2023年7月31日发(作者:)
⿊客⼯具软件⼤全100套(转)#1 Nessus:最好的UNIX漏洞扫描⼯具 Nessus 是最好的免费⽹络漏洞扫描器,它可以运⾏于⼏乎所有的UNIX平台之上。它不⽌永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端⽤户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的⼀种图形界⾯)图形界⾯,内置脚本语⾔编译器,可以⽤其编写⾃定义插件,或⽤来阅读别⼈写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除⾮您想获得最新的插件。#2 Wireshark:⽹络嗅探⼯具 Wireshark (2006年夏天之前叫做 Ethereal)是⼀款⾮常棒的Unix和Windows上的开源⽹络协议分析器。它可以实时检测⽹络通讯数据,也可以检测其抓取的⽹络通讯数据快照⽂件。可以通过图形界⾯浏览这些数据,可以查看⽹络通讯数据包中每⼀层的详细内容。Wireshark拥有许多强⼤的特性:包含有强显⽰过滤器语⾔(rich display filter language)和查看TCP会话重构流的能⼒;它更⽀持上百种协议和媒体类型; 拥有⼀个类似tcpdump(⼀个Linux下的⽹络协议分析⼯具)的名为tethereal的的命令⾏版本。不得不说⼀句,Ethereal已经饱受许多可远程利⽤的漏洞折磨,所以请经常对其进⾏升级,并在不安全⽹络或敌⽅⽹络(例如安全会议的⽹络)中谨慎使⽤之。#3 Snort:⼀款⼴受欢迎的开源IDS(Intrusion Detection System)(⼊侵检测系统)⼯具 这款⼩型的⼊侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进⾏协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕⾍病毒、漏洞、端⼝扫描以及其它可疑⾏为检测。Snort使⽤⼀种简单的基于规则的语⾔来描述⽹络通讯,以及判断对于⽹络数据是放⾏还是拦截,其检测引擎是模块化的。 ⽤于分析Snort警报的⽹页形式的引擎 Basic Analysis andSecurity Engine (BASE)可免费获得。 开源的Snort为个⼈、⼩企业、集团⽤户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试⽤,您也可以在Bleeding Edge Snort找到很多免费规则。#4 Netcat:⽹络瑞⼠军⼑ 这个简单的⼩⼯具可以读和写经过TCP或UDP⽹络连接的数据。它被设计成⼀个可靠的可以被其它程序或脚本直接和简单使⽤的后台⼯具。同时,它也是⼀个功能多样的⽹络调试和检查⼯具,因为它可以⽣成⼏乎所有您想要的⽹络连接,包括通过端⼝绑定来接受输⼊连接。Netcat最早由Hobbit在1995年发布,但在其⼴为流传的情况下并没有得到很好的维护。现在已经很难找了。这个简单易⽤的⼯具促使了很多⼈写出了很多其它Netcat应⽤,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以⽀持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强⼤的⼯具。它也在本列表中得到了⾃⼰的位置(第71位)。还有ChrisGibson's Ncat,能够提供更多对便携设备的⽀持。其它基于Netcat的⼯具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,⼜叫做GNU Netcat。#5 Metasploit Framework:⿊掉整个星球 2004年Metasploit的发布在安全界引发了强烈的地震。没有⼀款新⼯具能够⼀发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此⼯具更在5强之列,超过了很多⼴为流传的诞⽣了⼏⼗年的⽼牌⼯具。它是⼀个强⼤的开源平台,供开发、测试和使⽤恶意代码。这种可扩展的模型将负载控制、编码器、⽆操作⽣成器和漏洞整合在⼀起,使得Metasploit Framework成为⼀种研究⾼危漏洞的途径。它⾃带上百种漏洞,还可以在online exploit building demo(在线漏洞⽣成演⽰)看到如何⽣成漏洞。这使得您⾃⼰编写漏洞变得更简单,它势必将提升⾮法shellcode代码的⽔平,扩⼤⽹络阴暗⾯。与其相似的专业漏洞⼯具,例如Core Impact和Canvas已经被许多专业领域⽤户使⽤。Metasploit降低了这种能⼒的门槛,将其推⼴给⼤众。#6 Hping2:⼀种⽹络探测⼯具,是ping的超级变种 这个⼩⼯具可以发送⾃定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含⼀个⼩型的路由跟踪模块,并⽀持IP分段。此⼯具可以在常⽤⼯具⽆法对有防⽕墙保护的主机进⾏路由跟踪/ping/探测时⼤显⾝⼿。它经常可以帮助您找出防⽕墙的规则集,当然还可以通过它来学习TCP/IP协议,并作⼀些IP协议的实验。#7 Kismet:⼀款超强的⽆线嗅探器 Kismet是⼀款基于命令⾏(ncurses)的802.11 layer2⽆线⽹络探测器、嗅探器、和⼊侵检测系统。它对⽹络进⾏被动嗅探(相对于许多主动⼯具,例如NetStumbler),可以发现隐形⽹络(⾮信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来⾃动检测⽹络IP段,以Wireshark/TCPDump兼容格式记录通讯⽇志,更加可以将被检测到的⽹络分块并按照下载的分布图进⾏范围估计。如您所想,这款⼯具⼀般被wardriving所使⽤。嗯!还有warwalking、warflying和warskating……#8 Tcpdump:最经典的⽹络监控和数据捕获嗅探器 在Ethereal(Wireshark)出现之前⼤家都⽤Tcpdump,⽽且很多⼈现在还在⼀直使⽤。它也许没有Wireshark那么多花⾥胡哨的东西(⽐如漂亮的图形界⾯,亦或数以百计的应⽤协议逻辑分析),但它能出⾊的完成很多任务,并且漏洞⾮常少,消耗系统资源也⾮常少。它很少添加新特性了,但经常修复⼀些bug和维持较⼩的体积。它能很好的跟踪⽹络问题来源,并能监控⽹络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也⽤在Nmap等其它⼯具中。#9 Cain and Abel:Windows平台上最好的密码恢复⼯具 UNIX⽤户经常声称正是因为Unix平台下有很多⾮常好的免费安全⼯具,所以Unix才会成为最好的平台,⽽Windows平台⼀般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让⼈眼前⼀亮。这种只运⾏于Windows平台的密码恢复⼯具可以作很多事情。它可以通过嗅探⽹络来找到密码、利⽤字典破解加密密码、暴⼒破解密码和密码分析、记录VoIP会话、解码⾮常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其⽂档也很齐全(well documented)。#10 John the Ripper:⼀款强⼤的、简单的以及⽀持多平台的密码破解器 John the Ripper是最快的密码破解器,当前⽀持多种主流Unix (官⽅⽀持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它⽀持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从⼀些单词表开始的话,您可以在这⾥、这⾥和这⾥找到。#11 Ettercap:为交换式局域⽹提供更多保护 Ettercap是⼀款基于终端的以太⽹络局域⽹嗅探器/拦截器/⽇志器。它⽀持主动和被动的多种协议解析(甚⾄是ssh和https这种加密过的)。还可以进⾏已建⽴连接的数据注⼊和实时过滤,保持连接同步。⼤部分嗅探模式都是强⼤且全⾯的嗅探组合。⽀持插件。能够识别您是否出在交换式局域⽹中,通过使⽤操作系统指纹(主动或被动)技术可以得出局域⽹结构。#12 Nikto:⾮常全⾯的⽹页扫描器 Nikto是⼀款开源的(GPL)⽹页服务器扫描器,它可以对⽹页服务器进⾏全⾯的多种扫描,包含超过3200种有潜在危险的⽂件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以⾃动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是⼀款⾮常棒的⼯具,但其软件本⾝并不经常更新,最新和最危险的可能检测不到。#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令 虽然有很多重型的⾼科技⽹络安全⼯具,但是不要忘记其基础!所有⽹络安全⼈⼠都要对这些基本命令⾮常熟悉,因为它们对⼤多数平台都适⽤(在Windows平台上whois为tracert)。它们可以随⼿捏来,当然如果需要使⽤⼀些更⾼级的功能可以选择Hping2和Netcat。#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径 SSH(Secure Shell)现在普遍应⽤于登录远程计算机或在其上执⾏命令。它为不安全⽹络上的两台不互信计算机间通讯提供安全加密,代替⾮常不可靠的telnet/rlogin/rsh交互内容。⼤多UNIX使⽤开源的OpenSSH服务器和客户端程序。Windows⽤户更喜欢免费的PuTTY客户端,它也可以运⾏在多种移动设备上。还有⼀些Windows⽤户喜欢使⽤基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这⾥和这⾥找到。#15 THC Hydra:⽀持多种服务的最快的⽹络认证破解器 如果您需要暴⼒破解⼀个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端⼝进⾏基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap⼀样,此Hydra版本来⾃于民间组织THC。#16 Paros proxy:⽹页程序漏洞评估代理 基于Java的⽹页程序漏洞评估代理。⽀持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有⽹页通讯记录器、⽹页⼩偷(web spider)、哈希计算器和⼀个常⽤⽹页程序攻击扫描器,例如SQL注⼊和跨⽹站脚本等。#17 Dsniff:⼀款超强的⽹络评估和渗透检测⼯具套装 由Dug Song精⼼设计并⼴受欢迎的这款套装包含很多⼯具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视⽹络以获得敏感数据(例如密码、邮件地址、⽂件等)。Arpspoof、dnsspoof和macof能够拦截⼀般很难获取到的⽹络通讯信息(例如由于使⽤了第⼆层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进⾏重定向实施动态monkey-in-the-middle(利⽤中间⼈攻击技术,对会话进⾏劫持)攻击。Windows版本可以在这⾥获取。总之,这是⼀个⾮常有⽤的⼯具集。它能完成⼏乎所有密码嗅探需要作的⼯作。#18 NetStumbler:免费的Windows 802.11嗅探器 Netstumbler是⼴为⼈知的寻找开放⽆线访问接⼊点的Windows⼯具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运⾏在Windows平台上,且代码不公开。它使⽤很多主动⽅法寻找WAP,⽽Kismet或KisMAC则更多使⽤被动嗅探。#19 THC Amap:⼀款应⽤程序指纹扫描器 Amap是⼀款很棒的程序,它可以检测出某⼀端⼝正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap⼀样变得很⼤,在Nmap检测某⼀服务失败或者其它软件不起作⽤时可以考虑使⽤之。Amap的另⼀特性是其能够解析Nmap输出⽂件。这也是THC贡献的另⼀款很有价值的⼯具。#20 GFI LANguard:⼀款Windows平台上的商业⽹络安全扫描器 GFI LANguard通过对IP⽹络进⾏扫描来发现运⾏中的计算机,然后尝试收集主机上运⾏的操作系统版本和正在运⾏的应⽤程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、⽆线访问接⼊点、USB设备、开放的共享、开放的端⼝、正在运⾏的服务和应⽤程序、主要注册表项、弱密码、⽤户和组别以及其它更多信息。