滲透測(cè)試:數(shù)十款重要工具介紹
來(lái)源:湖北國(guó)菱編輯部
時(shí)間:2018-05-19
1、掃描/滲透測(cè)試
OpenVAS ——是一個(gè)提供多種服務(wù)和工具的框架,用戶可獲取一個(gè)強(qiáng)大的綜合性漏洞檢測(cè)和漏洞管理方案。
MetasploitFramework ——是一款針對(duì)遠(yuǎn)程目標(biāo)開(kāi)發(fā)和執(zhí)行入侵代碼的工具,它包括一些重要的子項(xiàng)目,如Opcode Database,Shellcode 文檔以及相關(guān)研究。
KaliLinux——是一個(gè)衍生自 Debian 的 Linux 發(fā)行版,專門為數(shù)字取證和滲透測(cè)試而設(shè)計(jì)。Kali Linux 預(yù)裝了大量滲透測(cè)試程序,包括 nmap(端口掃描程序),Wireshark(數(shù)據(jù)包分析程序),John an Ripper(密碼破解器)以及 Aircrack-ng(用于滲透測(cè)試無(wú)線局域網(wǎng)的軟件套件)。
pig ——是數(shù)據(jù)包制作工具。
scapy——是基于python 的互動(dòng)型數(shù)據(jù)包控制程序和庫(kù)。
Pompem——是一款開(kāi)源工具,便于搜索自動(dòng)化的設(shè)計(jì),可利用主要數(shù)據(jù)庫(kù)的漏洞。用Python語(yǔ)言開(kāi)發(fā),具備一個(gè)高級(jí)搜索系統(tǒng),因此方便滲透測(cè)試員和道德黑客的做測(cè)試。其現(xiàn)行版本是在多個(gè)數(shù)據(jù)庫(kù)種執(zhí)行搜索,包括Exploit-db,1337day,PacketstormSecurity等。
Nmap ——是一款用于網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計(jì)的工具,Nmap 免費(fèi)且開(kāi)源。
2、監(jiān)控/日志
justniffer——是一款網(wǎng)絡(luò)協(xié)議分析器,可以捕捉網(wǎng)絡(luò)流量并以自定義方式產(chǎn)生日志,可以模擬 Apache 網(wǎng)絡(luò)服務(wù)器日志文件,追蹤響應(yīng)時(shí)長(zhǎng),再?gòu)?HTTP 流量中提取被破譯的文件。
httpry——是一款專門為顯示和記錄HTTP流量而設(shè)計(jì)的數(shù)據(jù)包竊聽(tīng)工具。其作用不是進(jìn)行分析,而是捕捉,拆分和記錄流量,以備日后分析??梢栽诓鸱至髁康耐瑫r(shí)同步顯示流量,或者作為后臺(tái)程序,記錄輸出文件。其編寫已盡可能輕量且靈活,可以方便兼容其他應(yīng)用。
ngrep——是一個(gè)可感知pcap的工具,力求提供 GNU grep 的大部分常見(jiàn)功能,并將它們應(yīng)用到網(wǎng)絡(luò)層,你可以用它指定擴(kuò)展正則表達(dá)式或六進(jìn)制表達(dá)式來(lái)匹配數(shù)據(jù)包的數(shù)據(jù)有效載荷。ngrep 目前能識(shí)別以太網(wǎng),PPP,SLIP,F(xiàn)DDI,Token Ring和無(wú)效接口上的IPv4/6,TCP,UDP,ICMPv4/6,IGMP 和 Raw 協(xié)議,可按照常見(jiàn)的數(shù)據(jù)包竊聽(tīng)工具(如tcpdump和snoop.ngrep)那樣去BPF 規(guī)則過(guò)濾。
PassiveDNS——能被動(dòng)收集DNS 記錄以備應(yīng)對(duì)突發(fā)事件,網(wǎng)絡(luò)安全監(jiān)控(NSM)和常規(guī)電子取證。PassiveDNS 可以從接口竊取數(shù)據(jù)包或是讀取 pcap 文件然后把 DNS 服務(wù)器的回答輸出到日志文件,可以把復(fù)制的DNS回應(yīng)緩沖/聚集在內(nèi)存中,無(wú)需釋放就能限制日志文件的數(shù)據(jù)量。
