Redis内存数据库，采用key/value存储？　125
Q109　OSSIM服务器使用RabbitMQ有何优势？　126
Q110　如何查看Redis服务器实时转储收到的请求？　127
Q111　如何进入或退出Erlang Shell界面？　127
本章测试　128
第5章　日志采集与分析　130
Q112　在OSSIM平台上日志可视化体现在何处？　130
Q113　iptables日志有几种记录形式？各有什么区别？　131
Q114　如何将iptables日志转发到指定文件中？　132
Q115　如何在Web界面中查看iptables事件？　134
Q116　如何发现日志时间被篡改？　136
Q117　为什么使用GNS3？　137
Q118　在实验环境中使用GNS3有哪些短板？　137
Q119　GNS3如何模拟3层交换机？　138
Q120　如何将GNS3与本地网卡桥接？　138
Q121　如何用OSSIM采集Squid日志？　139
Q122　如何通过Snare将Windows事件转发至Linux日志采集服务器？　140
Q123　如何用Syslog-Slogger测试Syslog服务器？　143
Q124　如何使用logger发送测试日志？　144
Q125　如何模拟Syslog流量？　144
Q126　WMI与Snare有什么区别？　146
Q127　OSSIM日志处理流程是什么？　146
Q128　原始安全事件需要具备哪些属性？　147
Q129　原始日志和归一化事件有什么不同？　149
Q130　将Windows日志转换为Syslog日志的工具有哪些？　149
Q131　如何选择合适的日志级别？　150
Q132　有哪些工具可以将Windows日志转换为Syslog？　151
Q133　如何利用Evtsys工具采集Windows日志并转发到Syslog服务器？　152
Q134　如何收集Apache日志？　153
Q135　为什么在Zabbix服务器上启用Syslog消息转发后，服务器会出现卡顿的现象？　154
Q136　如何利用Rsyslog协议采集日志？　154
Q137　如何用Rsyslog将日志发送到不同的日志收集器中？　155
Q138　如何在OSSIM中启用SNMP服务？　155
Q139　如何让Linux客户机通过Syslog将日志发送到OSSIM服务器？　156
Q140　alerts．log文件中突然产生大量日志，应如何处理？　157
Q141　Syslog中每条消息的最大长度是多少？　157
Q142　在OSSIM企业版中如何从Web UI中导出日志？　157
Q143　安全审计要求日志保存时间是多久？　158
Q144　如何通过WMI方式接收日志？　158
Q145　如何将VsFTP日志发送到OSSIM？　159
Q146　如何将客户端的sudo日志重定向到服务器端指定的文件中？　161
本章测试　162
第6章　关联分析技术　164
Q147　OSSIM的关联分析如何工作？　164
Q148　安全事件关联分析的目的是什么？　165
Q149　安全事件归一化处理的步骤是什么？　166
Q150　如何通过关联分析来判断攻击？　167
Q151　OSSIM如何将网络安全事件进行分类？　167
Q152　举例说明OSSIM关联分析指令的结构？　171
Q153　如何新建关联指令？　172
Q154　如何查看交叉关联规则？　176
Q155　在交叉关联规则中显示数据源及插件信息时为什么比较慢？　176
Q156　RISK、PRIORITY、RELIABILITY这3个参数在关联分析时有何关联？　177
Q157　在仪表盘中，Risk显示的Risk Metric中C、A值表示什么含义？　178
Q158　在评估主机风险时，事件属性Risk的C、A值会发生哪些变化？这些变化
反映出什么问题？　181
Q159　OSSEC与Snort事件能合并吗？　182
Q160　如何聚合OSSEC报警信息？　183
Q161　如何判断OSSEC产生的同类报警？　184
Q162　如何在Web UI中配置关联指令？　185
Q163　OSSIM中关联规则的基本属性是什么，各有何含义？　189
Q164　SIEM控制台如何将不同数据源的事件进行聚合处理？　191
Q165　OSSIM关联规则树由什么构成？含义如何？　192
Q166　OSSIM关联分析引擎分为几种类型？可靠性和风险值在里面起到了什么作用？　195
Q167　如何理解安全事件的交叉关联分析？　196
Q168　风险评估三要素是什么？它们之间的关系如何？　196
Q169　为什么说可靠性的值是动态变化的？　197
Q170　如果内网一台邮件服务器的资产值设定为5，而优先级和可靠性的默认值设置为3，那么这台服务器的风险值为多少？　198
Q171　OSSIM关联引擎有何作用，工作过程是怎样的？　198
本章测试　200
第7章　资产管理　203
Q172　OSSIM平台中需要对资产的哪些特征进行监控？　203
Q173　如何为资产赋值？　204
Q174　OSSIM中资产列表位于什么位置？　205
Q175　资产扫描有6个选项，各表示什么含义？　205
Q176　如何设置Nmap扫描周期？　206
Q177　为什么扫描192．168．1．0/24网段内的资产时，结果中却包含其他网段的资产
信息？　206
Q178　如何通过CSV文件导入资产信息？　207
Q179　如何设置OCS，使其进行周期性检测？　209
Q180　调节资产的可靠性值会对风险产生什么影响？　209