扫描结果保存在⼀份可⾃定义/可查询的HTML报告⽂档中。它还含有⼀个补丁管理器,可以检查并安装缺少的补丁。试⽤版可以免费获得,但只能使⽤30天。#21 Aircrack:最快的WEP/WPA破解⼯具 Aircrack是⼀套⽤于破解802.11a/b/g WEP和WPA的⼯具套装。⼀旦收集到⾜够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过⾼级加密⽅法或暴⼒破解来破解WPA 1或2⽹络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注⼊程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获⽂件)。#22 Superscan:只运⾏于Windows平台之上的端⼝扫描器、ping⼯具和解析器 SuperScan是⼀款Foundstone开发的免费的只运⾏于Windows平台之上的不开源的TCP/UDP端⼝扫描器。它其中还包含许多其它⽹络⼯具,例如ping、路由跟踪、http head和whois。#23 Netfilter:最新的Linux核⼼数据包过滤器/防⽕墙 Netfilter是⼀款强⼤的运⾏于标准Linux核⼼上的包过滤器。它集成了⽤户空间IP列表⼯具。当前,它⽀持包过滤(⽆状态或有状态)、所有类型的⽹络地址和端⼝转换(NAT/NAPT)并⽀持多API层第三⽅扩展。它包含多种不同模块⽤来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只⽤于OpenBSD)或者IP Filter。许多个⼈防⽕墙(personal firewalls)都⽀持Windows (Tiny、ZoneAlarm、Norton、),但都不提供上述IP列表。微软在Windows XP SP2中集成了⼀款⾮常基础的防⽕墙,如果您不安装它,它就会不断地提⽰您安装。#24 Sysinternals:⼀款强⼤的⾮常全⾯的Windows⼯具合集 Sysinternals为Windows低级⼊侵提供很多⾮常有⽤的⼩⼯具。其中⼀部分是免费的,有些还附有源代码,其它是需要付费使⽤的。受访者最喜欢此集合中的以下⼯具: ProcessExplorer 监视所有进程打开的所有⽂件和⽬录(类似Unix上的LSoF)。
PsTools 管理(执⾏、挂起、杀死、查看)本地和远程进程。
Autoruns 发现系统启动和登陆时加载了哪些可执⾏程序。
RootkitRevealer 检测注册表和⽂件系统API异常,⽤以发现⽤户模式或内核模式的rootkit⼯具。
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。
⽣产此软件的公司已被微软于2005年收购,所以其未来产品线特征⽆法预测。#25 Retina:eEye出品的商业漏洞评估扫描器 象Nessus⼀样,Retina的功能是扫描⽹络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research⽽闻名。#26 Perl / Python / Ruby:简单的、多⽤途的脚本语⾔ 常⽤的安全问题都能在⽹上找到⼯具解决,但使⽤脚本语⾔您可以编写您⾃⼰的(或编辑现有的)⼯具,当您需要解决某种特定问题的时候。快速、简单的脚本语⾔可以测试、发现漏洞甚⾄修复系统漏洞。CPAN上充满了类似Net::RawIP和执⾏协议的程序模块,可以使您的⼯作更加轻松。#27 L0phtcrack:Windows密码猜测和恢复程序 L0phtCrack也叫作LC5,⽤来尝试通过哈希(通过某种访问⽅式获得的)⽅法破解诸如Windows NT/2000⼯作站、联⽹服务器、主域控制器、或活动⽬录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种⼿段来猜测密码(字典、暴⼒破解等等)。Symantec公司2006年已经停⽌了LC5的开发,但LC5 installer的安装⽂件随处可以找到。免费试⽤版只能使⽤15天,Symantec已经停⽌出售此软件的注册码,所以如果您不想放弃使⽤它,就必须找到⼀个与其对应的注册码⽣成器(key generator)。因为Symantec不再维护此软件,所以最好尝试⽤Cain and Abel或John the Ripper来代替之。#28 Scapy:交互式数据包处理⼯具 Scapy是⼀款强⼤的交互式数据包处理⼯具、数据包⽣成器、⽹络扫描器、⽹络发现⼯具和包嗅探⼯具。它提供多种类别的交互式⽣成数据包或数据包集合、对数据包进⾏操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要⽤到Python编程知识(例如variables、loops、和functions)。⽀持⽣成报告,且报告⽣成简单。#29 Sam Spade:Windows⽹络查询免费⼯具 Sam Spade为许多⽹络查询的⼀般⼯作提供了图形界⾯和⽅便的操作。此⼯具设计⽤于跟踪垃圾信息发送者,但它还可以⽤于许多其它的⽹络探查、管理和安全⼯作。它包含许多有⽤的⼯具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP⽹页浏览器、DNS地址转换、SMTP中继检查、⽹站搜索等等。⾮Windows⽤户可以在线使⽤更多其它⼯具。#30 GnuPG / PGP :对您的⽂件和通讯进⾏⾼级加密 PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是⼀款⼝碑很好的遵守PGP标准的开源应⽤(可执⾏程序名为gpg)。GunPG是免费的,⽽PGP对某些⽤户是收费的。#31 Airsnort:802.11 WEP加密破解⼯具 AirSnort是⼀款⽤来恢复加密密码的⽆线LAN(WLAN)⼯具。Shmoo Group出品,⼯作原理是被动监控传输信息,当收集到⾜够多的数据包后开始计算加密密码。Aircrack和它很像。#32 BackTrack:⼀款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘⾃启动Linux系统平台 这款卓越的光盘⾃启动Linux系统是由Whax和Auditor合并⽽成。它以其超级多的安全和防护⼯具配以丰富的开发环境⽽闻名。重点在于它的⽤户模块化设计,⽤户可以⾃定义将哪些模块刻到光盘上,例如⾃⼰编写的脚本、附加⼯具、⾃定义内核等等。#33 P0f:万能的被动操作系统指纹⼯具 P0f能够通过捕获并分析⽬标主机发出的数据包来对主机上的操作系统进⾏鉴别,即使是在系统上装有性能良好的防⽕墙的情况下也没有问题。P0f不增加任何直接或间接的⽹络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些⾼⼿还可以⽤P0f检测出主机上是否有防⽕墙存在、是否有NAT、是否存在负载平衡器等等!#34 Google:⼈⼈喜爱的搜索引擎 Google当然不是什么安全⼯具,但是它超级庞⼤的数据库却是安全专家和⼊侵者最好的资源。如果您想了解某⼀公司,您可以直接⽤它搜索 “site:”,您可以获得员⼯姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现⼀个有某个漏洞的⽹站,Google还会提供给您其它有相同漏洞的⽹站列表。其中利⽤Google进⾏⿊客活动的⼤师Johny Long建⽴了⼀个Google⿊客数据库(Google Hacking Database)还出版了⼀本如何⽤Google进⾏⿊客活动的书Google Hacking for Penetration Testers。#35 WebScarab:⼀个⽤来分析使⽤HTTP和HTTPS协议的应⽤程序框架 它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使⽤者可以通过多种形式来查看记录。WebScarab的设计⽬的是让使⽤者可以掌握某种基于HTTP(S)程序的运作过程;也可以⽤它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。#36 Ntop:⽹络通讯监控器 Ntop以类似进程管理器的⽅式显⽰⽹络使⽤情况。在应⽤程序模式下,它能显⽰⽤户终端上的⽹络状况。在⽹页模式下,它作为⽹页服务器,以HTML⽂档形式显⽰⽹络状况。它是NetFlow/sFlow发射和收集器,通过⼀个基于HTTP的客户端界⾯来⽣成以ntop为中⼼的监控程序,RRD(Round Robin Database)(环形数据库)⽤来持续储存⽹络通讯状态信息。#37 Tripwire:很⽼的⽂件完整性检查器 ⼀款⽂件和⽬录完整性检查器。Tripwire是⼀种可以帮助系统管理员和⼀般⽤户监控某⼀特定⽂件或⽬录变化的⼯具。可以⽤以对系统⽂件作⽇常(例如:每天)检查,Tripwire可以向系统管理员通报⽂件损坏或被篡改情况,所以这是⼀种周期性的⽂件破坏控制⽅法。免费的开源Linux版本可以在下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows⽤户请使⽤Sysinternals出品的RootkitRevealer。#38 Ngrep:⽅便的数据包匹配和显⽰⼯具 ngrep尽可能多的去实现GNU grep的功能,将它们应⽤于⽹络层。Ngrep是⼀款pcap-aware⼯具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进⾏匹配。当前⽀持TCP、UDP、以太⽹上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接⼝(nullinterfaces),还能理解类似Tcpdump和snoop等⼀样形式的bpf过滤器逻辑。#39 Nbtscan:在Windows⽹络上收集NetBIOS信息 NBTscan是⼀款在IP⽹络上扫描NetBIOS名称信息的⼯具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使⽤者。每⼀地址的反馈信息包括IP地址、NetBIOS计算机名、登录⽤户、MAC地址。#40 WebInspect:强⼤的⽹页程序扫描器 SPI Dynamics' WebInspect应⽤程序安全评估⼯具帮您识别已知和未知的⽹页层漏洞。它还能检测到Web服务器的配置属性,以及进⾏常见的⽹页攻击,例如参数注⼊、跨⽹站脚本、⽬录游⾛等等。#41 OpenSSL:最好的SSL/TLS加密库 OpenSSL项⽬的⽬的是通过开源合作精神开发⼀种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应⽤于SSLv2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适⽤的加密库⼯具集。本项⽬由世界范围内的志愿者们维护,他们通过互联⽹联络、计划和开发OpenSSL⼯具集及其相关⽂档。#42 Xprobe2:主动操作系统指纹⼯具 XProbe是⼀款远程主机操作系统探查⼯具。开发者基于和Nmap相同的⼀些技术(same techniques),并加⼊了⾃⼰的创新。Xprobe通过ICMP协议来获得指纹。#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界⾯⽹络监控器 包含连接层、IP和TCP三种模式,EtherApe⽹络活动图通过不同颜⾊来标识不同协议。主机和连接的图形⼤⼩随通讯情况⽽变化。它⽀持以太⽹、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤⽹络通讯,也可以抓取⽹络通讯快照⽂件。#44 Core Impact:全⾃动的全⾯⼊侵检测⼯具 Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测⼯具。它有⼀个强⼤的定时更新的专业漏洞数据库,它可以轻易的⿊掉⼀台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看⽐较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时⽤是最好的了。#45 IDA Pro:Windows或Linux反编译器和调试器 反编译器是⼀块很重要的安全研究⽅向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以⼆进制的⽅式对某个服务器进⾏检测,以找出为何某个存在的漏洞不起作⽤。反编译器有很多,但IDA Pro是遵守⼆进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析⼯具。