通常,安全专家需使用渗透测试的网络安全工具来测试网络和应用程序中的漏洞。在与黑客的博弈中,“兵器”好坏将直接左右战果。
以下网络安全工具大全,涵盖了在所有环境中执行渗透测试的操作,从入门到大神级,包罗万象。少侠,快来选个趁手的兵器吧!
扫描/渗透测试
OpenVAS:一个由多个服务和工具组成的框架,提供了全面而强大的漏洞扫描和漏洞管理解决方案功能。
Metasploit Framework:最佳的网络安全工具之一,用于针对远程目标计算机开发和执行漏洞利用代码。其他重要的子项目包括opcode,数据库,shellcode存档和相关研究。
Kali:Kali Linux是Debian衍生的Linux发行版,专为数字取证和渗透测试而设计。Kali Linux预先安装了许多渗透测试程序,包括nmap(端口扫描程序),Wireshark(数据包分析器),John the Ripper(密码破解程序)和Aircrack-ng(用于渗透测试无线局域网的软件套件)。
pig: 一个Linux数据包制作工具。
Scapy:一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对 数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。
Pompem:一个开源的网络安全工具,旨在自动搜索主要数据库中的漏洞。在Python中开发,有一个高级搜索系统,从而帮助渗透测试人员和白帽子的工作。在当前版本中,在数据库中执行搜索:Exploit-db,1337day,Packetstorm Security…
Nmap:一个用于网络开发和安全审计的免费开源实用程序。
监控/记录
justniffer:是一种网络协议分析工具,可以捕获网络流量并以自定义方式生成日志,可以模拟Apache Web服务器日志文件,跟踪响应时间并从HTTP流量中提取所有“被拦截”的文件。
httpry:是一种专用的数据包嗅探工具,用于捕获HTTP数据包,并将HTTP协议层的数据内容以可读形式列举出来。它的目的不是执行分析,而是捕获、解析和记录流量,以便以后进行分析。它可以实时运行,显示解析后的流量,也可以作为记录到输出文件的守护进程运行。
ngrep:是一个功能强大的网络数据包分析工具,它是一种应用于网络层的类似grep的工具,它匹配通过网络接口传递的流量。ngrep是一个pcap感知工具,可让您指定扩展的正则表达式或十六进制表达式,以便与数据包的数据有效载荷匹配。它目前可识别以太网,PPP,SLIP,FDDI,令牌环、IPv4 / 6,TCP,UDP,ICMPv4 / 6,IGMP和Raw,并以常见的数据包嗅探工具(如tcpdump和snoop)相同的方式理解BPF过滤器逻辑。
Passivedns:最好的网络安全工具之一,可以被动地收集DNS记录,以协助事件处理,网络安全监视(NSM)和常规数字取证。PassiveDNS会从接口嗅探流量或读取pcap文件,然后将DNS服务器响应输出到日志文件。PassiveDNS可以在内存中缓存/聚合重复的DNS应答,从而限制日志文件中的数据量,而不会丢失DNS响应中的信息。
sagan:是一个多线程、实时系统和事件日志监视软件。Sagan使用了类似于Snort的规则集检测网络或系统中的危险事件。
Node Security Platform:与Snyk功能相似,但在大多数情况下是免费的,而对于临时使用的用户来说非常划算。
ntopng:是一个网络流量探测工具,是原ntop的下一代版本,ntop是基于Libpcap和它被写在一个可移植的方式来运行在UNIX平台上,MacOSX和Win32一样。
Fibratus:是Windows内核漏洞跟踪和测试工具。它能够捕获大部分Windows内核活动-进程/线程创建和终止,文件系统I / O,注册表,网络活动,DLL加载/卸载等等。Fibratus有一个非常简单的CLI,它封装了用于启动内核流式事件处理收集器,设置内核事件过滤器或运行轻量级Python模块filters的工具。
IDS / IPS /主机IDS /主机IPS
Snort:是Martin Roesch于1998年创建的免费开放源代码网络入侵防御系统(NIPS)和网络入侵检测系统(NIDS)。Snort现在由Sourcefire开发,而Roesch是Sourcefire的创始人兼CTO。2009年,Snort作为“有史以来最伟大的开源软件之一”进入InfoWorld的开源榜单。
