2006年度100款最佳安全工具
阿新 • • 發佈:2019-02-05
在2000和2003年非常成功的推出了安全工具調查後,Insecure.Org 非常高興為大家帶來2006年度的安全工具調查。我-Fyodor對nmap-hackers 郵件列表中的使用者進行了調查,讓大家來分享他們最喜歡用的工具,結果有3243名使用者提供了反饋資訊。我從反饋資訊中選取了大家最喜歡的前100種工具,並將它們進行了分類。建議安全界人士仔細閱讀這份列表,並對不熟悉或未聽說過的工具進行研究,相信會有很大幫助。我自己就從中發現了很多以前沒有使用過但非常好用的工具。當很多菜鳥問我“我不知道當一個黑客該從何開始”時,我就讓他們來讀讀這篇文章。
受訪者被要求列出各種平臺上的開源和商業工具。商業工具會在列表中進行標註。Nmap Security Scanner 沒有參與投票,因為調查是在Nmap的郵件列表中進行的。因為受訪者多為黑客的原因,所以此列表中攻擊型的工具偏多一些,防守型的則少一些。
列表中每個工具都含有以下一種或幾種屬性:2003年調查列表中未出現的工具;相對於2003年調查列表排名升或降;需要花錢購買。但可以免費獲得限制、演示、試用版本軟體;可以工作於Linux平臺之上;可以工作於OpenBSD、FreeBSD、Solaris 或其它UNIX平臺之上;可以工作於蘋果Mac OS X平臺之上;可以工作於微軟Windows平臺之上;提供命令列操作方式;提供圖形化使用者介面;在網際網路上可以找到原始碼。
如果您發現列表中的工具有更新或者有其它建議--或者有更好的工具圖示 可以傳送郵件給我。如果您的工具入選此列表了,或者您認為您網站的訪客也許會對此列表感興趣,歡迎您通過link banners把本文連結到您網站上。以下開始為正式列表,按受歡迎程度降序排列:
#1 Nessus:最好的UNIX漏洞掃描工具
Nessus 是最好的免費網路漏洞掃描器,它可以運行於幾乎所有的UNIX平臺之上。它不止永久升級,還免費提供多達11000種外掛(但需要註冊並接受EULA- acceptance--終端使用者授權協議)。它的主要功能是遠端或本地(已授權的)安全檢查,客戶端/伺服器架構,GTK(Linux下的一種圖形介面)圖形介面,內建指令碼語言編譯器,可以用其編寫自定義外掛,或用來閱讀別人寫的外掛。Nessus 3 已經開發完成(now closed source),其現階段仍然免費,除非您想獲得最新的外掛。
--------------------------------------------------------------------------------
#2 Wireshark:網路嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的開源網路協議分析器。它可以實時檢測網路通訊資料,也可以檢測其抓取的網路通訊資料快照檔案。可以通過圖形介面瀏覽這些資料,可以檢視網路通訊資料包中每一層的詳細內容。Wireshark擁有許多強大的特性:包含有強顯示過濾器語言(rich display filter language)和檢視TCP會話重構流的能力;它更支援上百種協議和媒體型別;擁有一個類似tcpdump(一個Linux下的網路協議分析工具)的名為tethereal的的命令列版本。不得不說一句,Ethereal已經飽受許多可遠端利用的漏洞折磨,所以請經常對其進行升級,並在不安全網路或敵方網路(例如安全會議的網路)中謹慎使用之。
--------------------------------------------------------------------------------
#3 Snort:一款廣受歡迎的開源IDS(Intrusion Detection System)(入侵檢測系統)工具
這款小型的入侵檢測和預防系統擅長於通訊分析和IP資料包登入(packet logging)。Snort除了能夠進行協議分析、內容搜尋和包含其它許多預處理程式,還可以檢測上千種蠕蟲病毒、漏洞、埠掃描以及其它可疑行為檢測。Snort使用一種簡單的基於規則的語言來描述網路通訊,以及判斷對於網路資料是放行還是攔截,其檢測引擎是模組化的。用於分析Snort警報的網頁形式的引擎 Basic Analysis and Security Engine (BASE)可免費獲得。
開源的Snort為個人、小企業、集團使用者提供良好的服務。其母公司SourceFire提供豐富的企業級特性和定期升級以豐富其產品線。提供(必須註冊)5天免費的規則試用,您也可以在Bleeding Edge Snort找到很多免費規則。
--------------------------------------------------------------------------------
#4 Netcat:網路瑞士軍刀
這個簡單的小工具可以讀和寫經過TCP或UDP網路連線的資料。它被設計成一個可靠的可以被其它程式或指令碼直接和簡單使用的後臺工具。同時,它也是一個功能多樣的網路除錯和檢查工具,因為它可以生成幾乎所有您想要的網路連線,包括通過埠繫結來接受輸入連線。Netcat最早由Hobbit在1995年釋出,但在其廣為流傳的情況下並沒有得到很好的維護。現在nc110.tgz已經很難找了。這個簡單易用的工具促使了很多人寫出了很多其它Netcat應用,其中有很多功能都是原版本沒有的。其中最有趣的是Socat,它將Netcat擴充套件成可以支援多種其它socket型別,SSL加密,SOCKS代理,以及其它擴充套件的更強大的工具。它也在本列表中得到了自己的位置(第71位)。還有Chris Gibson's Ncat,能夠提供更多對便攜裝置的支援。其它基於Netcat的工具還有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
--------------------------------------------------------------------------------
#5 Metasploit Framework:黑掉整個星球
2004 年Metasploit的釋出在安全界引發了強烈的地震。沒有一款新工具能夠一發布就擠進此列表的15強(也就是說2000年和2003年的調查沒有這種情況),更何況此工具更在5強之列,超過了很多廣為流傳的誕生了幾十年的老牌工具。它是一個強大的開源平臺,供開發、測試和使用惡意程式碼。這種可擴充套件的模型將負載控制、編碼器、無操作生成器和漏洞整合在一起,使得Metasploit Framework成為一種研究高危漏洞的途徑。它自帶上百種漏洞,還可以在online exploit building demo(線上漏洞生成演示)看到如何生成漏洞。這使得您自己編寫漏洞變得更簡單,它勢必將提升非法shellcode程式碼的水平,擴大網路陰暗面。與其相似的專業漏洞工具,例如Core Impact和Canvas已經被許多專業領域使用者使用。Metasploit降低了這種能力的門檻,將其推廣給大眾。