这个图形化的、可编程的、可扩展的、⽀持多处理器的反编译器现在有了⼀个和Windows⼀模⼀样的Linux(命令⾏模式)版本。#46 SolarWinds:⽹络发现/监控/攻击系列⼯具 SolarWinds⽣产和销售了许多专业的系统管理⼯具。安全相关的包括许多⽹络发现扫描器、⼀个SNMP暴⼒破解器、路由器密码解密器、TCP连接重置程序、最快最易⽤的⼀个路由器设置下载和上传程序等等。#47 Pwdump:⼀款Windows密码恢复⼯具 Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,⽆论系统密码是否启⽤。它还能显⽰系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以⽂件形式输出数据。#48 LSoF:打开⽂件列表 这是⼀款Unix平台上的诊断和研究⼯具,它可以列举当前所有进程打开的⽂件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的⼯具有Sysinternals。#49 RainbowCrack:极具创新性的密码哈希破解器 RainbowCrack是⼀款使⽤了⼤规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解⼯具。传统的暴⼒破解⼯具会尝试每⼀个可能的密码,要破解复杂的密码会很费时。RainbowCrack运⽤时间交换技术对破解时间进⾏预计算,并将计算结果存⼊⼀个名叫"rainbow tables"的表⾥。预计算确实也会花费较长时间,但相对暴⼒破解来说则短多了,⽽且⼀旦预计算完成破解开始,那么破解所需要的时间就⾮常⾮常短了。#50 Firewalk:⾼级路由跟踪⼯具 Firewalk使⽤类似路由跟踪的技术来分析IP数据包反馈,以确定⽹关ACL过滤器类型和⽹络结构。这款经典的⼯具在2002年⼗⽉由scratch重写。这款⼯具的⼤部分功能Hping2的路由跟踪部分也都能实现#51 Angry IP Scanner:⼀款⾮常快的Windows IP 扫描器和端⼝扫描器 Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端⼝扫描。它的体积⾮常的⼩,它还可以通过挂载插件(a fewplugins)来获得主机其它信息。#52 RKHunter:⼀款Unix平台上的Rootkit检测器 RKHunter是⼀款检测例如rootkit、后门、漏洞等恶意程序的⼯具。它采⽤多种检测⼿段,包括MD5哈希值对⽐、rootkits原始⽂件名检测、⽂件权限检测,以及LKM和KLD模块中的可疑字符串检测。#53 Ike-scan:VPN检测器和扫描器 Ike-scan是⼀款检测IKE(Internet Key Exchange)服务传输特性的⼯具,IKE是VPN⽹络中服务器和远程客户端建⽴连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN⽹中的每⼀主机。只要是运⾏IKE的主机就会发回反馈来证明它存在。此⼯具然后对这些反馈数据包进⾏记录和显⽰,并将它们与⼀系列已知的VPN产品指纹进⾏对⽐。Ike-scan的VPN指纹包含来⾃Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。#54 Arpwatch:持续跟踪以太⽹/IP地址配对,可以检查出中间⼈攻击 Arpwatch是LBNL⽹络研究组出品的⼀款经典的ARP中间⼈(man-in-the-middle)攻击检测器。它记录⽹路活动的系统⽇志,并将特定的变更通过Email报告给管理员。Arpwatch使⽤LibPcap来监听本地以太⽹接⼝ARP数据包。#55 KisMAC:⼀款Mac OS X上的图形化被动⽆线⽹络搜寻器 这款Mac OS X下⾮常流⾏的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令⾏的,⽽KisMac有很漂亮的图形化界⾯,在OS X上出现得也⽐Kismet早。它同时还提供映射、Pcap兼容格式数据输⼊、登录和⼀些解密、验证破解功能。#56 OSSEC HIDS:⼀款开源的基于主机的⼊侵检测系统 OSSEC HIDS的主要功能有⽇志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有⼊侵检测系统功能外,它还⼀般被⽤在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决⽅案中。因其强⼤的⽇志分析引擎,ISP(Internet service provider)(⽹络服务提供商)、⼤学和数据中⼼⽤其监控和分析他们的防⽕墙、⼊侵检测系统、⽹页服务和验证等产⽣的⽇志。#57 Openbsd PF:OpenBSD数据包过滤器 象其它平台上的Netfilter和IP Filter⼀样,OpenBSD⽤户最爱⽤PF,这就是他们的防⽕墙⼯具。它的功能有⽹络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有⼀些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同⼀批⼈编写的,所以您完全可以放⼼使⽤,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。#58 Nemesis:简单的数据包注⼊ Nemesis项⽬设计⽬的是为Unix/Linux(现在也包含Windows了)提供⼀个基于命令⾏的、⼩巧的、⼈性化的IP堆栈。此⼯具套装按协议分类,并允许对已注⼊的数据包流使⽤简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。#59 Tor:匿名⽹络通讯系统 Tor是⼀款⾯向希望提⾼其⽹络安全性的⼴⼤组织和⼤众的⼯具集。Tor的功能有匿名⽹页浏览和发布、即时信息、irc、ssh以及其它⼀些TCP协议相关的功能。Tor还为软件开发者提供⼀个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界⾯。#60 Knoppix:⼀款多⽤途的CD或DVD光盘⾃启动系统 Knoppix由⼀系列典型的GNU/Linux软件组成,可以⾃动检测硬件环境,⽀持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为⼀款⾼效的Linux光盘系统,可以胜任例如桌⾯系统、Linux教学光盘、救援系统等多种⽤途,经过这次在nmap中调查证实,它也是⼀款很⼩巧的安全⼯具。如果要使⽤更专业的Linux安全系统请看BackTrack。#61 ISS Internet Scanner:应⽤程序漏洞扫描器 Internet Scanner是由Christopher Klaus在92年编写的⼀款开源的扫描器⼯具。现在这款⼯具已经演变成了⼀个市值上亿美元⽣产⽆数安全产品的公司。#62 Fport:Foundstone出品的加强版netstat Fport可以报告所有本地机上打开的TCP/IP和UDP端⼝,并显⽰是何程序打开的端⼝。所以⽤它可以快速识别出未知的开放端⼝以及与其相关的应⽤程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请⽤'netstat -pan')。SANS article有Fport的使⽤说明和结果分析⽅法。#63 chkrootkit:本地rootkit检测器 chkrootkit是⼀款⼩巧易⽤的Unix平台上的可以检测多种rootkit⼊侵的⼯具。它的功能包括检测⽂件修改、utmp/wtmp/last⽇志修改、界⾯欺骗(promiscuous interfaces)、恶意核⼼模块(malicious kernel modules)。#64 SPIKE Proxy:HTTP攻击 Spike Proxy是⼀款开源的以发现⽹站漏洞为⽬的的HTTP代理。它是Spike Application Testing Suite的⼀部分,功能包括⾃动SQL注⼊检测、 ⽹站爬⾏(web site crawling)、登录列表暴⼒破解、溢出检测和⽬录游⾛检测。#65 OpenBSD:被认为是最安全的操作系统 OpenBSD是将安全作为操作系统⾸要任务的操作系统之⼀,甚⾄有时安全性级别要⾼于易⽤性,所以它骄⼈的安全性是不⾔⽽喻的。OpenBSD也⾮常重视系统的稳定性和对硬件的⽀持能⼒。也许他们最伟⼤的创举就是创造了OpenSSH。 OpenBSD⽤户对此系统之上的[pf](OpenBSD上的防⽕墙⼯具,本列表中第57位有介绍)也褒奖有佳。#66 Yersinia:⼀款⽀持多协议的底层攻击⼯具 Yersinia是⼀款底层协议攻击⼊侵检测⼯具。它能实施针对多种协议的多种攻击。例如夺取⽣成树的根⾓⾊(⽣成树协议:SpanningTree Protocol),⽣成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在⼀个HSRP(热等待路由协议:Hot StandbyRouter Protocol)环境中虚拟成⼀个活动的路由器、制造假DHCP反馈,以及其它底层攻击。#67 Nagios:⼀款开源的主机、服务和⽹络监控程序 Nagios是⼀款系统和⽹络监控程序。它可以监视您指定的主机和服务,当被监视对象发⽣任何问题或问题被解决时发出提⽰信息。它的主要功能有监控⽹络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使⽤情况等等)、当发现问题或问题解决时通过多种形式发出提⽰信息(Email、寻呼机或其它⽤户定义的⽅式)。#68 Fragroute/Fragrouter:⼀款⽹络⼊侵检测逃避⼯具集 Fragrouter 是⼀款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多⼊侵检测系统都不能重建⼀段被视为⼀个整体的⽹络数据(通过IP分段和TCP流重组),详情请见这篇⽂章(this classic paper)。Fragrouter可以帮助骇客在逃避⼊侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的⼀部分。Fragroute是Dug song出品的另⼀款和Fragrouter相似的⼯具。#69 X-scan:⼀款⽹络漏洞扫描器 ⼀款多线程、⽀持插件的漏洞扫描器。X-Scan主要功能有全⾯⽀持NASL(Nessus攻击脚本语⾔:Nessus Attack ScriptingLanguage)、检测服务类型、远程操作系统类型(版本)检测、弱⽤户名/密码匹配等等。最新版本可以在这⾥获取。请注意这是⼀个中⽂⽹站(原⽂为英⽂,所以原⽂作者提醒英⽂读者这是个中⽂⽹站)。#70 Whisker/libwhisker:出品的CGI漏洞扫描器和漏洞库 Libwhisker是⼀款Perl模板集⽤来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是⼀款基于libwhisker的扫描器,但是现在⼤家都趋向于使⽤Nikto,它也是基于libwhisker的。#71 Socat:双向数据传输中继 类似于Netcat的⼯具,可以⼯作于许多协议之上,运⾏于⽂件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中⽤于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接⼝、作为IP6中继、将⾯向TCP的程序重定向成串⾏线路(SerialLine)程序、或者建⽴⽤来运⾏客户端或服务器带有⽹络连接的shell脚本相关安全环境(su和chroot)。#72 Sara:安全评审研究助⼿ SARA是⼀款源于infamous SATAN扫描器的漏洞评估⼯具。此⼯具⼤约两个⽉更新⼀次,出品此⼯具的开源社区还维护着Nmap和Samba。#73 QualysGuard:基于⽹页的漏洞扫描器 在⽹站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应⽤程序的负担。客户端可以安全的通过⼀个简单易⽤的⽹页访问QualysGuard。QualysGuard含有5000种以上的单⼀漏洞检查,⼀个基于推理的扫描引擎,⽽且漏洞知识库⾃动天天升级。#74 ClamAV:⼀款UNIX平台上的基于GPL(通⽤公开许可证:General Public License)的反病毒⼯具集 ClamAV是⼀款强⼤的注重邮件服务器附件扫描的反病毒扫描器。它含有⼀个⼩巧的可升级的多线程daemon、⼀个命令⾏扫描器和⾃动升级⼯具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应⽤于您⾃⼰的软件中,但是别忘了经常升级。