Sagan——它使用一個(gè)類似 Snort 的引擎和規(guī)則分析日志(syslog/eventlog/snmptrap/netflow等)。
NodeSecurity Platform——它和 Snyk 的功能類似,但是很多時(shí)候是免費(fèi)的,其他收費(fèi)功能也比較便宜。
Ntopng——是一個(gè)網(wǎng)絡(luò)流量探測(cè)器,可顯示網(wǎng)絡(luò)使用情況,類似Unix top命令所做的操作。
Fibratus ——是一個(gè)用于挖掘和追蹤 Windows 內(nèi)核的工具。它可以捕捉大部分的 Windows 內(nèi)核活動(dòng)——進(jìn)程/線程的創(chuàng)建和結(jié)束,文件系統(tǒng)I/O,注冊(cè),網(wǎng)絡(luò)活動(dòng),DLL加載/卸載等等。Fibratus具備一個(gè)簡(jiǎn)單的 CLI,里面內(nèi)置了一個(gè)裝置可啟動(dòng)內(nèi)核事件流收集器,設(shè)置內(nèi)核事件過(guò)濾器或運(yùn)行被稱為Filaments 的輕量級(jí) Python 模塊。
3、IDS / IPS /Host IDS / Host IPS
Snort ——1998年由 Martin Roesch 創(chuàng)建的一款免費(fèi)且開(kāi)源的網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。Snort 現(xiàn)在由Sourcefire 開(kāi)發(fā),而 Roesch 是公司創(chuàng)始人兼CTO。2009年,Snort 被 InforWorld 列入“開(kāi)源名品堂”。
Bro ——是一款強(qiáng)大的網(wǎng)絡(luò)分析框架,其與典型 IDS 有很大不同。
OSSEC——是一個(gè)綜合型的開(kāi)源 HIDS。需要花點(diǎn)時(shí)間才能上手。它執(zhí)行日志分析,文件完整性檢查,政策監(jiān)控,工具包檢測(cè),實(shí)時(shí)警報(bào)和主動(dòng)響應(yīng)。可在大多數(shù)操作系統(tǒng)上運(yùn)行,包括 Linux,MacOS,Solaris,HP-UX,AIX 和 Windows。有大量合理的文件記錄。支持中型到大型部署。
Suricata——是一款開(kāi)源高性能的網(wǎng)絡(luò) IDS,IPS 和網(wǎng)絡(luò)安全監(jiān)控引擎,為一個(gè)社區(qū)運(yùn)營(yíng)的非盈利基金(開(kāi)放信息安全基金)所有,該組織負(fù)責(zé)此工具的開(kāi)發(fā)和技術(shù)支持。
SecurityOnion ——是一款基于Ubuntu的Linux工具,用于入侵檢測(cè),網(wǎng)絡(luò)安全監(jiān)控以及日志管理。它包含Snort,Suricata,Bro,OSSEC,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner和許多其他安全工具。借助易于上手的安裝向?qū)?,可在幾分鐘?nèi)為企業(yè)創(chuàng)建大量分布式傳感器。
sshwatch ——為 SSH 而寫的入侵防御系統(tǒng),類似用 Python 寫的 DenyHosts。它還可以把攻擊者實(shí)施攻擊時(shí)的信息收集起來(lái)寫入日志。
Stealth —— 作為文件完整性的檢測(cè)器,它基本可以做到無(wú)遺漏。由于控制器在另一臺(tái)機(jī)器上運(yùn)行,因此攻擊者很難知道文件系統(tǒng)正通過(guò) SSH 協(xié)議,以定義好的偽隨機(jī)間隔進(jìn)行檢測(cè),適用于中小型部署使用。