--------------------------------------------------------------------------------
#6 Hping2:一種網路探測工具,是ping的超級變種
這個小工具可以傳送自定義的ICMP,UDP和TCP資料包,並接收所有反饋資訊。它的靈感來源於ping命令,但其功能遠遠超過ping。它還包含一個小型的路由跟蹤模組,並支援IP分段。此工具可以在常用工具無法對有防火牆保護的主機進行路由跟蹤/ping/探測時大顯身手。它經常可以幫助您找出防火牆的規則集,當然還可以通過它來學習TCP/IP協議,並作一些IP協議的實驗。
--------------------------------------------------------------------------------
#7 Kismet:一款超強的無線嗅探器
Kismet 是一款基於命令列(ncurses)的802.11 layer2無線網路探測器、嗅探器、和入侵檢測系統。它對網路進行被動嗅探(相對於許多主動工具,例如NetStumbler),可以發現隱形網路(非信標)。它可以通過嗅探TCP、UDP、ARP和DHCP資料包來自動檢測網路IP段,以Wireshark/TCPDump相容格式記錄通訊日誌,更加可以將被檢測到的網路分塊並按照下載的分佈圖進行範圍估計。如您所想,這款工具一般被wardriving所使用。嗯!還有warwalking、 warflying和warskating……
--------------------------------------------------------------------------------
#8 Tcpdump:最經典的網路監控和資料捕獲嗅探器
在Ethereal (Wireshark)出現之前大家都用Tcpdump,而且很多人現在還在一直使用。它也許沒有Wireshark那麼多花裡胡哨的東西(比如漂亮的圖形介面,亦或數以百計的應用協議邏輯分析),但它能出色的完成很多工,並且漏洞非常少,消耗系統資源也非常少。它很少新增新特性了,但經常修復一些 bug和維持較小的體積。它能很好的跟蹤網路問題來源,並能監控網路活動。其Windows下的版本叫做WinDump。Libpcap/WinPcap 的包捕獲庫就是基於TCPDump,它也用在Nmap等其它工具中。
--------------------------------------------------------------------------------
#9 Cain and Abel:Windows平臺上最好的密碼恢復工具
UNIX 使用者經常聲稱正是因為Unix平臺下有很多非常好的免費安全工具,所以Unix才會成為最好的平臺,而Windows平臺一般不在他們的考慮範圍之內。他們也許是對的,但Cain & Abel確實讓人眼前一亮。這種只運行於Windows平臺的密碼恢復工具可以作很多事情。它可以通過嗅探網路來找到密碼、利用字典破解加密密碼、暴力破解密碼和密碼分析、記錄VoIP會話、解碼非常複雜的密碼、星號檢視、剝離快取密碼以及分析路由協議。另外其文件也很齊全(well documented)。
--------------------------------------------------------------------------------
#10 John the Ripper:一款強大的、簡單的以及支援多平臺的密碼破解器
John the Ripper是最快的密碼破解器,當前支援多種主流Unix (官方支援11種,沒有計算不同的架構)、DOS、Win32、BeO和OpenVMS。它的主要功能就是檢測弱Unix密碼。它支援主流Unix下的多種(3種)密碼雜湊加密型別,它們是Kerberos、AFS以及Windows NT/2000/XP LM。其它雜湊型別可以通過補丁包載入。如果您希望從一些單詞表開始的話,您可以在這裡、這裡和這裡找到。
--------------------------------------------------------------------------------
#11 Ettercap:為交換式區域網提供更多保護
Ettercap 是一款基於終端的乙太網絡區域網嗅探器/攔截器/日誌器。它支援主動和被動的多種協議解析(甚至是ssh和https這種加密過的)。還可以進行已建立連線的資料注入和實時過濾,保持連線同步。大部分嗅探模式都是強大且全面的嗅探組合。支援外掛。能夠識別您是否出在交換式區域網中,通過使用作業系統指紋(主動或被動)技術可以得出區域網結構。
--------------------------------------------------------------------------------
#12 Nikto:非常全面的網頁掃描器
Nikto 是一款開源的(GPL)網頁伺服器掃描器,它可以對網頁伺服器進行全面的多種掃描,包含超過3200種有潛在危險的檔案/CGIs;超過625種伺服器版本;超過230種特定伺服器問題。掃描項和外掛可以自動更新(如果需要)。基於Whisker/libwhisker完成其底層功能。這是一款非常棒的工具,但其軟體本身並不經常更新,最新和最危險的可能檢測不到。
--------------------------------------------------------------------------------
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令
雖然有很多重型的高科技網路安全工具,但是不要忘記其基礎!所有網路安全人士都要對這些基本命令非常熟悉,因為它們對大多數平臺都適用(在Windows 平臺上whois為tracert)。它們可以隨手捏來,當然如果需要使用一些更高階的功能可以選擇Hping2和Netcat。
--------------------------------------------------------------------------------
#14 OpenSSH / PuTTY / SSH:訪問遠端計算機的安全途徑