#75 cheops / cheops-ng:提供许多简单的⽹络⼯具,例如本地或远程⽹络映射和识别计算机操作系统 Cheops提供许多好⽤的图形化⽤户界⾯⽹络⼯具。它含有主机/⽹络发现功能,也就是主机操作系统检测。Cheops-ng⽤来探查主机上运⾏的服务。针对某些服务,cheops-ng可以探查到运⾏服务的应⽤程序是什么,以及程序的版本号。Cheops已经停⽌开发和维护,所以请最好使⽤cheops-ng。#76 Burpsuite:⼀款⽹页程序攻击集成平台 Burp suite允许攻击者结合⼿⼯和⾃动技术去枚举、分析、攻击⽹页程序。这些不同的burp⼯具通过协同⼯作,有效的分享信息,⽀持以某种⼯具中的信息为基础供另⼀种⼯具使⽤从⽽发动攻击。#77 Brutus:⼀款⽹络验证暴⼒破解器 这款Windows平台上的暴⼒破解器通过字典猜测远程系统⽹络服务密码。它⽀持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。#78 Unicornscan:另类端⼝扫描器 Unicornscan是⼀款通过尝试连接⽤户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端⼝扫描器。它试图为研究⼈员提供⼀种可以刺激TCP/IP设备和⽹络并度量反馈的超级接⼝。它主要功能包括带有所有TCP变种标记的异步⽆状态TCP扫描、异步⽆状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应⽤程序、组件信息。它和Scanrand⼀样都是另类扫描器。#79 Stunnel:⽤途⼴泛的SSL加密封装器 stunnel⽤来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进⾏封装。它可以在不修改任何代码的情况下,为⼀般的使⽤inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使⽤OpenSSL或SSLeay库建⽴SSL连接。#80 Honeyd:您私⼈的蜜罐系统 Honeyd是⼀个可以在⽹络上创建虚拟主机的⼩型daemon。可以对此虚拟主机的服务和TCP进⾏配置,使其在⽹络中看起来是在运⾏某种操作系统。Honeyd可以使⼀台主机在局域⽹中模拟出多个地址以满⾜⽹络实验环境的要求。虚拟主机可以被ping通,也可以对它们进⾏路由跟踪。通过对配置⽂件进⾏设置可以使虚拟计算机模拟运⾏任何服务。也可以使⽤服务代理替代服务模拟。它的库有很多,所以编译和安装Honeyd⽐较难。#81 Fping:⼀个多主机同时ping扫描程序 fping是⼀款类似ping(1)(ping(1)是通过ICMP(⽹络控制信息协议Internet Control Message Protocol)协议回复请求以检测主机是否存在)的程序。Fping与ping不同的地⽅在于,您可以在命令⾏中指定要ping的主机数量范围,也可以指定含有要ping的主机列表⽂件。与ping要等待某⼀主机连接超时或发回反馈信息不同,fping给⼀个主机发送完数据包后,马上给下⼀个主机发送数据包,实现多主机同时ping。如果某⼀主机ping通,则此主机将被打上标记,并从等待列表中移除,如果没ping通,说明主机⽆法到达,主机仍然留在等待列表中,等待后续操作。#82 BASE:基础分析和安全引擎(Basic Analysis and Security Engine) BASE是⼀款基于PHP的可以搜索和实施安全事件的分析引擎,她的安全事件数据库来源于很多⼊侵检测系统、防⽕墙、⽹络检测⼯具⽣成的安全事件。它的功能包括⼀个查找⽣成器和搜索界⾯,⽤来搜索漏洞;⼀个数据包浏览器(解码器);还可以根据时间、传感器、信号、协议和IP地址等⽣成状态图。#83 Argus:IP⽹络事务评审⼯具 Argus是⼀款固定模型的实时的流量监视器,⽤来跟踪和报告数据⽹络通讯流中所有事务的状态和性能。Argus为流量评估定制了⼀种数据格式,其中包括连通性、容量、请求、丢包、延迟和波动,这些就作为评估事务的元素。这种数据格式灵活易扩展,⽀持常⽤流量标识和度量,还可以获得指定的应⽤程序/协议的信息。#84 Wikto:⽹页服务器评估⼯具 Wikto是⼀款检查⽹页服务器漏洞的⼯具。它和Nikto类似,但是添加了很多其它功能,例如⼀个整合了Google的后台发掘器。Wikto⼯作于MS ..NET环境下,下载此软件和源代码需要注册。#85 Sguil:⽹络安全监控器命令⾏分析器 Sguil(按sgweel发⾳)是由network security analysts出品的⽹络安全分析⼯具。Sguil的主要组件就是⼀个Snort/barnyard实时事件显⽰界⾯。它还包含⼀些⽹络安全监控的辅助⼯具和事件驱动的⼊侵检测系统分析报告。#86 Scanrand:⼀个异常快速的⽆状态⽹络服务和拓朴结构发现系统 Scanrand是⼀款类似Unicornscan的⽆状态主机发现和端⼝扫描⼯具。它以降低可靠性来换取异常快的速度,还使⽤了加密技术防⽌⿊客修改扫描结果。此⼯具是Dan Kaminsky出品的Paketto Keiretsu的⼀部分。#87 IP Filter:⼩巧的UNIX数据包过滤器 IP Filter是⼀款软件包,可以实现⽹络地址转换(network address translation)(NAT)或者防⽕墙服务的功能。它可以作为UNIX的⼀个核⼼模块,也可以不嵌⼊核⼼,强烈推荐将其作为UNIX的核⼼模块。安装和为系统⽂件打补丁要使⽤脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使⽤Openbsd PF,Linux⽤户可以使⽤Netfilter。#88 Canvas:⼀款全⾯的漏洞检测框架 Canvas是Aitel's ImmunitySec出品的⼀款漏洞检测⼯具。它包含150个以上的漏洞,它⽐Core Impact便宜⼀些,但是它也价值数千美元。您也可以通过购买VisualSploit Plugin实现在图形界⾯上通过拖拽就可以⽣成漏洞。Canvas偶尔也会发现⼀些ODay漏洞。#89 VMware:多平台虚拟软件 VMware虚拟软件允许您在⼀个系统中虚拟运⾏另⼀个系统。这对于安全专家在多平台下测试代码和漏洞⾮常有⽤。它只运⾏在Windows和Linux平台上,但它可以虚拟运⾏⼏乎所有的x86操作系统。它对建⽴沙箱(sandboxes)也⾮常有⽤。在VMware虚拟系统上感染了恶意软件不会影响到宿主机器,可以通过加载快照⽂件恢复被感染了的虚拟系统。VMware不能创建虚拟系统的镜像⽂件。VMware最近刚刚宣布免费。另⼀款在Linux下颇受瞩⽬的虚拟平台软件是Xen。#90 Tcptraceroute:⼀款基于TCP数据包的路由跟踪⼯具 现代⽹络⼴泛使⽤防⽕墙,导致传统路由跟踪⼯具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以⽆法进⾏完整的路由跟踪。尽管如此,许多情况下,防⽕墙会准许反向(inbound)TCP数据包通过防⽕墙到达指定端⼝,这些端⼝是主机内防⽕墙背后的⼀些程序和外界连接⽤的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透⼤多数防⽕墙。#91 SAINT:安全管理综合⽹络⼯具 SAINT象Nessus、ISS Internet Scanner和Retina⼀样,也是⼀款商业漏洞评估⼯具。它以前是运⾏在UNIX系统之上的免费开源⼯具,但现在收费了。#92 OpenVPN:全功能SSL VPN解决⽅案 OpenVPN是⼀款开源的SSL VPN⼯具包,它可以实现很多功能,包括远程登录、站对站VPN、WiFi安全、带有负载平衡的企业级远程登录解决⽅案、节点控制移交(failover)、严密的访问控制。OpenVPN运⾏于OSI 2层或3层安全⽹络,使⽤SSL/TLS⼯业标准协议,⽀持灵活的基于证书、智能卡、⼆元验证的客户端验证⽅法,允许在VPN虚拟接⼝上使⽤防⽕墙规则作为⽤户或指定⽤户组的访问控制策略。OpenVPN使⽤OpenSSL作为其⾸选加密库#93 OllyDbg:汇编级Windows调试器 OllyDbg是⼀款微软Windows平台上的32位汇编级的分析调试器。因其直接对⼆进制代码进⾏分析,所以在⽆法获得源代码的时候它⾮常有⽤。OllyDbg含有⼀个图形⽤户界⾯,它的⾼级代码分析器可以识别过程、循环、API调⽤、交换、表、常量和字符串,它可以加载运⾏时程序,⽀持多线程。OllyDbg可以免费下载,但不开源。#94 Helix:⼀款注重安全防护的Linux版本 Helix是⼀款⾃定义版本的Knoppix⾃启动Linux光盘系统。Helix远不⽌是⼀张⾃启动光盘。除了光盘启动到⾃定义的Linux环境,还具有超强的硬件⽀持能⼒,包含许多应付各种问题的软件。Helix尽量少的接触主机软硬资源。Helix不⾃动加载交换(swap)空间,不⾃动加载其它任何外围设备。Helix还可以⾃动加载Windows,以应对意外情况。#95 Bastille:Linux、Mac OS X和HP-UX的安全加强脚本 Bastille使操作系统固若⾦汤,减少系统遭受危险的可能,增加系统的安全性。Bastille还可以评估系统当前的安全性,周期性的报告每⼀项安全设置及其⼯作情况。Bastille当前⽀持Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake这些Linux版本,还有HP-UX和Mac OS X。Bastille旨在使系统⽤户和管理员了解如何加固系统。在其默认的最坚固模式下,它不断的询问⽤户问题,并对这些问题加以解释,根据⽤户对问题不同的回答选择不同的应对策略。在其评估模式下,它会⽣成⼀份报告旨在告诉⽤户有哪些安全设置可⽤,同时也提⽰⽤户哪些设置被加固了。#96 Acunetix Web Vulnerability Scanner:商业漏洞扫描器 Acunetix WVS⾃动检查您的⽹页程序漏洞,例如SQL注⼊、跨⽹站脚本和验证页⾯弱密码破解。Acunetix WVS有着⾮常友好的⽤户界⾯,还可以⽣成个性化的⽹站安全评估报告。#97 TrueCrypt:开源的Windows和Linux磁盘加密软件 TrueCrypt是⼀款⾮常出⾊的开源磁盘加密系统。⽤户可以加密整个⽂件系统,它可以实时加密/解密⽽不需要⽤户⼲涉,只要事先输⼊密码。⾮常巧妙的hidden volume特性允许您对特别敏感的内容进⾏第⼆层加密来隐藏它的存在。所以就算加密系统的密码暴露,⿊客也不知道还有隐藏内容存在。#98 Watchfire AppScan:商业⽹页漏洞扫描器 AppScan按照应⽤程序开发⽣命周期进⾏安全测试,早在开发阶段就进⾏单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨⽹站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。#99 N-Stealth:⽹页服务器扫描器 N-Stealth是⼀款⽹页服务器安全扫描器。它⽐Whisker/libwhisker和Nikto这些免费的⽹页扫描器升级得更频繁,但是它⽹站上声称的可以扫描30000种漏洞(30000 vulnerabilities and exploits)和每天添加数⼗种漏洞(Dozens of vulnerability checks are added every day)的说法是很值得怀疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara这些防⼊侵⼯具都含有⽹页扫描组件,它们都很难做到每⽇更新。N-Stealth运⾏于Windows平台之上,且不开源。#100 MBSA:微软基准安全分析器(Microsoft Baseline Security Analyzer) Microsoft Baseline Security Analyzer(MBSA)是⼀款简单易⽤的⼯具,帮助IT专业⼈员检测其⼩型和中型商业应⽤的安全性,将⽤户系统与微软安全建议(Microsoft security recommendations)进⾏⽐对,并给出特定的建议指导。通过与Windows内置的Windows⾃动升级代理器(Windows Update Agent)和微软⾃动升级基础架构(Microsoft Update infrastructure)的协作,MBSA能够保证和其它微软管理产品的数据保持⼀致,它们包括微软⾃动升级(Microsoft Update(MU))、Windows服务器⾃动升级服务(Windows Server UpdateServices(WSUS))、系统管理服务器(Systems Management Server(SMS))和微软运⾏管理器(Microsoft OperationsManager(MOM))。MBSA平均每周要扫描3百万台电脑。