AIEngine ——是一款下一代互動(dòng)型/可編程 Python/Ruby/Java/Lua數(shù)據(jù)包檢測(cè)引擎,具備不受人為干擾的學(xué)習(xí)能力,具備網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),DNS 域名分類,網(wǎng)絡(luò)收集器,網(wǎng)絡(luò)取證等功能。
Denyhosts—— 基于 Thwart SSH 詞典的攻擊和暴力破解。
Fail2Ban ——掃描日志文件,可對(duì)表現(xiàn)出惡意行為的 IP 采取行動(dòng)。
SSHGuard ——除 SSH 外,此軟件還可保護(hù)其他 C 語(yǔ)言編寫的服務(wù)。
Lynis —— 為L(zhǎng)inux/Unix 編寫的開(kāi)源軟件審計(jì)工具。
4、蜜罐/蜜網(wǎng)
HoneyPy —— 這是一款中小型交互式蜜罐。可通過(guò)插件部署和擴(kuò)展,還能進(jìn)行自定義配置。
Dionaea —— 此工具是nepenthes 的延續(xù)者,嵌入了 python 語(yǔ)言,使用libemu 來(lái)檢測(cè)填充數(shù)據(jù)(shellcode),支持IPv6 和 tls 協(xié)議。
Conpot ——ICS/SCADA 蜜罐。Conpot 是一個(gè)小型交互式服務(wù)器端工控系統(tǒng)蜜罐,易于部署,修改和擴(kuò)展。通過(guò)常見(jiàn)的工控協(xié)議搭建自有系統(tǒng),可以仿效復(fù)雜的基礎(chǔ)設(shè)施讓攻擊者認(rèn)為自己找到的是一個(gè)大型工業(yè)樞紐。
Amun —— 基于Python 的低端交互式蜜罐。
Glastopf ——此蜜罐可以模仿數(shù)千個(gè)漏洞,從針對(duì) Web 應(yīng)用的攻擊中收集數(shù)據(jù)。其原理很簡(jiǎn)單:向攻擊 Web 應(yīng)用的人發(fā)出正確的響應(yīng)。
Kippo —— 這是一個(gè)中型交互式 SSH 蜜罐,只在記錄暴力破解,最重要的是整個(gè)殼(shell)的交互操作都由攻擊者執(zhí)行。
Kojoney —— 這是一款可模仿 SSH 服務(wù)器的小型交互式蜜罐。其守護(hù)進(jìn)程用 Python 編寫,使用的是 Twisted Conch 庫(kù)。
HonSSH —— 是交互程度較高的蜜罐方案。HonSSH 會(huì)在攻擊者和蜜罐之間創(chuàng)建兩個(gè)單獨(dú)的 SSH 連接。
Bifrozt ——是一個(gè)帶DHCP 服務(wù)器的 NAT 設(shè)備,通常里面會(huì)部署一個(gè)直接聯(lián)網(wǎng)的NIC 和一個(gè)連接內(nèi)網(wǎng)的 NIC。而 Bifrozt 不同于其他標(biāo)準(zhǔn) NAT 設(shè)備的地方是它可以在攻擊者和蜜罐之間扮演一個(gè)透明的 SSHv2 代理。
HoneyDrive—— 這是最早的 Linux 版本蜜罐。它是一個(gè)安裝了 Xubuntu Desktop 12.04.4LTS 的虛擬裝置。它包含10個(gè)以上預(yù)裝和預(yù)配置好的蜜罐軟件包,如 Kippo SSH 蜜罐,Dionaea 和 Amum 惡意軟件蜜罐。
CuckooSandbox —— Cuckoo沙箱是一個(gè)對(duì)可疑文件進(jìn)行自動(dòng)化分析的開(kāi)源軟件。它會(huì)在獨(dú)立環(huán)境運(yùn)行的同時(shí),利用自定義組件監(jiān)控惡意進(jìn)程的行為。
5、完整的數(shù)據(jù)包捕捉/取證
tcpflow —— 此程序可捕捉 TCP 連接中的數(shù)據(jù),并將數(shù)據(jù)以便于協(xié)議分析和修復(fù)的方式保存起來(lái)。
Xplico ——其目的是從互聯(lián)網(wǎng)傳輸中提取數(shù)據(jù)并捕獲應(yīng)用數(shù)據(jù)。例如,從一個(gè) pcap 文件中,Xplico 可以提取每個(gè)郵件(POP,IMAP和SMTP協(xié)議),所有的 HTTP 內(nèi)容,每個(gè)VoIP 通話,F(xiàn)TP,TFTP等。Xplico 部署網(wǎng)絡(luò)協(xié)議分析器。它是一個(gè)開(kāi)源的網(wǎng)絡(luò)取證分析工具(NFAT)。