SSH (Secure Shell)現在普遍應用於登入遠端計算機或在其上執行命令。它為不安全網路上的兩臺不互信計算機間通訊提供安全加密,代替非常不可靠的 telnet/rlogin/rsh互動內容。大多UNIX使用開源的OpenSSH伺服器和客戶端程式。Windows使用者更喜歡免費的PuTTY客戶端,它也可以執行在多種移動裝置上。還有一些Windows使用者喜歡使用基於終端的OpenSSH模擬程式Cygwin。還有其它很多收費和免費的客戶端。您可以在這裡和這裡找到。
--------------------------------------------------------------------------------
#15 THC Hydra:支援多種服務的最快的網路認證破解器
如果您需要暴力破解一個遠端認證服務,Hydra經常會是選擇物件。它可以同時對30個以上的埠進行基於字典的快速破解,包括telnet、ftp、http、https、smb、多種資料庫及其它服務。和THC Amap一樣,此Hydra版本來自於民間組織THC。
--------------------------------------------------------------------------------
#16 Paros proxy:網頁程式漏洞評估代理
基於Java的網頁程式漏洞評估代理。支援實時編輯和瀏覽HTTP/HTTPS資訊,修改例如Cookie和表字段中的內容。它包含有網頁通訊記錄器、網頁小偷(web spider)、雜湊計算器和一個常用網頁程式攻擊掃描器,例如SQL注入和跨網站指令碼等。
--------------------------------------------------------------------------------
#17 Dsniff:一款超強的網路評估和滲透檢測工具套裝
由Dug Song精心設計並廣受歡迎的這款套裝包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和 webspy通過被動監視網路以獲得敏感資料(例如密碼、郵件地址、檔案等)。Arpspoof、dnsspoof和macof能夠攔截一般很難獲取到的網路通訊資訊(例如由於使用了第二層轉換(layer-2 switching))。Sshmitm和webmitm通過ad-hoc PKI中弱繫結漏洞對ssh和https會話進行重定向實施動態monkey-in-the-middle(利用中間人攻擊技術,對會話進行劫持)攻擊。 Windows版本可以在這裡獲取。總之,這是一個非常有用的工具集。它能完成幾乎所有密碼嗅探需要作的工作。
--------------------------------------------------------------------------------
#18 NetStumbler:免費的Windows 802.11嗅探器
Netstumbler 是廣為人知的尋找開放無線訪問接入點的Windows工具("wardriving")。其PDA上的WinCE系統版本名叫Ministumbler。此軟體當前免費,但只能夠執行在Windows平臺上,且程式碼不公開。它使用很多主動方法尋找WAP,而Kismet或KisMAC則更多使用被動嗅探。
--------------------------------------------------------------------------------
#19 THC Amap:一款應用程式指紋掃描器
Amap 是一款很棒的程式,它可以檢測出某一埠正在被什麼程式監聽。因為其獨有的version detection特性,所以其資料庫不會象Nmap一樣變得很大,在Nmap檢測某一服務失敗或者其它軟體不起作用時可以考慮使用之。Amap的另一特性是其能夠解析Nmap輸出檔案。這也是THC貢獻的另一款很有價值的工具。
--------------------------------------------------------------------------------
#20 GFI LANguard:一款Windows平臺上的商業網路安全掃描器
GFI LANguard通過對IP網路進行掃描來發現執行中的計算機,然後嘗試收集主機上執行的作業系統版本和正在執行的應用程式。我曾經嘗試收集到了 Windows主機上的service pack級別、缺少的安全更新、無線訪問接入點、USB裝置、開放的共享、開放的埠、正在執行的服務和應用程式、主要登錄檔項、弱密碼、使用者和組別以及其它更多資訊。掃描結果儲存在一份可自定義/可查詢的HTML報告文件中。它還含有一個補丁管理器,可以檢查並安裝缺少的補丁。試用版可以免費獲得,但只能使用30天。
--------------------------------------------------------------------------------
#21 Aircrack:最快的WEP/WPA破解工具
Aircrack 是一套用於破解802.11a/b/g WEP和WPA的工具套裝。一旦收集到足夠的加密資料包它可以破解40到512位的WEP密匙,它也可以通過高階加密方法或暴力破解來破解WPA 1或2網路。套裝中包含airodump(802.11資料包捕獲程式)、aireplay (802.11資料包注入程式)、aircrack(靜態WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕獲檔案)。
--------------------------------------------------------------------------------
#22 Superscan:只運行於Windows平臺之上的埠掃描器、ping工具和解析器
SuperScan是一款Foundstone開發的免費的只運行於Windows平臺之上的不開源的TCP/UDP埠掃描器。它其中還包含許多其它網路工具,例如ping、路由跟蹤、http head和whois。
--------------------------------------------------------------------------------
#23 Netfilter:最新的Linux核心資料包過濾器/防火牆
Netfilter 是一款強大的運行於標準Linux核心上的包過濾器。它集成了使用者空間IP列表工具。當前,它支援包過濾(無狀態或有狀態)、所有型別的網路地址和埠轉換(NAT/NAPT)並支援多API層第三方擴充套件。它包含多種不同模組用來處理不規則協議,例如FTP。其它UNIX平臺請參考Openbsd PF(只用於OpenBSD)或者IP Filter。許多個人防火牆(personal firewalls)都支援Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微軟在Windows XP SP2中集成了一款非常基礎的防火牆,如果您不安裝它,它就會不斷地提示您安裝。