2023年7月31日发(作者:)
⿊客⼯具软件⼤全100套(转)#1 Nessus:最好的UNIX漏洞扫描⼯具 Nessus 是最好的免费⽹络漏洞扫描器,它可以运⾏于⼏乎所有的UNIX平台之上。它不⽌永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端⽤户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的⼀种图形界⾯)图形界⾯,内置脚本语⾔编译器,可以⽤其编写⾃定义插件,或⽤来阅读别⼈写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除⾮您想获得最新的插件。#2 Wireshark:⽹络嗅探⼯具 Wireshark (2006年夏天之前叫做 Ethereal)是⼀款⾮常棒的Unix和Windows上的开源⽹络协议分析器。它可以实时检测⽹络通讯数据,也可以检测其抓取的⽹络通讯数据快照⽂件。可以通过图形界⾯浏览这些数据,可以查看⽹络通讯数据包中每⼀层的详细内容。Wireshark拥有许多强⼤的特性:包含有强显⽰过滤器语⾔(rich display filter language)和查看TCP会话重构流的能⼒;它更⽀持上百种协议和媒体类型; 拥有⼀个类似tcpdump(⼀个Linux下的⽹络协议分析⼯具)的名为tethereal的的命令⾏版本。不得不说⼀句,Ethereal已经饱受许多可远程利⽤的漏洞折磨,所以请经常对其进⾏升级,并在不安全⽹络或敌⽅⽹络(例如安全会议的⽹络)中谨慎使⽤之。#3 Snort:⼀款⼴受欢迎的开源IDS(Intrusion Detection System)(⼊侵检测系统)⼯具 这款⼩型的⼊侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进⾏协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕⾍病毒、漏洞、端⼝扫描以及其它可疑⾏为检测。Snort使⽤⼀种简单的基于规则的语⾔来描述⽹络通讯,以及判断对于⽹络数据是放⾏还是拦截,其检测引擎是模块化的。 ⽤于分析Snort警报的⽹页形式的引擎 Basic Analysis andSecurity Engine (BASE)可免费获得。 开源的Snort为个⼈、⼩企业、集团⽤户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试⽤,您也可以在Bleeding Edge Snort找到很多免费规则。#4 Netcat:⽹络瑞⼠军⼑ 这个简单的⼩⼯具可以读和写经过TCP或UDP⽹络连接的数据。它被设计成⼀个可靠的可以被其它程序或脚本直接和简单使⽤的后台⼯具。同时,它也是⼀个功能多样的⽹络调试和检查⼯具,因为它可以⽣成⼏乎所有您想要的⽹络连接,包括通过端⼝绑定来接受输⼊连接。Netcat最早由Hobbit在1995年发布,但在其⼴为流传的情况下并没有得到很好的维护。现在已经很难找了。这个简单易⽤的⼯具促使了很多⼈写出了很多其它Netcat应⽤,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以⽀持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强⼤的⼯具。它也在本列表中得到了⾃⼰的位置(第71位)。还有ChrisGibson's Ncat,能够提供更多对便携设备的⽀持。其它基于Netcat的⼯具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,⼜叫做GNU Netcat。#5 Metasploit Framework:⿊掉整个星球 2004年Metasploit的发布在安全界引发了强烈的地震。没有⼀款新⼯具能够⼀发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此⼯具更在5强之列,超过了很多⼴为流传的诞⽣了⼏⼗年的⽼牌⼯具。它是⼀个强⼤的开源平台,供开发、测试和使⽤恶意代码。这种可扩展的模型将负载控制、编码器、⽆操作⽣成器和漏洞整合在⼀起,使得Metasploit Framework成为⼀种研究⾼危漏洞的途径。它⾃带上百种漏洞,还可以在online exploit building demo(在线漏洞⽣成演⽰)看到如何⽣成漏洞。这使得您⾃⼰编写漏洞变得更简单,它势必将提升⾮法shellcode代码的⽔平,扩⼤⽹络阴暗⾯。与其相似的专业漏洞⼯具,例如Core Impact和Canvas已经被许多专业领域⽤户使⽤。Metasploit降低了这种能⼒的门槛,将其推⼴给⼤众。#6 Hping2:⼀种⽹络探测⼯具,是ping的超级变种 这个⼩⼯具可以发送⾃定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含⼀个⼩型的路由跟踪模块,并⽀持IP分段。此⼯具可以在常⽤⼯具⽆法对有防⽕墙保护的主机进⾏路由跟踪/ping/探测时⼤显⾝⼿。它经常可以帮助您找出防⽕墙的规则集,当然还可以通过它来学习TCP/IP协议,并作⼀些IP协议的实验。#7 Kismet:⼀款超强的⽆线嗅探器 Kismet是⼀款基于命令⾏(ncurses)的802.11 layer2⽆线⽹络探测器、嗅探器、和⼊侵检测系统。它对⽹络进⾏被动嗅探(相对于许多主动⼯具,例如NetStumbler),可以发现隐形⽹络(⾮信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来⾃动检测⽹络IP段,以Wireshark/TCPDump兼容格式记录通讯⽇志,更加可以将被检测到的⽹络分块并按照下载的分布图进⾏范围估计。如您所想,这款⼯具⼀般被wardriving所使⽤。嗯!还有warwalking、warflying和warskating……#8 Tcpdump:最经典的⽹络监控和数据捕获嗅探器 在Ethereal(Wireshark)出现之前⼤家都⽤Tcpdump,⽽且很多⼈现在还在⼀直使⽤。它也许没有Wireshark那么多花⾥胡哨的东西(⽐如漂亮的图形界⾯,亦或数以百计的应⽤协议逻辑分析),但它能出⾊的完成很多任务,并且漏洞⾮常少,消耗系统资源也⾮常少。它很少添加新特性了,但经常修复⼀些bug和维持较⼩的体积。它能很好的跟踪⽹络问题来源,并能监控⽹络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也⽤在Nmap等其它⼯具中。#9 Cain and Abel:Windows平台上最好的密码恢复⼯具 UNIX⽤户经常声称正是因为Unix平台下有很多⾮常好的免费安全⼯具,所以Unix才会成为最好的平台,⽽Windows平台⼀般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让⼈眼前⼀亮。这种只运⾏于Windows平台的密码恢复⼯具可以作很多事情。它可以通过嗅探⽹络来找到密码、利⽤字典破解加密密码、暴⼒破解密码和密码分析、记录VoIP会话、解码⾮常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其⽂档也很齐全(well documented)。#10 John the Ripper:⼀款强⼤的、简单的以及⽀持多平台的密码破解器 John the Ripper是最快的密码破解器,当前⽀持多种主流Unix (官⽅⽀持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它⽀持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从⼀些单词表开始的话,您可以在这⾥、这⾥和这⾥找到。#11 Ettercap:为交换式局域⽹提供更多保护 Ettercap是⼀款基于终端的以太⽹络局域⽹嗅探器/拦截器/⽇志器。它⽀持主动和被动的多种协议解析(甚⾄是ssh和https这种加密过的)。还可以进⾏已建⽴连接的数据注⼊和实时过滤,保持连接同步。⼤部分嗅探模式都是强⼤且全⾯的嗅探组合。⽀持插件。能够识别您是否出在交换式局域⽹中,通过使⽤操作系统指纹(主动或被动)技术可以得出局域⽹结构。#12 Nikto:⾮常全⾯的⽹页扫描器 Nikto是⼀款开源的(GPL)⽹页服务器扫描器,它可以对⽹页服务器进⾏全⾯的多种扫描,包含超过3200种有潜在危险的⽂件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以⾃动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是⼀款⾮常棒的⼯具,但其软件本⾝并不经常更新,最新和最危险的可能检测不到。#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令 虽然有很多重型的⾼科技⽹络安全⼯具,但是不要忘记其基础!所有⽹络安全⼈⼠都要对这些基本命令⾮常熟悉,因为它们对⼤多数平台都适⽤(在Windows平台上whois为tracert)。它们可以随⼿捏来,当然如果需要使⽤⼀些更⾼级的功能可以选择Hping2和Netcat。#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径 SSH(Secure Shell)现在普遍应⽤于登录远程计算机或在其上执⾏命令。它为不安全⽹络上的两台不互信计算机间通讯提供安全加密,代替⾮常不可靠的telnet/rlogin/rsh交互内容。⼤多UNIX使⽤开源的OpenSSH服务器和客户端程序。Windows⽤户更喜欢免费的PuTTY客户端,它也可以运⾏在多种移动设备上。还有⼀些Windows⽤户喜欢使⽤基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这⾥和这⾥找到。#15 THC Hydra:⽀持多种服务的最快的⽹络认证破解器 如果您需要暴⼒破解⼀个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端⼝进⾏基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap⼀样,此Hydra版本来⾃于民间组织THC。#16 Paros proxy:⽹页程序漏洞评估代理 基于Java的⽹页程序漏洞评估代理。⽀持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有⽹页通讯记录器、⽹页⼩偷(web spider)、哈希计算器和⼀个常⽤⽹页程序攻击扫描器,例如SQL注⼊和跨⽹站脚本等。#17 Dsniff:⼀款超强的⽹络评估和渗透检测⼯具套装 由Dug Song精⼼设计并⼴受欢迎的这款套装包含很多⼯具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视⽹络以获得敏感数据(例如密码、邮件地址、⽂件等)。Arpspoof、dnsspoof和macof能够拦截⼀般很难获取到的⽹络通讯信息(例如由于使⽤了第⼆层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进⾏重定向实施动态monkey-in-the-middle(利⽤中间⼈攻击技术,对会话进⾏劫持)攻击。Windows版本可以在这⾥获取。总之,这是⼀个⾮常有⽤的⼯具集。它能完成⼏乎所有密码嗅探需要作的⼯作。#18 NetStumbler:免费的Windows 802.11嗅探器 Netstumbler是⼴为⼈知的寻找开放⽆线访问接⼊点的Windows⼯具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运⾏在Windows平台上,且代码不公开。它使⽤很多主动⽅法寻找WAP,⽽Kismet或KisMAC则更多使⽤被动嗅探。#19 THC Amap:⼀款应⽤程序指纹扫描器 Amap是⼀款很棒的程序,它可以检测出某⼀端⼝正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap⼀样变得很⼤,在Nmap检测某⼀服务失败或者其它软件不起作⽤时可以考虑使⽤之。Amap的另⼀特性是其能够解析Nmap输出⽂件。这也是THC贡献的另⼀款很有价值的⼯具。#20 GFI LANguard:⼀款Windows平台上的商业⽹络安全扫描器 GFI LANguard通过对IP⽹络进⾏扫描来发现运⾏中的计算机,然后尝试收集主机上运⾏的操作系统版本和正在运⾏的应⽤程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、⽆线访问接⼊点、USB设备、开放的共享、开放的端⼝、正在运⾏的服务和应⽤程序、主要注册表项、弱密码、⽤户和组别以及其它更多信息。