Moloch ——是一款開(kāi)源的大型 IPv4 抓包(PCAP),檢索和數(shù)據(jù)庫(kù)系統(tǒng)。暴露的 API 接口可導(dǎo)致 PCAP 數(shù)據(jù)和JSON 格式的對(duì)話數(shù)據(jù)直接被下載。使用 HTTPS 和HTTP Digest 模式密碼支持或使用 apache 可實(shí)現(xiàn)簡(jiǎn)單的安全部署。Moloch 并不能替代 IDS 引擎,相反它們指尖相輔相成可以一起使用,可以 PCAP 格式將保存和檢索所有網(wǎng)絡(luò)流量,提供快速訪問(wèn)。Moloch可在多個(gè)系統(tǒng)上部署,可進(jìn)行擴(kuò)展以應(yīng)對(duì)多種網(wǎng)速傳輸。
OpenFPC —— 這套工具可提供一個(gè)輕量級(jí)的完整數(shù)據(jù)包網(wǎng)絡(luò)傳輸記錄器和緩存系統(tǒng)。其目的是允許非專業(yè)人士在 COTS 硬件上部署一個(gè)分布式網(wǎng)絡(luò)傳輸記錄器,同時(shí)還能集成原有警報(bào)和日志管理工具。
Dshell ——是一個(gè)網(wǎng)絡(luò)取證分析框架,可快速開(kāi)發(fā)插件以便對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行剖析。
stenographer—— 此數(shù)據(jù)包捕獲方案旨在快速地把所有數(shù)據(jù)包到放到磁盤中,然后對(duì)所有數(shù)據(jù)包的子集提供簡(jiǎn)單快速的訪問(wèn)。
6、嗅探器
wireshark——是一款免費(fèi)且開(kāi)源的數(shù)據(jù)包分析器。用于網(wǎng)絡(luò)故障檢修,分析,軟件和通信協(xié)議開(kāi)發(fā)以及教育。類似 tcpdump,但多了一個(gè)圖像前端,一些綜合篩選和過(guò)濾選項(xiàng)。
netsniff-ng——是一款免費(fèi)的 Linux 網(wǎng)絡(luò)工具包,是日常 Linux 版的網(wǎng)絡(luò)疏通利器。它依靠零復(fù)制機(jī)制保障性能,這樣一來(lái)在數(shù)據(jù)包的接收和傳輸上,內(nèi)核就無(wú)需把數(shù)據(jù)包從內(nèi)核空間復(fù)制到用戶空間,反之亦然。
Live HTTPheaders ——是一個(gè)免費(fèi)的火狐插件,可以實(shí)時(shí)查看瀏覽器請(qǐng)求。它會(huì)顯示所有請(qǐng)求的完整標(biāo)頭,可用來(lái)尋找部署過(guò)程中的安全漏洞。
7、安全信息和事件管理
Prelude ——是一個(gè)通用型安全信息和事件管理(SIEM)系統(tǒng),它會(huì)獨(dú)立收集,規(guī)范化,篩選,匯總,關(guān)聯(lián)和報(bào)告所有與產(chǎn)品品牌安全相關(guān)的事件或?qū)е逻@類事件發(fā)生的許可證;Prelude 無(wú)客戶端。
OSSIM —— 提供一切安全專家需要的性能,從 SIEM 產(chǎn)品到事件收集,規(guī)范化以及關(guān)聯(lián),一應(yīng)俱全。
FIR ——是一個(gè)快速應(yīng)急響應(yīng),網(wǎng)絡(luò)安全應(yīng)急管理平臺(tái)。
8、VPN
OpenVPN —— 這是一個(gè)開(kāi)源軟件應(yīng)用,部署了虛擬專用網(wǎng)絡(luò)(VPN),可在路由配置或橋接,以及遠(yuǎn)程訪問(wèn)設(shè)備間創(chuàng)建安全的“點(diǎn)對(duì)點(diǎn)”連接。它使用的自定義安全協(xié)議可利用SSL/TLS進(jìn)行密鑰交換。
9、數(shù)據(jù)包快速處理