Bro:是一个功能强大的网络分析工具,与您可能知道的典型IDS有很大不同。
OSSEC:是一款开源的入侵检测系统。使用前需要花点时间了解它的工作原理。执行日志分析,文件完整性检查,策略监视,rootkit检测,实时警报和主动响应。它可以在大多数操作系统上运行,包括Linux,MacOS,Solaris,HP-UX,AIX和Windows。
Suricata:是高性能的网络IDS,IPS和网络安全监视引擎。Suricata项目和代码由开放信息安全基金会(OISF)拥有和支持,OISF是一个非盈利基金会,致力于确保Suricata作为一个开源项目的开发和持续成功。
Security Onion:是入侵检测系统,网络安全监视和日志管理的Linux发行版。它基于Ubuntu,包含Snort,Suricata,Bro,OSSEC,Sguil,Squit,Snorby,ELSA,Xplico,NetworkMiner和许多其他安全工具。镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
sshwatch:SSH的IPS类似于用Python编写的DenyHosts。它还可以在日志中收集攻击期间攻击者的信息。
Stealth:文件完整性检查程序。控制器从另一台计算机上运行,这使攻击者很难知道正在通过SSH以定义的伪随机间隔检查文件系统。强烈建议用于中小型部署。
AIEngine:下一代交互式/可编程Python / Ruby / Java / Lua和Go网络入侵检测系统引擎,具有学习功能,无需人工干预,DNS域分类,垃圾邮件检测,网络收集器,网络取证等等。
Denyhosts:DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。
Fail2Ban:扫描系统日志文件并对显示恶意行为的IP采取措施。
SSHGuard:用C语言编写的用于保护除SSH之外的服务的软件
Lynis:是一个为系统管理员提供的 Linux和Unix的审计工具 。
蜜罐
HoneyPy :是一种中低互动的蜜罐。它易于实现:部署,使用插件扩展功能以及应用自定义配置。
Dionaea:是nepenthes的继承者,将python作为脚本语言嵌入,使用libemu检测shellcode,支持ipv6和tls。
Conpot:是一个部署在服务端的低交互ICS蜜罐,易于部署、修改和扩展。开发者通过提供一系列的通用工控协议,使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。
Amun:基于Amun Python的低交互蜜罐。
Glastopf:是一个Web应用漏洞蜜罐软件,以从针对Web应用程序的攻击中收集数据。它可以对例如,结构化查询语言注入(SQLI),远程代码执行(RCE),本地文件包含(LFI ),远程文件包含(RFI)等攻击行为进行记录。
Kippo:是一种中等交互性SSH蜜罐,旨在记录暴力攻击,最重要的是,记录攻击者执行的整个shell交互。
Kojoney:是一个模拟SSH服务器的低交互蜜罐。守护进程是用Python编写的,使用Twisted Conch库。
HonSSH:是一种高交互的蜜罐解决方案。HonSSH将位于攻击者和蜜罐之间,从而可以创建两个独立的SSH链接
Bifrozt:是一个带有DHCP服务器的NAT设备,通常部署一个NIC直接连接到Internet,一个NIC连接到内部网络。Bifrozt与其他标准NAT设备的区别在于它能够在攻击者和蜜罐之间作为透明的SSHv2代理工作。
HoneyDrive:是一款Linux蜜罐系统。它是以虚拟设备(OVA)的方式安装在Xubuntu 12.04.4版本上面。它包含10多个预安装和预配置的蜜罐软件,例如Kippo SSH honeypot,Dionaea、Amun malware honeypots,Honeyd low-interaction honeypot,Glastopf web honeypot,Wordpot,Conpot SCADA/ICS honeypot,Thug,PhoneyC honeyclients等。
Cuckoo Sandbox:是一个开源软件,用于自动分析可疑文件。为此,它使用自定义组件来监视恶意进程在隔离环境中运行时的行为。
抓包工具
tcpflow:是一个免费的,开源的,功能强大的基于命令行的工具,它捕获作为TCP连接(流)的一部分传输的数据,并以便于协议分析和调试的方式存储数据。