--------------------------------------------------------------------------------
#24 Sysinternals:一款強大的非常全面的Windows工具合集
Sysinternals為Windows低階入侵提供很多非常有用的小工具。其中一部分是免費的,有些還附有原始碼,其它是需要付費使用的。受訪者最喜歡此集合中的以下工具:
ProcessExplorer 監視所有程序開啟的所有檔案和目錄(類似Unix上的LSoF)。
PsTools 管理(執行、掛起、殺死、檢視)本地和遠端程序。
Autoruns 發現系統啟動和登陸時載入了哪些可執行程式。
RootkitRevealer 檢測登錄檔和檔案系統API異常,用以發現使用者模式或核心模式的rootkit工具。
TCPView 瀏覽每個程序的TCP和UDP通訊終點(類似Unix上的Netstat)。
生產此軟體的公司已被微軟於2005年收購,所以其未來產品線特徵無法預測。
--------------------------------------------------------------------------------
#25 Retina:eEye出品的商業漏洞評估掃描器
象Nessus一樣,Retina的功能是掃描網路中所有的主機並報告發現的所有漏洞。eEye出品,此公司以其security research而聞名。
--------------------------------------------------------------------------------
#26 Perl / Python / Ruby:簡單的、多用途的指令碼語言
常用的安全問題都能在網上找到工具解決,但使用指令碼語言您可以編寫您自己的(或編輯現有的)工具,當您需要解決某種特定問題的時候。快速、簡單的指令碼語言可以測試、發現漏洞甚至修復系統漏洞。CPAN上充滿了類似Net::RawIP和執行協議的程式模組,可以使您的工作更加輕鬆。
--------------------------------------------------------------------------------
#27 L0phtcrack:Windows密碼猜測和恢復程式
L0phtCrack 也叫作LC5,用來嘗試通過雜湊(通過某種訪問方式獲得的)方法破解諸如Windows NT/2000工作站、聯網伺服器、主域控制器、或活動目錄密碼,有時它也可以通過嗅探獲得密碼的雜湊值。它還可以通過多種手段來猜測密碼(字典、暴力破解等等)。Symantec公司2006年已經停止了LC5的開發,但LC5 installer的安裝檔案隨處可以找到。免費試用版只能使用15天,Symantec已經停止出售此軟體的註冊碼,所以如果您不想放棄使用它,就必須找到一個與其對應的註冊碼生成器(key generator)。因為Symantec不再維護此軟體,所以最好嘗試用Cain and Abel或John the Ripper來代替之。
--------------------------------------------------------------------------------
#28 Scapy:互動式資料包處理工具
Scapy 是一款強大的互動式資料包處理工具、資料包生成器、網路掃描器、網路發現工具和包嗅探工具。它提供多種類別的互動式生成資料包或資料包集合、對資料包進行操作、傳送資料包、包嗅探、應答和反饋匹配等等功能。Python直譯器提供互動功能,所以要用到Python程式設計知識(例如variables、 loops、和functions)。支援生成報告,且報告生成簡單。
--------------------------------------------------------------------------------
#29 Sam Spade:Windows網路查詢免費工具
Sam Spade為許多網路查詢的一般工作提供了圖形介面和方便的操作。此工具設計用於跟蹤垃圾資訊傳送者,但它還可以用於許多其它的網路探查、管理和安全工作。它包含許多有用的工具,例如ping、nslookup、whois、dig、路由跟蹤、查詢器、原始HTTP網頁瀏覽器、DNS地址轉換、SMTP 中繼檢查、網站搜尋等等。非Windows使用者可以線上使用更多其它工具。
--------------------------------------------------------------------------------
#30 GnuPG / PGP :對您的檔案和通訊進行高階加密
PGP是Phil Zimmerman出品的著名加密程式,可以使您的資料免受竊聽以及其它危險。GnuPG是一款口碑很好的遵守PGP標準的開源應用(可執行程式名為gpg)。GunPG是免費的,而PGP對某些使用者是收費的。
--------------------------------------------------------------------------------
#31 Airsnort:802.11 WEP加密破解工具
AirSnort是一款用來恢復加密密碼的無線LAN(WLAN)工具。Shmoo Group出品,工作原理是被動監控傳輸資訊,當收集到足夠多的資料包後開始計算加密密碼。Aircrack和它很像。
--------------------------------------------------------------------------------
#32 BackTrack:一款極具創新突破的Live(刻在光碟上的,光碟直接啟動) 光碟自啟動Linux系統平臺
這款卓越的光碟自啟動Linux系統是由Whax和Auditor合併而成。它以其超級多的安全和防護工具配以豐富的開發環境而聞名。重點在於它的使用者模組化設計,使用者可以自定義將哪些模組刻到光碟上,例如自己編寫的指令碼、附加工具、自定義核心等等。
--------------------------------------------------------------------------------
#33 P0f:萬能的被動作業系統指紋工具
P0f 能夠通過捕獲並分析目標主機發出的資料包來對主機上的作業系統進行鑑別,即使是在系統上裝有效能良好的防火牆的情況下也沒有問題。P0f不增加任何直接或間接的網路負載,沒有名稱搜尋、沒有祕密探測、沒有ARIN查詢,什麼都沒有。某些高手還可以用P0f檢測出主機上是否有防火牆存在、是否有NAT、是否存在負載平衡器等等!