扫描结果保存在⼀份可⾃定义/可查询的HTML报告⽂档中。它还含有⼀个补丁管理器,可以检查并安装缺少的补丁。试⽤版可以免费获得,但只能使⽤30天。#21 Aircrack:最快的WEP/WPA破解⼯具 Aircrack是⼀套⽤于破解802.11a/b/g WEP和WPA的⼯具套装。⼀旦收集到⾜够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过⾼级加密⽅法或暴⼒破解来破解WPA 1或2⽹络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注⼊程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获⽂件)。#22 Superscan:只运⾏于Windows平台之上的端⼝扫描器、ping⼯具和解析器 SuperScan是⼀款Foundstone开发的免费的只运⾏于Windows平台之上的不开源的TCP/UDP端⼝扫描器。它其中还包含许多其它⽹络⼯具,例如ping、路由跟踪、http head和whois。#23 Netfilter:最新的Linux核⼼数据包过滤器/防⽕墙 Netfilter是⼀款强⼤的运⾏于标准Linux核⼼上的包过滤器。它集成了⽤户空间IP列表⼯具。当前,它⽀持包过滤(⽆状态或有状态)、所有类型的⽹络地址和端⼝转换(NAT/NAPT)并⽀持多API层第三⽅扩展。它包含多种不同模块⽤来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只⽤于OpenBSD)或者IP Filter。许多个⼈防⽕墙(personal firewalls)都⽀持Windows (Tiny、ZoneAlarm、Norton、),但都不提供上述IP列表。微软在Windows XP SP2中集成了⼀款⾮常基础的防⽕墙,如果您不安装它,它就会不断地提⽰您安装。#24 Sysinternals:⼀款强⼤的⾮常全⾯的Windows⼯具合集 Sysinternals为Windows低级⼊侵提供很多⾮常有⽤的⼩⼯具。其中⼀部分是免费的,有些还附有源代码,其它是需要付费使⽤的。受访者最喜欢此集合中的以下⼯具: ProcessExplorer 监视所有进程打开的所有⽂件和⽬录(类似Unix上的LSoF)。
PsTools 管理(执⾏、挂起、杀死、查看)本地和远程进程。
Autoruns 发现系统启动和登陆时加载了哪些可执⾏程序。
RootkitRevealer 检测注册表和⽂件系统API异常,⽤以发现⽤户模式或内核模式的rootkit⼯具。
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。
⽣产此软件的公司已被微软于2005年收购,所以其未来产品线特征⽆法预测。#25 Retina:eEye出品的商业漏洞评估扫描器 象Nessus⼀样,Retina的功能是扫描⽹络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research⽽闻名。#26 Perl / Python / Ruby:简单的、多⽤途的脚本语⾔ 常⽤的安全问题都能在⽹上找到⼯具解决,但使⽤脚本语⾔您可以编写您⾃⼰的(或编辑现有的)⼯具,当您需要解决某种特定问题的时候。快速、简单的脚本语⾔可以测试、发现漏洞甚⾄修复系统漏洞。CPAN上充满了类似Net::RawIP和执⾏协议的程序模块,可以使您的⼯作更加轻松。#27 L0phtcrack:Windows密码猜测和恢复程序 L0phtCrack也叫作LC5,⽤来尝试通过哈希(通过某种访问⽅式获得的)⽅法破解诸如Windows NT/2000⼯作站、联⽹服务器、主域控制器、或活动⽬录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种⼿段来猜测密码(字典、暴⼒破解等等)。Symantec公司2006年已经停⽌了LC5的开发,但LC5 installer的安装⽂件随处可以找到。免费试⽤版只能使⽤15天,Symantec已经停⽌出售此软件的注册码,所以如果您不想放弃使⽤它,就必须找到⼀个与其对应的注册码⽣成器(key generator)。因为Symantec不再维护此软件,所以最好尝试⽤Cain and Abel或John the Ripper来代替之。#28 Scapy:交互式数据包处理⼯具 Scapy是⼀款强⼤的交互式数据包处理⼯具、数据包⽣成器、⽹络扫描器、⽹络发现⼯具和包嗅探⼯具。它提供多种类别的交互式⽣成数据包或数据包集合、对数据包进⾏操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要⽤到Python编程知识(例如variables、loops、和functions)。⽀持⽣成报告,且报告⽣成简单。#29 Sam Spade:Windows⽹络查询免费⼯具 Sam Spade为许多⽹络查询的⼀般⼯作提供了图形界⾯和⽅便的操作。此⼯具设计⽤于跟踪垃圾信息发送者,但它还可以⽤于许多其它的⽹络探查、管理和安全⼯作。它包含许多有⽤的⼯具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP⽹页浏览器、DNS地址转换、SMTP中继检查、⽹站搜索等等。⾮Windows⽤户可以在线使⽤更多其它⼯具。#30 GnuPG / PGP :对您的⽂件和通讯进⾏⾼级加密 PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是⼀款⼝碑很好的遵守PGP标准的开源应⽤(可执⾏程序名为gpg)。GunPG是免费的,⽽PGP对某些⽤户是收费的。#31 Airsnort:802.11 WEP加密破解⼯具 AirSnort是⼀款⽤来恢复加密密码的⽆线LAN(WLAN)⼯具。Shmoo Group出品,⼯作原理是被动监控传输信息,当收集到⾜够多的数据包后开始计算加密密码。Aircrack和它很像。#32 BackTrack:⼀款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘⾃启动Linux系统平台 这款卓越的光盘⾃启动Linux系统是由Whax和Auditor合并⽽成。它以其超级多的安全和防护⼯具配以丰富的开发环境⽽闻名。重点在于它的⽤户模块化设计,⽤户可以⾃定义将哪些模块刻到光盘上,例如⾃⼰编写的脚本、附加⼯具、⾃定义内核等等。#33 P0f:万能的被动操作系统指纹⼯具 P0f能够通过捕获并分析⽬标主机发出的数据包来对主机上的操作系统进⾏鉴别,即使是在系统上装有性能良好的防⽕墙的情况下也没有问题。P0f不增加任何直接或间接的⽹络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些⾼⼿还可以⽤P0f检测出主机上是否有防⽕墙存在、是否有NAT、是否存在负载平衡器等等!#34 Google:⼈⼈喜爱的搜索引擎 Google当然不是什么安全⼯具,但是它超级庞⼤的数据库却是安全专家和⼊侵者最好的资源。如果您想了解某⼀公司,您可以直接⽤它搜索 “site:”,您可以获得员⼯姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现⼀个有某个漏洞的⽹站,Google还会提供给您其它有相同漏洞的⽹站列表。其中利⽤Google进⾏⿊客活动的⼤师Johny Long建⽴了⼀个Google⿊客数据库(Google Hacking Database)还出版了⼀本如何⽤Google进⾏⿊客活动的书Google Hacking for Penetration Testers。#35 WebScarab:⼀个⽤来分析使⽤HTTP和HTTPS协议的应⽤程序框架 它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使⽤者可以通过多种形式来查看记录。WebScarab的设计⽬的是让使⽤者可以掌握某种基于HTTP(S)程序的运作过程;也可以⽤它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。#36 Ntop:⽹络通讯监控器 Ntop以类似进程管理器的⽅式显⽰⽹络使⽤情况。在应⽤程序模式下,它能显⽰⽤户终端上的⽹络状况。在⽹页模式下,它作为⽹页服务器,以HTML⽂档形式显⽰⽹络状况。它是NetFlow/sFlow发射和收集器,通过⼀个基于HTTP的客户端界⾯来⽣成以ntop为中⼼的监控程序,RRD(Round Robin Database)(环形数据库)⽤来持续储存⽹络通讯状态信息。#37 Tripwire:很⽼的⽂件完整性检查器 ⼀款⽂件和⽬录完整性检查器。Tripwire是⼀种可以帮助系统管理员和⼀般⽤户监控某⼀特定⽂件或⽬录变化的⼯具。可以⽤以对系统⽂件作⽇常(例如:每天)检查,Tripwire可以向系统管理员通报⽂件损坏或被篡改情况,所以这是⼀种周期性的⽂件破坏控制⽅法。免费的开源Linux版本可以在下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows⽤户请使⽤Sysinternals出品的RootkitRevealer。#38 Ngrep:⽅便的数据包匹配和显⽰⼯具 ngrep尽可能多的去实现GNU grep的功能,将它们应⽤于⽹络层。Ngrep是⼀款pcap-aware⼯具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进⾏匹配。当前⽀持TCP、UDP、以太⽹上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接⼝(nullinterfaces),还能理解类似Tcpdump和snoop等⼀样形式的bpf过滤器逻辑。#39 Nbtscan:在Windows⽹络上收集NetBIOS信息 NBTscan是⼀款在IP⽹络上扫描NetBIOS名称信息的⼯具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使⽤者。每⼀地址的反馈信息包括IP地址、NetBIOS计算机名、登录⽤户、MAC地址。#40 WebInspect:强⼤的⽹页程序扫描器 SPI Dynamics' WebInspect应⽤程序安全评估⼯具帮您识别已知和未知的⽹页层漏洞。它还能检测到Web服务器的配置属性,以及进⾏常见的⽹页攻击,例如参数注⼊、跨⽹站脚本、⽬录游⾛等等。#41 OpenSSL:最好的SSL/TLS加密库 OpenSSL项⽬的⽬的是通过开源合作精神开发⼀种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应⽤于SSLv2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适⽤的加密库⼯具集。本项⽬由世界范围内的志愿者们维护,他们通过互联⽹联络、计划和开发OpenSSL⼯具集及其相关⽂档。#42 Xprobe2:主动操作系统指纹⼯具 XProbe是⼀款远程主机操作系统探查⼯具。开发者基于和Nmap相同的⼀些技术(same techniques),并加⼊了⾃⼰的创新。Xprobe通过ICMP协议来获得指纹。#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界⾯⽹络监控器 包含连接层、IP和TCP三种模式,EtherApe⽹络活动图通过不同颜⾊来标识不同协议。主机和连接的图形⼤⼩随通讯情况⽽变化。它⽀持以太⽹、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤⽹络通讯,也可以抓取⽹络通讯快照⽂件。#44 Core Impact:全⾃动的全⾯⼊侵检测⼯具 Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测⼯具。它有⼀个强⼤的定时更新的专业漏洞数据库,它可以轻易的⿊掉⼀台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看⽐较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时⽤是最好的了。#45 IDA Pro:Windows或Linux反编译器和调试器 反编译器是⼀块很重要的安全研究⽅向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以⼆进制的⽅式对某个服务器进⾏检测,以找出为何某个存在的漏洞不起作⽤。反编译器有很多,但IDA Pro是遵守⼆进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析⼯具。这个图形化的、可编程的、可扩展的、⽀持多处理器的反编译器现在有了⼀个和Windows⼀模⼀样的Linux(命令⾏模式)版本。