Xplico:是一个从 pcap 文件中解析出IP流量数据的工具。可解析每个邮箱 (POP, IMAP, 和 SMTP 协议),所有 HTTP 内容,VoIP calls (SIP) 等等。Xplico并不是网络协议分析器。Xplico是一个开源的网络取证分析工具(NFAT)。
Moloch:是一个开源的大规模IPv4数据包捕获(PCAP),索引和数据库系统。为PCAP浏览、搜索和导出提供了一个简单的web界面。公开了允许直接下载PCAP数据和JSON格式会话数据的api。简单的安全性是通过使用HTTPS和HTTP摘要密码支持来实现的,或者是通过在前面使用apache来实现的。Moloch并不打算取代IDS引擎,而是与它们一起工作,以标准PCAP格式存储和索引所有网络流量,提供快速访问。Moloch被构建成可以跨多个系统部署,并且可以扩展到处理多个千兆位/秒的流量。
OpenFPC:是一组工具,它们结合在一起提供一个轻量级的全包网络流量记录器和缓冲系统。它的设计目标是允许非专业用户在COTS硬件上部署分布式网络流量记录器,同时集成到现有的警报和日志管理工具中。
Dshell:是一个网络取证分析框架。支持插件的快速开发,以支持对网络数据包捕获的分析。
stenographer:是一个全包捕获实用程序,用于将数据包缓冲到磁盘,以便进行入侵检测和事件响应。
嗅探工具
wirehark:是一个免费的开源数据包分析器。它用于网络故障排除,分析,软件和通信协议开发以及培训。Wireshark与tcpdump非常相似,但是具有图形化的前端,以及一些排序和过滤功能。
netsniff-ng:是一个免费的Linux网络工具包,如果你愿意的话,它是你日常Linux网络管道的瑞士军刀。通过零复制机制实现其性能提升,因此在数据包接收和传输时,内核不需要将数据包从内核空间复制到用户空间,反之亦然。
Live HTTP headers:是一个免费的firefox插件,可实时检测您的浏览器请求。它显示了请求的整个头部,并可用于查找实现中的安全漏洞。
SIEM工具
Prelude:是一个通用的“安全信息和事件管理”(SIEM)系统。Prelude收集、规范、分类、聚合、关联和报告所有与安全相关的事件,而不依赖于导致此类事件的产品品牌或许可证;Prelude是“无代理”。
OSSIM:是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。
FIR:快速事件响应,一种网络安全事件管理平台。
快速数据包处理
DPDK:是一组用于快速数据包处理的库和驱动程序。
PFQ:是一款针对Linux操作系统的功能性框架,可帮助研究人员捕捉网络传输数据包(10G、40G及以上),内核功能处理,内核绕过,以及获取多节点间的套接字/数据包。
PF_RING:是一种新型的网络套接字,可显着提高数据包捕获速度。
PF_RING ZC:是一个灵活的数据包处理框架,它允许您在任何数据包大小下实现1/10 Gbit线速数据包处理(RX和TX)。它实现了零复制操作,包括用于进程间和VM间(KVM)通信的模式。
PACKET_MMAP / TPACKET / AF_PACKET:在Linux中使用PACKET-MMAP可以提高捕获和传输过程的性能。
Netmap:高性能网络I/O框架。连同其配套的VALE软件开关,它被实现为单个内核模块,并且可用于FreeBSD,Linux以及现在的Windows。
防火墙
pfSense:是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在,并以可靠性著称,且提供往往只存在于昂贵商业防火墙才具有的特性。它可以通过WEB页面进行配置,升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙,路由器,无线接入点,DHCP服务器,DNS服务器和VPN端点。
OPNsense:是一个开源易用,而且易于构建的基于 FreeBSD 的防火墙和路由平台。包括大多数商业防火墙的特性。提供功能完整却易用的 GUI 管理界面。
fwknop:通过防火墙中的单数据包授权保护端口。
反垃圾邮件
SpamAssassin:一种强大且流行的电子邮件垃圾邮件过滤器,采用了多种检测技术。这款反垃圾工具是许多商业产品背后的"秘密武器(secret sauce)",同时,很多的电子邮件服务商和垃圾过滤(工具)提供商都在使用它。
参考及来源:https://gbhackers.com/network-security-tools/