--------------------------------------------------------------------------------
#34 Google:人人喜愛的搜尋引擎
Google 當然不是什麼安全工具,但是它超級龐大的資料庫卻是安全專家和入侵者最好的資源。如果您想了解某一公司,您可以直接用它搜尋 “site:target-domain.com”,您可以獲得員工姓名、敏感資訊(通常公司不對外公開的,但在Google上就難說了)、公司內部安裝的軟體漏洞等等。同樣,如果您在Google上發現一個有某個漏洞的網站,Google還會提供給您其它有相同漏洞的網站列表。其中利用Google進行黑客活動的大師Johny Long建立了一個Google黑客資料庫(Google Hacking Database)還出版了一本如何用Google進行黑客活動的書Google Hacking for Penetration Testers。
--------------------------------------------------------------------------------
#35 WebScarab:一個用來分析使用HTTP和HTTPS協議的應用程式框架
它的原理很簡單,WebScarab記錄它檢測到的會話內容(請求和應答),使用者可以通過多種形式來檢視記錄。WebScarab的設計目的是讓使用者可以掌握某種基於HTTP(S)程式的運作過程;也可以用它來除錯程式中較難處理的bug,也可以幫助安全專家發現潛在的程式漏洞。
--------------------------------------------------------------------------------
#36 Ntop:網路通訊監控器
Ntop 以類似程序管理器的方式顯示網路使用情況。在應用程式模式下,它能顯示使用者終端上的網路狀況。在網頁模式下,它作為網頁伺服器,以HTML文件形式顯示網路狀況。它是NetFlow/sFlow發射和收集器,通過一個基於HTTP的客戶端介面來生成以ntop為中心的監控程式,RRD(Round Robin Database)(環形資料庫)用來持續儲存網路通訊狀態資訊。
--------------------------------------------------------------------------------
#37 Tripwire:很老的檔案完整性檢查器
一款檔案和目錄完整性檢查器。Tripwire是一種可以幫助系統管理員和一般使用者監控某一特定檔案或目錄變化的工具。可以用以對系統檔案作日常(例如:每天)檢查,Tripwire可以向系統管理員通報檔案損壞或被篡改情況,所以這是一種週期性的檔案破壞控制方法。免費的開源Linux版本可以在 Tripwire.Org下載到。AIDE是UNIX平臺的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的選擇。Windows使用者請使用Sysinternals出品的RootkitRevealer。
--------------------------------------------------------------------------------
#38 Ngrep:方便的資料包匹配和顯示工具
ngrep 儘可能多的去實現GNU grep的功能,將它們應用於網路層。Ngrep是一款pcap-aware工具,它允許指定各種規則式或16進製表達式去對資料負載或資料包進行匹配。當前支援TCP、UDP、乙太網上的ICMP、PPP、SLIP、FDDI、令牌環(Token Ring)和空介面(null interfaces),還能理解類似Tcpdump和snoop等一樣形式的bpf過濾器邏輯。
--------------------------------------------------------------------------------
#39 Nbtscan:在Windows網路上收集NetBIOS資訊
NBTscan是一款在IP網路上掃描NetBIOS名稱資訊的工具。它通過給指定範圍內所有地址傳送狀態查詢來獲得反饋資訊並以表形式呈現給使用者。每一地址的反饋資訊包括IP地址、NetBIOS計算機名、登入使用者、MAC地址。
--------------------------------------------------------------------------------
#40 WebInspect:強大的網頁程式掃描器
SPI Dynamics' WebInspect應用程式安全評估工具幫您識別已知和未知的網頁層漏洞。它還能檢測到Web伺服器的配置屬性,以及進行常見的網頁攻擊,例如引數注入、跨網站指令碼、目錄遊走等等。
--------------------------------------------------------------------------------
#41 OpenSSL:最好的SSL/TLS加密庫
OpenSSL 專案的目的是通過開源合作精神開發一種健壯的、可以和同型別商業程式媲美的、全功能的,且開源的應用於SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)協議的普遍適用的加密庫工具集。本專案由世界範圍內的志願者們維護,他們通過網際網路聯絡、計劃和開發OpenSSL工具集及其相關文件。
--------------------------------------------------------------------------------
#42 Xprobe2:主動作業系統指紋工具
XProbe是一款遠端主機作業系統探查工具。開發者基於和Nmap相同的一些技術(same techniques),並加入了自己的創新。Xprobe通過ICMP協議來獲得指紋。
--------------------------------------------------------------------------------
#43 EtherApe:EtherApe是Unix平臺上的模仿etherman的圖形介面網路監控器
包含連線層、IP和TCP三種模式,EtherApe網路活動圖通過不同顏色來標識不同協議。主機和連線的圖形大小隨通訊情況而變化。它支援乙太網、FDDI、令牌環、ISDN、PPP和SLIP裝置。它可以實施過濾網路通訊,也可以抓取網路通訊快照檔案。
--------------------------------------------------------------------------------
#44 Core Impact:全自動的全面入侵檢測工具
Core Impact可不便宜(先準備個上萬美元吧),但它卻是公認的最強的漏洞檢測工具。它有一個強大的定時更新的專業漏洞資料庫,它可以輕易的黑掉一臺計算機,並以它為跳板再去作別的事情。如果您買不起Core Impact,可以看看比較便宜的Canvas或者免費的Metasploit Framework。當然,三個同時用是最好的了。
--------------------------------------------------------------------------------
#45 IDA Pro:Windows或Linux反編譯器和偵錯程式
反編譯器是一塊很重要的安全研究方向。它可以幫您拆解微軟的補丁,以瞭解微軟未公開並悄悄修補的漏洞,或直接以二進位制的方式對某個伺服器進行檢測,以找出為何某個存在的漏洞不起作用。反編譯器有很多,但IDA Pro是遵守二進位制包事實標準(de-facto standard)的惡意程式碼和漏洞研究分析工具。這個圖形化的、可程式設計的、可擴充套件的、支援多處理器的反編譯器現在有了一個和Windows一模一樣的 Linux(命令列模式)版本。
--------------------------------------------------------------------------------
#46 SolarWinds:網路發現/監控/攻擊系列工具
SolarWinds生產和銷售了許多專業的系統管理工具。安全相關的包括許多網路發現掃描器、一個SNMP暴力破解器、路由器密碼解密器、TCP連線重置程式、最快最易用的一個路由器設定下載和上傳程式等等。
