魏可源
已经2019年了,但安全从业者的日常仍然离不开各种工具的辅助,这里介绍一些免费或开源工具,其中有很多都经过专业人士的试用与推荐。
网络安全监控
Argus
Argus能對网络流量与数据进行高效、深入的分析。Argus可以筛选大量流量并快速全面地生成报告,不论是单一使用还是与其他工具共同使用,这个工具都可以提供坚实的协助。
POf
POf的更新频率很低,十几年来变化不大,但仍然比较受欢迎。这款工具使用时简单、高效,不会产生额外的流量。主要用于标识与其交互的任何主机的操作系统。很多网络安全监控工具都可以创建探测、名称查找及各种查询功能。POf则以其轻量级、高速及简洁运行的的特征而著称,对于高级用户来说必不可少。但对于一些新手而言,可能学习起来没那么简单。
Nagios
Nagios可以监控主机、系统和网络,实时发送警报。用户可以准确指定他们想要通知的内容,这个程序可以监控HTTP,NNTP,ICMP,POP3,SMTP等网络服务。很多人将Nagios用于流量监控,其实它也可以用作全面、基础的网络管理方案,适用于网络安全专业人士和小型企业。
Splunk
Splunk是一款高速、通用的网络监控工具,专为实时分析和历史数据搜索而设计。具有统一的界面,对用户比较友好,其强大的搜索功能为应用程序监控提供了协助,Splunk可以处理非结构化数据,并轻松扩展,可以配合SIEM达到更好的效果。
Splunk其实是付费应用,但提供免费版本,只是免费版本的功能有限,如果预算足够的话,付费购买也是性价比较高的选择。
网络侦察与取证
TheHarvester
TheHarvester基于Kali,有助于收集域名、电子邮件地址、员工姓名及来自SHODAN的信息等。
Maltego
Maltego是Paterva开发的,用于开源智能和取证的专有软件,可以提供一个变换库,用于从开源中发现数据,并以图形格式显示该信息,适用于链接分析和数据挖掘。Maltego有助于发现关于侦察目标的大量数据,包括IP地址、域名、DNS条目及员工电子邮件地址等。
加密类
Tor
现在提到Tor大家似乎都会想起暗网,但事实上,Tor本身只是个加密性能比较好的工具,可以保护互联网隐私。一般来说,系统将请求发送到代理Web服务器以保护隐私,让用户难以被追踪。尽管会有一些恶意出口节点嗅探流量,但在使用过程中仔细留意,就不会有大的影响。在实际应用中,Tor对于网络安全的作用比在暗网中发挥的作用更大。
Openswan
Openswan可以说是Linux下IPsec的最佳实现方式,可以设置支持IKWv2、X.509证书和NAT遍历等的安全VPN。Openswan支持net-to-net和Road Wamor两种模式,前者可实现远程子网通信后类似局域网的访问,后者可以实现客户端用IPSec连接到内网后的安全通讯。
密码管理与恢复
Cain and Abel
仅适用于Windows的密码恢复工具。可以记录VoIP对话,解码加密密码并分析路由协议,可以获取到缓存密码、显示密码框和暴力破解密码并进行密码分析等,可作为数据包嗅探的入门程序。
Thycotic Secret Server
Secret Server是一种高级密码管理器工具,适合IT团队使用。其设置秘密服务器,有助于IT团队管理者了解团队成员访问密码的情况并在必要时更改密码。当然,Secret Server与其他密码管理器一样也可以生成强密码且不需要用户强行记忆。
此外,lpassword和LastPass等也都是大家常用且好用的密码管理工具。
漏洞扫描与入侵检测
Snort
Snort是一个企业级的开源IDS,可以与任何操作系统和硬件兼容。系统执行协议分析、内容搜索/匹配以及各种网络攻击的检测(如缓冲区溢出、隐形端口扫描程序、CGI攻击和OS指纹识别等)。其优点是易于配置、规则灵活,可以分析原始数据包。
OWASP Zed Attack Proxy Ptoject(ZAP)
开发人员需要测试Web应用程序的安全性时,常常使用ZAP。ZAP是完全开源的跨平台工具,可以实现Web应用程序的主动和被动扫描、发现抓取程序内容的爬虫,并生成相关报告。此外,ZAP还能添加组件。
ModSecurity
ModSecurity堪称We应用程序防火墙的“瑞士军刀”,是Web应用程序开发者的必备工具。ModSecurity的主要功能包括实时监控和访问控制、HTTP流量日志记录、持续被动安全防御及Web应用程序加固等。
漏洞管理
Nessus
Nessus堪称漏洞评估领域的行业标准,能帮助安全人员快速识别和修复问题(包括软件漏洞、缺失补丁、恶意软件和错误配置等问题)。借助预先构建的策略和模板、群组暂停功能和实时更新等功能,可以轻松、直观地进行漏洞评估。这款工具很活跃,最近刚发布了最新版本。
Balbix
Balbix能够分析网络中每种易受攻击的资产情况,包括相关数据、交互的用户和是否面向公众等,并确定资产对组织的重要性。Balbix还可以将每个漏洞与活动的威胁源进行比较,并预测、评估未来发生漏洞的可能性以及漏洞可能对企业造成的损失。
无线安全
NetStumbler
主要适用于Windows用户,可以在无线网络中找到开放的接入点。NetStumbler既可以寻找WAP,又检测其他安全扫描工具遗漏的漏洞。但需要注意的是这个工具仅仅适用于Windows,且不提供源代码。
Kismet
Kismet是基于控制台的802.11第2层无线网络检测器、嗅探器和入侵检测系统。Kismet主要通过被动嗅探识别网络,还可以发现正在使用中的隐藏(非信标)网络。它可以通过嗅探TCP,UDP,ARP,DHCP数据包自动检测网络IP块,以Wireshark/tcpdump兼容格式记录流量,甚至可以在下载的地图上绘制检测到的网络和预估范围。
KisMAC
KisMAC适用Mac,简单易用,经验不足的用户也容易上手。KisMAC相当于Kismet的Mac OSx版本,但二者代码库不同。利用KisMAC工具,可以通过结束鉴权攻击,实现映射和渗透测试。
嗅探与抓包
Tcpdump
支持Mac,Windows和Linux,比Wireshark出现得更早,设置了数据包嗅探领域的标准,相当于这个领域的早期风向标。Tcpdump持续开发改进,力求简洁,所使用的系统资源较少,并且几乎没有安全风险。
Wireshark
Wireshark是继Tcpdump之后免费开源的网络数据包分析软件,截取网络数据包,并尽可能显示出最为详细的网络数据包数据。同时,可提供实时网络分析,让用户看到重建的TCP会话流。Wireshark的使用频率较高,很多安全从业者对此都不陌生。
邮件安全
垃圾邮件、钓鱼邮件泛滥,让很多人不堪其扰,安全研究员也专门针对这一现象研发了一些工具。
MailWasher:扫描邮件、确定安全之后再下载。
SPAMfighter:可识别并过滤垃圾邮件,对家庭用户免费。
Spamihilator:通过过滤器、学习算法和概率计算来确定垃圾邮件,并设置用户培训区域,以便用户能培训系统更好地学习应当屏蔽的电子邮件。
以上为网络安全领域常用的一些工具,在专业网络安全工具网站Sectools中,有更多工具可以参考,感兴趣的朋友可以去官网查看。