#46 SolarWinds:⽹络发现/监控/攻击系列⼯具 SolarWinds⽣产和销售了许多专业的系统管理⼯具。安全相关的包括许多⽹络发现扫描器、⼀个SNMP暴⼒破解器、路由器密码解密器、TCP连接重置程序、最快最易⽤的⼀个路由器设置下载和上传程序等等。#47 Pwdump:⼀款Windows密码恢复⼯具 Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,⽆论系统密码是否启⽤。它还能显⽰系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以⽂件形式输出数据。#48 LSoF:打开⽂件列表 这是⼀款Unix平台上的诊断和研究⼯具,它可以列举当前所有进程打开的⽂件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的⼯具有Sysinternals。#49 RainbowCrack:极具创新性的密码哈希破解器 RainbowCrack是⼀款使⽤了⼤规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解⼯具。传统的暴⼒破解⼯具会尝试每⼀个可能的密码,要破解复杂的密码会很费时。RainbowCrack运⽤时间交换技术对破解时间进⾏预计算,并将计算结果存⼊⼀个名叫"rainbow tables"的表⾥。预计算确实也会花费较长时间,但相对暴⼒破解来说则短多了,⽽且⼀旦预计算完成破解开始,那么破解所需要的时间就⾮常⾮常短了。#50 Firewalk:⾼级路由跟踪⼯具 Firewalk使⽤类似路由跟踪的技术来分析IP数据包反馈,以确定⽹关ACL过滤器类型和⽹络结构。这款经典的⼯具在2002年⼗⽉由scratch重写。这款⼯具的⼤部分功能Hping2的路由跟踪部分也都能实现#51 Angry IP Scanner:⼀款⾮常快的Windows IP 扫描器和端⼝扫描器 Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端⼝扫描。它的体积⾮常的⼩,它还可以通过挂载插件(a fewplugins)来获得主机其它信息。#52 RKHunter:⼀款Unix平台上的Rootkit检测器 RKHunter是⼀款检测例如rootkit、后门、漏洞等恶意程序的⼯具。它采⽤多种检测⼿段,包括MD5哈希值对⽐、rootkits原始⽂件名检测、⽂件权限检测,以及LKM和KLD模块中的可疑字符串检测。#53 Ike-scan:VPN检测器和扫描器 Ike-scan是⼀款检测IKE(Internet Key Exchange)服务传输特性的⼯具,IKE是VPN⽹络中服务器和远程客户端建⽴连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN⽹中的每⼀主机。只要是运⾏IKE的主机就会发回反馈来证明它存在。此⼯具然后对这些反馈数据包进⾏记录和显⽰,并将它们与⼀系列已知的VPN产品指纹进⾏对⽐。Ike-scan的VPN指纹包含来⾃Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。#54 Arpwatch:持续跟踪以太⽹/IP地址配对,可以检查出中间⼈攻击 Arpwatch是LBNL⽹络研究组出品的⼀款经典的ARP中间⼈(man-in-the-middle)攻击检测器。它记录⽹路活动的系统⽇志,并将特定的变更通过Email报告给管理员。Arpwatch使⽤LibPcap来监听本地以太⽹接⼝ARP数据包。#55 KisMAC:⼀款Mac OS X上的图形化被动⽆线⽹络搜寻器 这款Mac OS X下⾮常流⾏的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令⾏的,⽽KisMac有很漂亮的图形化界⾯,在OS X上出现得也⽐Kismet早。它同时还提供映射、Pcap兼容格式数据输⼊、登录和⼀些解密、验证破解功能。#56 OSSEC HIDS:⼀款开源的基于主机的⼊侵检测系统 OSSEC HIDS的主要功能有⽇志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有⼊侵检测系统功能外,它还⼀般被⽤在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决⽅案中。因其强⼤的⽇志分析引擎,ISP(Internet service provider)(⽹络服务提供商)、⼤学和数据中⼼⽤其监控和分析他们的防⽕墙、⼊侵检测系统、⽹页服务和验证等产⽣的⽇志。#57 Openbsd PF:OpenBSD数据包过滤器 象其它平台上的Netfilter和IP Filter⼀样,OpenBSD⽤户最爱⽤PF,这就是他们的防⽕墙⼯具。它的功能有⽹络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有⼀些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同⼀批⼈编写的,所以您完全可以放⼼使⽤,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。#58 Nemesis:简单的数据包注⼊ Nemesis项⽬设计⽬的是为Unix/Linux(现在也包含Windows了)提供⼀个基于命令⾏的、⼩巧的、⼈性化的IP堆栈。此⼯具套装按协议分类,并允许对已注⼊的数据包流使⽤简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。#59 Tor:匿名⽹络通讯系统 Tor是⼀款⾯向希望提⾼其⽹络安全性的⼴⼤组织和⼤众的⼯具集。Tor的功能有匿名⽹页浏览和发布、即时信息、irc、ssh以及其它⼀些TCP协议相关的功能。Tor还为软件开发者提供⼀个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界⾯。#60 Knoppix:⼀款多⽤途的CD或DVD光盘⾃启动系统 Knoppix由⼀系列典型的GNU/Linux软件组成,可以⾃动检测硬件环境,⽀持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为⼀款⾼效的Linux光盘系统,可以胜任例如桌⾯系统、Linux教学光盘、救援系统等多种⽤途,经过这次在nmap中调查证实,它也是⼀款很⼩巧的安全⼯具。如果要使⽤更专业的Linux安全系统请看BackTrack。#61 ISS Internet Scanner:应⽤程序漏洞扫描器 Internet Scanner是由Christopher Klaus在92年编写的⼀款开源的扫描器⼯具。现在这款⼯具已经演变成了⼀个市值上亿美元⽣产⽆数安全产品的公司。#62 Fport:Foundstone出品的加强版netstat Fport可以报告所有本地机上打开的TCP/IP和UDP端⼝,并显⽰是何程序打开的端⼝。所以⽤它可以快速识别出未知的开放端⼝以及与其相关的应⽤程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请⽤'netstat -pan')。SANS article有Fport的使⽤说明和结果分析⽅法。#63 chkrootkit:本地rootkit检测器 chkrootkit是⼀款⼩巧易⽤的Unix平台上的可以检测多种rootkit⼊侵的⼯具。它的功能包括检测⽂件修改、utmp/wtmp/last⽇志修改、界⾯欺骗(promiscuous interfaces)、恶意核⼼模块(malicious kernel modules)。#64 SPIKE Proxy:HTTP攻击 Spike Proxy是⼀款开源的以发现⽹站漏洞为⽬的的HTTP代理。它是Spike Application Testing Suite的⼀部分,功能包括⾃动SQL注⼊检测、 ⽹站爬⾏(web site crawling)、登录列表暴⼒破解、溢出检测和⽬录游⾛检测。#65 OpenBSD:被认为是最安全的操作系统 OpenBSD是将安全作为操作系统⾸要任务的操作系统之⼀,甚⾄有时安全性级别要⾼于易⽤性,所以它骄⼈的安全性是不⾔⽽喻的。OpenBSD也⾮常重视系统的稳定性和对硬件的⽀持能⼒。也许他们最伟⼤的创举就是创造了OpenSSH。 OpenBSD⽤户对此系统之上的[pf](OpenBSD上的防⽕墙⼯具,本列表中第57位有介绍)也褒奖有佳。#66 Yersinia:⼀款⽀持多协议的底层攻击⼯具 Yersinia是⼀款底层协议攻击⼊侵检测⼯具。它能实施针对多种协议的多种攻击。例如夺取⽣成树的根⾓⾊(⽣成树协议:SpanningTree Protocol),⽣成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在⼀个HSRP(热等待路由协议:Hot StandbyRouter Protocol)环境中虚拟成⼀个活动的路由器、制造假DHCP反馈,以及其它底层攻击。#67 Nagios:⼀款开源的主机、服务和⽹络监控程序 Nagios是⼀款系统和⽹络监控程序。它可以监视您指定的主机和服务,当被监视对象发⽣任何问题或问题被解决时发出提⽰信息。它的主要功能有监控⽹络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使⽤情况等等)、当发现问题或问题解决时通过多种形式发出提⽰信息(Email、寻呼机或其它⽤户定义的⽅式)。#68 Fragroute/Fragrouter:⼀款⽹络⼊侵检测逃避⼯具集 Fragrouter 是⼀款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多⼊侵检测系统都不能重建⼀段被视为⼀个整体的⽹络数据(通过IP分段和TCP流重组),详情请见这篇⽂章(this classic paper)。Fragrouter可以帮助骇客在逃避⼊侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的⼀部分。Fragroute是Dug song出品的另⼀款和Fragrouter相似的⼯具。#69 X-scan:⼀款⽹络漏洞扫描器 ⼀款多线程、⽀持插件的漏洞扫描器。X-Scan主要功能有全⾯⽀持NASL(Nessus攻击脚本语⾔:Nessus Attack ScriptingLanguage)、检测服务类型、远程操作系统类型(版本)检测、弱⽤户名/密码匹配等等。最新版本可以在这⾥获取。请注意这是⼀个中⽂⽹站(原⽂为英⽂,所以原⽂作者提醒英⽂读者这是个中⽂⽹站)。#70 Whisker/libwhisker:出品的CGI漏洞扫描器和漏洞库 Libwhisker是⼀款Perl模板集⽤来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是⼀款基于libwhisker的扫描器,但是现在⼤家都趋向于使⽤Nikto,它也是基于libwhisker的。#71 Socat:双向数据传输中继 类似于Netcat的⼯具,可以⼯作于许多协议之上,运⾏于⽂件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中⽤于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接⼝、作为IP6中继、将⾯向TCP的程序重定向成串⾏线路(SerialLine)程序、或者建⽴⽤来运⾏客户端或服务器带有⽹络连接的shell脚本相关安全环境(su和chroot)。#72 Sara:安全评审研究助⼿ SARA是⼀款源于infamous SATAN扫描器的漏洞评估⼯具。此⼯具⼤约两个⽉更新⼀次,出品此⼯具的开源社区还维护着Nmap和Samba。#73 QualysGuard:基于⽹页的漏洞扫描器 在⽹站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应⽤程序的负担。客户端可以安全的通过⼀个简单易⽤的⽹页访问QualysGuard。QualysGuard含有5000种以上的单⼀漏洞检查,⼀个基于推理的扫描引擎,⽽且漏洞知识库⾃动天天升级。#74 ClamAV:⼀款UNIX平台上的基于GPL(通⽤公开许可证:General Public License)的反病毒⼯具集 ClamAV是⼀款强⼤的注重邮件服务器附件扫描的反病毒扫描器。它含有⼀个⼩巧的可升级的多线程daemon、⼀个命令⾏扫描器和⾃动升级⼯具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应⽤于您⾃⼰的软件中,但是别忘了经常升级。