--------------------------------------------------------------------------------
#47 Pwdump:一款Windows密碼恢復工具
Pwdump可以從Windows主機中取得NTLM和LanMan雜湊值,無論系統密碼是否啟用。它還能顯示系統中存在的歷史密碼。資料輸出格式為L0phtcrack相容格式,也可以以檔案形式輸出資料。
--------------------------------------------------------------------------------
#48 LSoF:開啟檔案列表
這是一款Unix平臺上的診斷和研究工具,它可以列舉當前所有程序開啟的檔案資訊。它也可以列舉所有程序開啟的通訊socket(communications sockets)。Windows平臺上類似的工具有Sysinternals。
--------------------------------------------------------------------------------
#49 RainbowCrack:極具創新性的密碼雜湊破解器
RainbowCrack 是一款使用了大規模記憶體時間交換(large-scale time-memory trade-off)技術的雜湊破解工具。傳統的暴力破解工具會嘗試每一個可能的密碼,要破解複雜的密碼會很費時。RainbowCrack運用時間交換技術對破解時間進行預計算,並將計算結果存入一個名叫"rainbow tables"的表裡。預計算確實也會花費較長時間,但相對暴力破解來說則短多了,而且一旦預計算完成破解開始,那麼破解所需要的時間就非常非常短了。
--------------------------------------------------------------------------------
#50 Firewalk:高階路由跟蹤工具
Firewalk使用類似路由跟蹤的技術來分析IP資料包反饋,以確定閘道器ACL過濾器型別和網路結構。㊣ COPY BY TTIAN.NET ㊣ 這款經典的工具在2002年十月由scratch重寫。這款工具的大部分功能Hping2的路由跟蹤部分也都能實現。
--------------------------------------------------------------------------------
#51 Angry IP Scanner:一款非常快的Windows IP 掃描器和埠掃描器
Angry IP Scanner能夠實現最基本的Windows平臺上的主機發現和埠掃描。它的體積非常的小,它還可以通過掛載外掛(a few plugins)來獲得主機其它資訊。
--------------------------------------------------------------------------------
#52 RKHunter:一款Unix平臺上的Rootkit檢測器
RKHunter是一款檢測例如rootkit、後門、漏洞等惡意程式的工具。它採用多種檢測手段,包括MD5雜湊值對比、rootkits原始檔名檢測、檔案許可權檢測,以及LKM和KLD模組中的可疑字串檢測。
--------------------------------------------------------------------------------
#53 Ike-scan:VPN檢測器和掃描器
Ike -scan是一款檢測IKE(Internet Key Exchange)服務傳輸特性的工具,IKE是VPN網路中伺服器和遠端客戶端建立連線的機制。在掃描到VPN伺服器的IP地址後,將改造過的IKE資料包分發給VPN網中的每一主機。只要是執行IKE的主機就會發回反饋來證明它存在。此工具然後對這些反饋資料包進行記錄和顯示,並將它們與一系列已知的 VPN產品指紋進行對比。Ike-scan的VPN指紋包含來自Checkpoint、Cisco、Microsoft、Nortel和 Watchguard的產品。
--------------------------------------------------------------------------------
#54 Arpwatch:持續跟蹤乙太網/IP地址配對,可以檢查出中間人攻擊
Arpwatch是LBNL網路研究組出品的一款經典的ARP中間人(man-in-the-middle)攻擊檢測器。它記錄網路活動的系統日誌,並將特定的變更通過Email報告給管理員。Arpwatch使用LibPcap來監聽本地乙太網介面ARP資料包。
--------------------------------------------------------------------------------
#55 KisMAC:一款Mac OS X上的圖形化被動無線網路搜尋器
這款Mac OS X下非常流行的搜尋器和Kismet功能差不多,但和Kismet不同的是Kismet是基於命令列的,而KisMac有很漂亮的圖形化介面,在OS X上出現得也比Kismet早。它同時還提供對映、Pcap相容格式資料輸入、登入和一些解密、驗證破解功能。
--------------------------------------------------------------------------------
#56 OSSEC HIDS:一款開源的基於主機的入侵檢測系統
OSSEC HIDS的主要功能有日誌分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。除了具有入侵檢測系統功能外,它還一般被用在SEM/SIM (安全事件管理(SEM: Security Event Management)/安全資訊管理(SIM:Security Information Management))解決方案中。因其強大的日誌分析引擎,ISP(Internet service provider)(網路服務提供商)、大學和資料中心用其監控和分析他們的防火牆、入侵檢測系統、網頁服務和驗證等產生的日誌。
--------------------------------------------------------------------------------
#57 Openbsd PF:OpenBSD資料包過濾器
象其它平臺上的Netfilter和IP Filter一樣,OpenBSD使用者最愛用PF,這就是他們的防火牆工具。它的功能有網路地址轉換、管理TCP/IP通訊、提供頻寬控制和資料包分級控制。它還有一些額外的功能,例如被動作業系統檢測。PF是由編寫OpenBSD的同一批人編寫的,所以您完全可以放心使用,它已經經過了很好的評估、設計和編碼以避免暴露其它包過濾器(other packet filters)上的類似漏洞。
--------------------------------------------------------------------------------
#58 Nemesis:簡單的資料包注入
Nemesis 專案設計目的是為Unix/Linux(現在也包含Windows了)提供一個基於命令列的、小巧的、人性化的IP堆疊。此工具套裝按協議分類,並允許對已注入的資料包流使用簡單的shell指令碼。如果您喜歡Nemesis,您也許對Hping2也會感興趣,它們是互補的關係。
--------------------------------------------------------------------------------
#59 Tor:匿名網路通訊系統
Tor 是一款面向希望提高其網路安全性的廣大組織和大眾的工具集。Tor的功能有匿名網頁瀏覽和釋出、即時資訊、irc、ssh以及其它一些TCP協議相關的功能。Tor還為軟體開發者提供一個可開發內建匿名性、安全性和其它私密化特性的軟體平臺。在Vidalia可以獲得跨平臺的圖形化介面。
--------------------------------------------------------------------------------
#60 Knoppix:一款多用途的CD或DVD光碟自啟動系統