DPDK —— 包含多個(gè)庫(kù)和驅(qū)動(dòng),可進(jìn)行數(shù)據(jù)包的快速處理。
PFQ —— 這是一個(gè)功能型的網(wǎng)絡(luò)框架,用于 Linux 操作系統(tǒng),在端口(socket)/端點(diǎn)間提供高效的數(shù)據(jù)包捕獲/傳輸(不小于10G),內(nèi)核功能處理和數(shù)據(jù)包引導(dǎo)。
PF_RING —— 這是一種新型網(wǎng)絡(luò)端口,可顯著提升數(shù)據(jù)包捕獲的速度。
PF_RING ZC(Zero Copy) ——是一個(gè)靈活的數(shù)據(jù)包處理框架,數(shù)據(jù)處理(RX和TX)的線路速率可達(dá)1/10 G。它部署的零復(fù)制操作包括內(nèi)部處理和內(nèi)部-VM(KVM)通信的樣本。
PACKET_MMAP/TPACKET/AF_PACKET—— 可利用其提升 Linux 數(shù)據(jù)捕獲和傳輸?shù)男阅堋?/p>
netmap ——是一個(gè)用于高速數(shù)據(jù)包輸入/輸出的框架,可配合 VALE 軟交換一起使用,它以獨(dú)立內(nèi)核模塊的形式部署,可用于FreeBSD,Linux 和Windows 系統(tǒng)。
10、防火墻
pfSense ——是FreeBSD 版本的防火墻和路由。
OPNsense ——此產(chǎn)品開(kāi)源且易于操作,基于 FreeBSD 的防火墻和路由平臺(tái),其包括昂貴的商用防火墻的大部分功能。它具備收費(fèi)產(chǎn)品的豐富性能,但卻是一款開(kāi)源且可靠的產(chǎn)品。
fwknop —— 通過(guò)防火墻中單獨(dú)的數(shù)據(jù)包授權(quán)保護(hù)端口。
11、反垃圾郵件
SpamAssassin– 是一款采用多種檢測(cè)技巧,強(qiáng)大且受歡迎的垃圾郵件過(guò)濾器。
12、用于滲透測(cè)試的 Docker 鏡像
docker pullkalilinux/kali-linux-docker official Kali Linux
docker pullowasp/zap2docker-stable – official OWASP ZAP
docker pullwpscanteam/wpscan – official WPScan
docker pullremnux/metasploit – docker-metasploit
docker pullcitizenstig/dvwa – Damn Vulnerable Web Application (DVWA)
docker pullwpscanteam/vulnerablewordpress – Vulnerable WordPress Installation
docker pullhmlio/vaas-cve-2014-6271 – Vulnerability as a service: Shellshock
docker pullhmlio/vaas-cve-2014-0160 – Vulnerability as a service: Heartbleed
docker pullopendns/security-ninjas – Security Ninjas
docker pulldiogomonica/docker-bench-security – Docker Bench for Security
docker pullismisepaul/securityshepherd – OWASP Security Shepherd
docker pulldanmx/docker-owasp-webgoat – OWASP WebGoat Project docker image
docker-composebuild && docker-compose up – OWASP NodeGoat
docker pullcitizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application