#75 cheops / cheops-ng:提供许多简单的⽹络⼯具,例如本地或远程⽹络映射和识别计算机操作系统 Cheops提供许多好⽤的图形化⽤户界⾯⽹络⼯具。它含有主机/⽹络发现功能,也就是主机操作系统检测。Cheops-ng⽤来探查主机上运⾏的服务。针对某些服务,cheops-ng可以探查到运⾏服务的应⽤程序是什么,以及程序的版本号。Cheops已经停⽌开发和维护,所以请最好使⽤cheops-ng。#76 Burpsuite:⼀款⽹页程序攻击集成平台 Burp suite允许攻击者结合⼿⼯和⾃动技术去枚举、分析、攻击⽹页程序。这些不同的burp⼯具通过协同⼯作,有效的分享信息,⽀持以某种⼯具中的信息为基础供另⼀种⼯具使⽤从⽽发动攻击。#77 Brutus:⼀款⽹络验证暴⼒破解器 这款Windows平台上的暴⼒破解器通过字典猜测远程系统⽹络服务密码。它⽀持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。#78 Unicornscan:另类端⼝扫描器 Unicornscan是⼀款通过尝试连接⽤户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端⼝扫描器。它试图为研究⼈员提供⼀种可以刺激TCP/IP设备和⽹络并度量反馈的超级接⼝。它主要功能包括带有所有TCP变种标记的异步⽆状态TCP扫描、异步⽆状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应⽤程序、组件信息。它和Scanrand⼀样都是另类扫描器。#79 Stunnel:⽤途⼴泛的SSL加密封装器 stunnel⽤来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进⾏封装。它可以在不修改任何代码的情况下,为⼀般的使⽤inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使⽤OpenSSL或SSLeay库建⽴SSL连接。#80 Honeyd:您私⼈的蜜罐系统 Honeyd是⼀个可以在⽹络上创建虚拟主机的⼩型daemon。可以对此虚拟主机的服务和TCP进⾏配置,使其在⽹络中看起来是在运⾏某种操作系统。Honeyd可以使⼀台主机在局域⽹中模拟出多个地址以满⾜⽹络实验环境的要求。虚拟主机可以被ping通,也可以对它们进⾏路由跟踪。通过对配置⽂件进⾏设置可以使虚拟计算机模拟运⾏任何服务。也可以使⽤服务代理替代服务模拟。它的库有很多,所以编译和安装Honeyd⽐较难。#81 Fping:⼀个多主机同时ping扫描程序 fping是⼀款类似ping(1)(ping(1)是通过ICMP(⽹络控制信息协议Internet Control Message Protocol)协议回复请求以检测主机是否存在)的程序。Fping与ping不同的地⽅在于,您可以在命令⾏中指定要ping的主机数量范围,也可以指定含有要ping的主机列表⽂件。与ping要等待某⼀主机连接超时或发回反馈信息不同,fping给⼀个主机发送完数据包后,马上给下⼀个主机发送数据包,实现多主机同时ping。如果某⼀主机ping通,则此主机将被打上标记,并从等待列表中移除,如果没ping通,说明主机⽆法到达,主机仍然留在等待列表中,等待后续操作。#82 BASE:基础分析和安全引擎(Basic Analysis and Security Engine) BASE是⼀款基于PHP的可以搜索和实施安全事件的分析引擎,她的安全事件数据库来源于很多⼊侵检测系统、防⽕墙、⽹络检测⼯具⽣成的安全事件。它的功能包括⼀个查找⽣成器和搜索界⾯,⽤来搜索漏洞;⼀个数据包浏览器(解码器);还可以根据时间、传感器、信号、协议和IP地址等⽣成状态图。#83 Argus:IP⽹络事务评审⼯具 Argus是⼀款固定模型的实时的流量监视器,⽤来跟踪和报告数据⽹络通讯流中所有事务的状态和性能。Argus为流量评估定制了⼀种数据格式,其中包括连通性、容量、请求、丢包、延迟和波动,这些就作为评估事务的元素。这种数据格式灵活易扩展,⽀持常⽤流量标识和度量,还可以获得指定的应⽤程序/协议的信息。#84 Wikto:⽹页服务器评估⼯具 Wikto是⼀款检查⽹页服务器漏洞的⼯具。它和Nikto类似,但是添加了很多其它功能,例如⼀个整合了Google的后台发掘器。Wikto⼯作于MS ..NET环境下,下载此软件和源代码需要注册。#85 Sguil:⽹络安全监控器命令⾏分析器 Sguil(按sgweel发⾳)是由network security analysts出品的⽹络安全分析⼯具。Sguil的主要组件就是⼀个Snort/barnyard实时事件显⽰界⾯。它还包含⼀些⽹络安全监控的辅助⼯具和事件驱动的⼊侵检测系统分析报告。#86 Scanrand:⼀个异常快速的⽆状态⽹络服务和拓朴结构发现系统 Scanrand是⼀款类似Unicornscan的⽆状态主机发现和端⼝扫描⼯具。它以降低可靠性来换取异常快的速度,还使⽤了加密技术防⽌⿊客修改扫描结果。此⼯具是Dan Kaminsky出品的Paketto Keiretsu的⼀部分。#87 IP Filter:⼩巧的UNIX数据包过滤器 IP Filter是⼀款软件包,可以实现⽹络地址转换(network address translation)(NAT)或者防⽕墙服务的功能。它可以作为UNIX的⼀个核⼼模块,也可以不嵌⼊核⼼,强烈推荐将其作为UNIX的核⼼模块。安装和为系统⽂件打补丁要使⽤脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使⽤Openbsd PF,Linux⽤户可以使⽤Netfilter。#88 Canvas:⼀款全⾯的漏洞检测框架 Canvas是Aitel's ImmunitySec出品的⼀款漏洞检测⼯具。它包含150个以上的漏洞,它⽐Core Impact便宜⼀些,但是它也价值数千美元。您也可以通过购买VisualSploit Plugin实现在图形界⾯上通过拖拽就可以⽣成漏洞。Canvas偶尔也会发现⼀些ODay漏洞。#89 VMware:多平台虚拟软件 VMware虚拟软件允许您在⼀个系统中虚拟运⾏另⼀个系统。这对于安全专家在多平台下测试代码和漏洞⾮常有⽤。它只运⾏在Windows和Linux平台上,但它可以虚拟运⾏⼏乎所有的x86操作系统。它对建⽴沙箱(sandboxes)也⾮常有⽤。在VMware虚拟系统上感染了恶意软件不会影响到宿主机器,可以通过加载快照⽂件恢复被感染了的虚拟系统。VMware不能创建虚拟系统的镜像⽂件。VMware最近刚刚宣布免费。另⼀款在Linux下颇受瞩⽬的虚拟平台软件是Xen。#90 Tcptraceroute:⼀款基于TCP数据包的路由跟踪⼯具 现代⽹络⼴泛使⽤防⽕墙,导致传统路由跟踪⼯具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以⽆法进⾏完整的路由跟踪。尽管如此,许多情况下,防⽕墙会准许反向(inbound)TCP数据包通过防⽕墙到达指定端⼝,这些端⼝是主机内防⽕墙背后的⼀些程序和外界连接⽤的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透⼤多数防⽕墙。#91 SAINT:安全管理综合⽹络⼯具 SAINT象Nessus、ISS Internet Scanner和Retina⼀样,也是⼀款商业漏洞评估⼯具。它以前是运⾏在UNIX系统之上的免费开源⼯具,但现在收费了。#92 OpenVPN:全功能SSL VPN解决⽅案 OpenVPN是⼀款开源的SSL VPN⼯具包,它可以实现很多功能,包括远程登录、站对站VPN、WiFi安全、带有负载平衡的企业级远程登录解决⽅案、节点控制移交(failover)、严密的访问控制。OpenVPN运⾏于OSI 2层或3层安全⽹络,使⽤SSL/TLS⼯业标准协议,⽀持灵活的基于证书、智能卡、⼆元验证的客户端验证⽅法,允许在VPN虚拟接⼝上使⽤防⽕墙规则作为⽤户或指定⽤户组的访问控制策略。OpenVPN使⽤OpenSSL作为其⾸选加密库#93 OllyDbg:汇编级Windows调试器 OllyDbg是⼀款微软Windows平台上的32位汇编级的分析调试器。因其直接对⼆进制代码进⾏分析,所以在⽆法获得源代码的时候它⾮常有⽤。OllyDbg含有⼀个图形⽤户界⾯,它的⾼级代码分析器可以识别过程、循环、API调⽤、交换、表、常量和字符串,它可以加载运⾏时程序,⽀持多线程。OllyDbg可以免费下载,但不开源。#94 Helix:⼀款注重安全防护的Linux版本 Helix是⼀款⾃定义版本的Knoppix⾃启动Linux光盘系统。Helix远不⽌是⼀张⾃启动光盘。除了光盘启动到⾃定义的Linux环境,还具有超强的硬件⽀持能⼒,包含许多应付各种问题的软件。Helix尽量少的接触主机软硬资源。Helix不⾃动加载交换(swap)空间,不⾃动加载其它任何外围设备。Helix还可以⾃动加载Windows,以应对意外情况。#95 Bastille:Linux、Mac OS X和HP-UX的安全加强脚本 Bastille使操作系统固若⾦汤,减少系统遭受危险的可能,增加系统的安全性。Bastille还可以评估系统当前的安全性,周期性的报告每⼀项安全设置及其⼯作情况。Bastille当前⽀持Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake这些Linux版本,还有HP-UX和Mac OS X。Bastille旨在使系统⽤户和管理员了解如何加固系统。在其默认的最坚固模式下,它不断的询问⽤户问题,并对这些问题加以解释,根据⽤户对问题不同的回答选择不同的应对策略。在其评估模式下,它会⽣成⼀份报告旨在告诉⽤户有哪些安全设置可⽤,同时也提⽰⽤户哪些设置被加固了。#96 Acunetix Web Vulnerability Scanner:商业漏洞扫描器 Acunetix WVS⾃动检查您的⽹页程序漏洞,例如SQL注⼊、跨⽹站脚本和验证页⾯弱密码破解。Acunetix WVS有着⾮常友好的⽤户界⾯,还可以⽣成个性化的⽹站安全评估报告。#97 TrueCrypt:开源的Windows和Linux磁盘加密软件 TrueCrypt是⼀款⾮常出⾊的开源磁盘加密系统。⽤户可以加密整个⽂件系统,它可以实时加密/解密⽽不需要⽤户⼲涉,只要事先输⼊密码。⾮常巧妙的hidden volume特性允许您对特别敏感的内容进⾏第⼆层加密来隐藏它的存在。所以就算加密系统的密码暴露,⿊客也不知道还有隐藏内容存在。#98 Watchfire AppScan:商业⽹页漏洞扫描器 AppScan按照应⽤程序开发⽣命周期进⾏安全测试,早在开发阶段就进⾏单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨⽹站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。#99 N-Stealth:⽹页服务器扫描器 N-Stealth是⼀款⽹页服务器安全扫描器。它⽐Whisker/libwhisker和Nikto这些免费的⽹页扫描器升级得更频繁,但是它⽹站上声称的可以扫描30000种漏洞(30000 vulnerabilities and exploits)和每天添加数⼗种漏洞(Dozens of vulnerability checks are added every day)的说法是很值得怀疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara这些防⼊侵⼯具都含有⽹页扫描组件,它们都很难做到每⽇更新。N-Stealth运⾏于Windows平台之上,且不开源。#100 MBSA:微软基准安全分析器(Microsoft Baseline Security Analyzer) Microsoft Baseline Security Analyzer(MBSA)是⼀款简单易⽤的⼯具,帮助IT专业⼈员检测其⼩型和中型商业应⽤的安全性,将⽤户系统与微软安全建议(Microsoft security recommendations)进⾏⽐对,并给出特定的建议指导。通过与Windows内置的Windows⾃动升级代理器(Windows Update Agent)和微软⾃动升级基础架构(Microsoft Update infrastructure)的协作,MBSA能够保证和其它微软管理产品的数据保持⼀致,它们包括微软⾃动升级(Microsoft Update(MU))、Windows服务器⾃动升级服务(Windows Server UpdateServices(WSUS))、系统管理服务器(Systems Management Server(SMS))和微软运⾏管理器(Microsoft OperationsManager(MOM))。MBSA平均每周要扫描3百万台电脑。
发布评论