Knoppix 由一系列典型的GNU/Linux軟體組成,可以自動檢測硬體環境,支援多種顯示卡、音效卡、SCSI和USB裝置以及其它外圍裝置。KNOPPIX作為一款高效的Linux光碟系統,可以勝任例如桌面系統、Linux教學光碟、救援系統等多種用途,經過這次在nmap中調查證實,它也是一款很小巧的安全工具。如果要使用更專業的Linux安全系統請看BackTrack。
--------------------------------------------------------------------------------
#61 ISS Internet Scanner:應用程式漏洞掃描器
Internet Scanner是由Christopher Klaus在92年編寫的一款開源的掃描器工具。現在這款工具已經演變成了一個市值上億美元生產無數安全產品的公司。
--------------------------------------------------------------------------------
#62 Fport:Foundstone出品的加強版netstat
Fport 可以報告所有本地機上開啟的TCP/IP和UDP埠,並顯示是何程式開啟的埠。所以用它可以快速識別出未知的開放埠以及與其相關的應用程式。它只有 Windows版本,但現在很多UNIX系統上的netstat也提供同樣的功能(Linux請用'netstat -pan')。SANS article有Fport的使用說明和結果分析方法。
--------------------------------------------------------------------------------
#63 chkrootkit:本地rootkit檢測器
chkrootkit 是一款小巧易用的Unix平臺上的可以檢測多種rootkit入侵的工具。它的功能包括檢測檔案修改、utmp/wtmp/last日誌修改、介面欺騙(promiscuous interfaces)、惡意核心模組(malicious kernel modules)。
--------------------------------------------------------------------------------
#64 SPIKE Proxy:HTTP攻擊
Spike Proxy是一款開源的以發現網站漏洞為目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自動SQL注入檢測、 網站爬行(web site crawling)、登入列表暴力破解、溢位檢測和目錄遊走檢測。
--------------------------------------------------------------------------------
#65 OpenBSD:被認為是最安全的作業系統
OpenBSD 是將安全作為作業系統首要任務的作業系統之一,甚至有時安全性級別要高於易用性,所以它驕人的安全性是不言而喻的。OpenBSD也非常重視系統的穩定性和對硬體的支援能力。也許他們最偉大的創舉就是創造了OpenSSH。 OpenBSD使用者對此係統之上的[pf](OpenBSD上的防火牆工具,本列表中第57位有介紹)也褒獎有佳。
--------------------------------------------------------------------------------
#66 Yersinia:一款支援多協議的底層攻擊工具
Yersinia 是一款底層協議攻擊入侵檢測工具。它能實施針對多種協議的多種攻擊。例如奪取生成樹的根角色(生成樹協議:Spanning Tree Protocol),生成虛擬CDP(Cisco發現協議:Cisco Discovery Protocol)鄰居、在一個HSRP(熱等待路由協議:Hot Standby Router Protocol)環境中虛擬成一個活動的路由器、製造假DHCP反饋,以及其它底層攻擊。
--------------------------------------------------------------------------------
#67 Nagios:一款開源的主機、服務和網路監控程式
Nagios 是一款系統和網路監控程式。它可以監視您指定的主機和服務,當被監視物件發生任何問題或問題被解決時發出提示資訊。它的主要功能有監控網路服務(smtp、pop3、http、nntp、ping等等)、監控主機資源(程序負載、硬碟空間使用情況等等)、當發現問題或問題解決時通過多種形式發出提示資訊(Email、尋呼機或其它使用者定義的方式)。
--------------------------------------------------------------------------------
#68 Fragroute/Fragrouter:一款網路入侵檢測逃避工具集
Fragrouter 是一款單向分段路由器,傳送(接收)IP資料包都是從攻擊者到Fragrouter,將資料包轉換成分段資料流發給受害者。很多入侵檢測系統都不能重建一段被視為一個整體的網路資料(通過IP分段和TCP流重組),詳情請見這篇文章(this classic paper)。Fragrouter可以幫助駭客在逃避入侵檢測後發起基於IP的攻擊。它是Dug Song出品的NIDSbench套裝中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。
--------------------------------------------------------------------------------
#69 X-scan:一款網路漏洞掃描器
一款多執行緒、支援外掛的漏洞掃描器。X-Scan主要功能有全面支援NASL(Nessus攻擊指令碼語言:Nessus Attack Scripting Language)、檢測服務型別、遠端作業系統型別(版本)檢測、弱使用者名稱/密碼匹配等等。最新版本可以在這裡獲取。請注意這是一箇中文網站(原文為英文,所以原文作者提醒英文讀者這是個中文網站)。
--------------------------------------------------------------------------------
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞掃描器和漏洞庫
Libwhisker 是一款Perl模板集用來測試HTTP。它的功能是測試HTTP伺服器上是否存在許多已知的安全漏洞,特別是CGI漏洞。Whisker是一款基於 libwhisker的掃描器,但是現在大家都趨向於使用Nikto,它也是基於libwhisker的。
--------------------------------------------------------------------------------
#71 Socat:雙向資料傳輸中繼
類似於Netcat的工具,可以工作於許多協議之上,運行於檔案、管道、裝置(終端或調變解調器等等)、socket(Unix、IP4、IP6- raw、 UDP、TCP)、Socks4客戶端、代理伺服器連線、或者SSL等等之間。它提供forking、logging和dumping,和不同模式的互動式處理通訊,以及更多其它選項。它可以作為TCP中繼(單次觸發:one-shot或者daemon(Internet中用於郵件收發的後臺程式))、作為基於daemon的動態Sockes化(socksifier)、作為Unix平臺上sockets的shell介面、作為IP6中繼、將面向TCP的程式重定向成序列線路(Serial Line)程式、或者建立用來執行客戶端或伺服器帶有網路連線的shell指令碼相關安全環境(su和chroot)。
--------------------------------------------------------------------------------
#72 Sara:安全評審研究助手
SARA是一款源於infamous SATAN掃描器的漏洞評估工具。此工具大約兩個月更新一次,出品此工具的開源社群還維護著Nmap和Samba。
--------------------------------------------------------------------------------