Q181　如何在OSSIM 5的Web UI中批量删除资产？　211
Q182　在OSSIM中进行资产扫描时，如果定义网段不当则会出现“Scanning network
(172．16．0．0/12)　with local Nmap，please wait．．．”提示，并且扫描停止。这一问题
如何解决？　212
Q183　OSSIM中Prads程序的作用是什么？　213
Q184　Prads启动失败如何解决？　213
Q185　当监控的资产过多时，OSSIM系统页面的刷新为什么非常慢？　214
Q186　如何为资产启用插件？　214
Q187　在OSSIM中安装iTop的详细步骤是什么？　216
Q188　如何将OSSIM产生的报警转发到iTop的CMDB？　223
Q189　如何限制iTop上传文件的大小？　225
Q190　如何在外网访问iTop站点？　225
Q191　在iTop安装过程中若出现“iTop is read-only iTop is temporarily frozen，please
wait…”系统提示，该如何处理？　225
本章测试　226
第8章　网络流量与主机高可用监控　227
Q192　在OSSIM中Monit与Nagios服务有什么区别？　227
Q193　RRDTool代表什么含义，它在OSSIM中起到什么作用？　227
Q194　RRDTool绘图流程包括哪些内容？　228
Q195　如何用Nagios监控MySQL？　229
Q196　如何在命令行下使用Nagios插件？　229
Q197　如何通过Nagios插件来检测负载？　230
Q198　如何利用Nagios插件来检查交换分区和内存？　230
Q199　添加Nagios来监控主机后，打开Web UI时报错该如何处理？　231
Q200　Nagios中显示的返回码包括哪几种，各表示什么含义？　232
Q201　Ntop流量采集方式有什么特点？　233
Q202　网络中数据包大小变化的背后隐藏了哪些玄机？Ntop如何统计流量的变化？　233
Q203　用Ntop分析网络数据时，需要在交换机上设置端口镜像吗？　235
Q204　如何重置Ntop的admin密码？　236
Q205　当OSSIM系统中存在多个传感器时，如何选择Ntop的默认传感器？　236
Q206　打开Ntop时出现“Sensor not available”提示，应如何处理？　237
Q207　打开Ntop主界面时速度缓慢，如何处理？　237
Q208　如何设置Ntop中的流向统计功能？　238
Q209　若在分布式系统中为传感器设置多块网卡，使用Ntop时提示“Sensor not available
please　select for the above dropdown”，该如何处理？　239
Q210　在Ntop中设置Local Network Traffic Map时出现错误提示，应如何处理？　239
Q211　如何在OSSIM中安装Ntopng？　239
Q212　蠕虫爆发时，流量、协议以及数据包大小会发生哪些异常，Ntop如何感知这些
变化？　240
Q213　如何监控OSSIM服务器和传感器中的磁盘、网络、系统进程及Postfix？　242
Q214　如何通过Ntop显示受控服务器的IP流量？　244
Q215　如何采用phpMyAdmin工具监控OSSIM服务器的流量？　245
本章测试　246
第9章　NetFlow流量分析　247
Q216　OSSIM服务器中的NetFlow模块由几部分组成，分别有什么作用？　247
Q217　nfdump模块由哪些进程组成，各有什么功能？　247
Q218　NetFlow数据流存储路径定义在什么文件中？修改配置后若生效该如何处理？　248
Q219　如何在传感器中启用NetFlow功能？　248
Q220　在OSSIM分布式系统中，NetFlow数据存储在服务器端还是传感器端？　249
Q221　OSSIM系统中如何分析NetFlow数据包？　249
Q222　“LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等参数
表示什么含义？　250
Q223　分布式环境下如何监测NetFlow数据流？　250
Q224　如何清理NetFlow采集的数据？　253
Q225　NetFlow采集的抽样数据可保存多长时间？　254
Q226　如何通过命令行读取NetFlow数据？　255
Q227　NetFlow数据集能在Web UI的仪表盘中显示吗？　255
Q228　在分布式部署的OSSIM环境中，传感器如何区别来自不同传感器的NetFlow
数据？　256
Q229　在OSSIM平台上利用NetFlow采集路由器流量会对路由器的工作造成影响吗？　257
Q230　在OSSIM平台上将NetFlow数据与谷歌地图结合有什么优点？　257
Q231　NetFlow能否检测出SYN泛洪攻击？　258
Q232　在nfsend进程中出现“Connection refused”报错时该如何处理？　258
Q233　OSSIM如何分析网络异常行为？　259
Q234　sFlow协议有什么功能？哪些软件可以分析sFlow的数据包？　262
Q235　sFlow与NetFlow的协议有何区别？　262
Q236　NetFlow接收不到流数据该如何处理？　262
本章测试　266
第　10章 OSSIM前端汉化技巧　269
Q237　OSSIM 5．3中的Web UI菜单调用源码位于何处？　269
Q238　locale参数的作用是什么？如何查询和修改locale？　271
Q239　如何汉化OSSIM中的Web UI菜单？　271
Q240　在汉化OSSIM时需要修改源代码吗？　275
Q241　对于汉化后的Web UI界面，若使用IE 10浏览器应该如何选择编码方式才能
显示中文？　276
Q242　在OSSIM终端界面上如何显示和输入中文字符？　276
Q243　Windows环境下使用什么工具编辑PHP文件？需要注意些什么？　277
Q244　用SecureCRT远程连接到OSSIM系统，当直接修改汉化后的PHP代码时，
浏览器中显示都是乱码，如何处理？　278
Q245　如何修改Favicon图标？　278
Q246　如何修改Logo图标？　278
Q247　如何修改Web UI中的Title标识？　279
Q248　如何修改选项卡名称？　280
Q249　如何更换OSSIM系统的Web UI背景？　281
Q250　OSSIM系统中的ADOdb包有什么作用？它的配置文件在什么位置？　281
Q251　在OSSIM Web UI仪表盘中，雷达图主要显示传感器收集事件的数量。在该
雷达图中，可以描述多少个不同的传感器的信息？　281
Q252　如何将Loading Widget修改成中文字符？　282
Q253　如何修改OSSIM的Web UI菜单？　283
Q254　如何修改Web UI仪表盘的名称？　286
Q255　如何修改Alarm数据的300s刷新时间？　288
Q256　OSSIM中的Web UI如何实现动态加载页面？　288
Q257　如何将UTC（世界标准时间）转化为本地时间？　289
Q258　jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete．js脚本有什么作用？　289
Q259　脚本jquery．dynatree．js有什么作用？若发生故障会影响Web UI的哪些功能？　290
本章测试　290
第　11章 压力测试及性能监控　293
Q260　如何利用Netperf测试网络性能？　293
Q261　如何使用I/O分析工具dstat？　295
Q262　如何用sysbench测试数据库？　296
Q263　如何用dd工具测试系统I/O性能？　297
Q264　如何使用OSSIM自带的性能测试工具？　298
Q265　如何测试系统的IOPS？　299
Q266　当OSSIM服务器产生大量套接字连接时，如何查看全局统计信息？　300
Q267　OSSIM系统空间不足时如何查找大文件？　301
Q268　如何检测OSSIM系统的整体状态？　302
Q269　如何使用图形化监控工具nmon？　303
Q270　如何用atop监控Linux系统资源和进程？　303
Q271　如何找出最消耗内存的进程？　304
Q272　如何测试OSSIM Web UI页面的响应速度？　306
Q273　如何对OSSIM系统目录的大小进行排序？　306
Q274　如何使用OSSIM的流量监控工具iftop？　307
Q275　如何利用Apache自带的ab工具测试OSSIM的响应速度？　309
Q276　如何详细了解OSSIM系统进程的网络带宽占用情况？　310
Q277　OSSIM下如何使用nload软件监控流量？　310
Q278　如何对OSSIM系统进行压力测试？　311
Q279　OSSIM中如何应用hping3进行测试？　312
Q280　OSSIM下如何安装工具Knocker？　313
Q281　OSSIM下如何安装sendip工具？　314
Q282　OSSIM中如何安装Smokeping？　316
Q283　如何在OSSIM Server上安装Cacti？　318
Q284　如何在OSSIM传感器上安装Zabbix？　320
Q285　如何利用Munin工具进行性能监控？　321
Q286　如何安装Glances工具？　322
本章测试　324
第　12章 数据抓包分析技巧　326
Q287　如何预防网络嗅探？　326
Q288　SPAN端口镜像技术有何局限？　327
Q289　采集数据流分为几类，各有什么特点？　328
Q290　通过Traffic Capture抓包的数据存放在什么位置？　328
Q291　若在千兆网络环境中存储30天的完整抓包数据，需要多大的硬盘空间？　328
Q292　协议分析包括哪些内容，常用的分析工具有哪些？　329
Q293　如何用tcpdump监听由传感器发送到端口的数据包？　329
Q294　如何用tcpdump获取Syslog数据包？　330
Q295　如何将tcpdump抓包存入文件？　330
Q296　采用OSSIM监控千兆网络环境会遇到哪些问题？　330
Q297　使用SecureCRT远程连接到OSSIM进行抓包，如何显示从网卡eth0获取的
TCP　22端口之外的全部流量？　331
Q298　如何利用Traffic Capture远程排除网络故障？　331
Q299　在使用OSSIM Web UI的Traffic Capture时提示“This traffic capture is empty”，
应如何处理？　332
Q300　Traffic Capture分析数据包时如何对协议进行过滤？　332
Q301　Traffic Capture数据包捕获的时间范围是多少？　333
Q302　Traffic Capture数据包过滤技巧有哪些？　333
本章测试　333
附录　Snort安装包用途及安装路线　335