#73 QualysGuard:基於網頁的漏洞掃描器
在網站上以服務形式釋出,所以QualysGuard沒有開發、維護和升級漏洞管理軟體或ad-hoc安全應用程式的負擔。客戶端可以安全的通過一個簡單易用的網頁訪問 QualysGuard。QualysGuard含有5000種以上的單一漏洞檢查,一個基於推理的掃描引擎,而且漏洞知識庫自動天天升級。
--------------------------------------------------------------------------------
#74 ClamAV:一款UNIX平臺上的基於GPL(通用公開許可證:General Public License)的反病毒工具集
ClamAV 是一款強大的注重郵件伺服器附件掃描的反病毒掃描器。它含有一個小巧的可升級的多執行緒daemon、一個命令列掃描器和自動升級工具。Clam AntiVirus基於AntiVirus package釋出的開源病毒庫,您也可以將此病毒庫應用於您自己的軟體中,但是別忘了經常升級。
--------------------------------------------------------------------------------
#75 cheops / cheops-ng:提供許多簡單的網路工具,例如本地或遠端網路對映和識別計算機作業系統
Cheops 提供許多好用的圖形化使用者介面網路工具。它含有主機/網路發現功能,也就是主機作業系統檢測。Cheops-ng用來探查主機上執行的服務。針對某些服務,cheops-ng可以探查到執行服務的應用程式是什麼,以及程式的版本號。Cheops已經停止開發和維護,所以請最好使用cheops-ng。
--------------------------------------------------------------------------------
#76 Burpsuite:一款網頁程式攻擊整合平臺
Burp suite允許攻擊者結合手工和自動技術去列舉、分析、攻擊網頁程式。這些不同的burp工具通過協同工作,有效的分享資訊,支援以某種工具中的資訊為基礎供另一種工具使用從而發動攻擊。
--------------------------------------------------------------------------------
#77 Brutus:一款網路驗證暴力破解器
這款Windows平臺上的暴力破解器通過字典猜測遠端系統網路服務密碼。它支援HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不開放原始碼,UNIX平臺上的類似軟體有THC Hydra。
--------------------------------------------------------------------------------
#78 Unicornscan:另類埠掃描器
Unicornscan 是一款通過嘗試連線使用者系統(User-land)分散式TCP/IP堆疊獲得資訊和關聯關係的埠掃描器。它試圖為研究人員提供一種可以刺激 TCP/IP裝置和網路並度量反饋的超級介面。它主要功能包括帶有所有TCP變種標記的非同步無狀態TCP掃描、非同步無狀態TCP標誌捕獲、通過分析反饋資訊獲取主動/被動遠端作業系統、應用程式、元件資訊。它和Scanrand一樣都是另類掃描器。
--------------------------------------------------------------------------------
#79 Stunnel:用途廣泛的SSL加密封裝器
stunnel 用來對遠端客戶端和本地機(可啟動inetd的:inetd-startable)或遠端伺服器間的SSL加密進行封裝。它可以在不修改任何程式碼的情況下,為一般的使用inetd daemon的POP2、POP3和IMAP伺服器新增SSL功能。它通過使用OpenSSL或SSLeay庫建立SSL連線。
--------------------------------------------------------------------------------
#80 Honeyd:您私人的蜜罐系統
Honeyd 是一個可以在網路上建立虛擬主機的小型daemon。可以對此虛擬主機的服務和TCP進行配置,使其在網路中看起來是在執行某種作業系統。Honeyd可以使一臺主機在區域網中模擬出多個地址以滿足網路實驗環境的要求。虛擬主機可以被ping通,也可以對它們進行路由跟蹤。通過對配置檔案進行設定可以使虛擬計算機模擬執行任何服務。也可以使用服務代理替代服務模擬。它的庫有很多,所以編譯和安裝Honeyd比較難。
--------------------------------------------------------------------------------
#81 Fping:一個多主機同時ping掃描程式
fping 是一款類似ping(1)(ping(1)是通過ICMP(網路控制資訊協議Internet Control Message Protocol)協議回覆請求以檢測主機是否存在)的程式。Fping與ping不同的地方在於,您可以在命令列中指定要ping的主機數量範圍,也可以指定含有要ping的主機列表檔案。與ping要等待某一主機連線超時或發回反饋資訊不同,fping給一個主機發送完資料包後,馬上給下一個主機發送資料包,實現多主機同時ping。如果某一主機ping通,則此主機將被打上標記,並從等待列表中移除,如果沒ping通,說明主機無法到達,主機仍然留在等待列表中,等待後續操作。
--------------------------------------------------------------------------------
#82 BASE:基礎分析和安全引擎(Basic Analysis and Security Engine)
BASE 是一款基於PHP的可以搜尋和實施安全事件的分析引擎,她的安全事件資料庫來源於很多入侵檢測系統、防火牆、網路檢測工具生成的安全事件。它的功能包括一個查詢生成器和搜尋介面,用來搜尋漏洞;一個數據包瀏覽器(解碼器);還可以根據時間、感測器、訊號、協議和IP地址等生成狀態圖。
--------------------------------------------------------------------------------
#83 Argus:IP網路事務評審工具
Argus 是一款固定模型的實時的流量監視器,用來跟蹤和報告資料網路通訊流中所有事務的狀態和效能。Argus為流量評估定製了一種資料格式,其中包括連通性、容量、請求、丟包、延遲和波動,這些就作為評估事務的元素。這種資料格式靈活易擴充套件,支援常用流量標識和度量,還可以獲得指定的應用程式/協議的資訊。
--------------------------------------------------------------------------------
#84 Wikto:網頁伺服器評估工具
Wikto是一款檢查網頁伺服器漏洞的工具。它和Nikto類似,但是添加了很多其它功能,例如一個整合了Google的後臺發掘器。Wikto工作於MS ..NET環境下,下載此軟體和原始碼需要註冊。
--------------------------------------------------------------------------------
#85 Sguil:網路安全監控器命令列分析器
Sguil(按sgweel發音)是由network security analysts出品的網路安全分析工具。Sguil的主要元件就是一個Snort/barnyard實時事件顯示介面。它還包含一些網路安全監控的輔助工具和事件驅動的入侵檢測系統分析報告。
--------------------------------------------------------------------------------
#86 Scanrand:一個異常快速的無狀態網路服務和拓樸結構發現系統
Scanrand是一款類似Unicornscan的無狀態主機發現和埠掃描工具。它以降低可靠性來換取異常快的速度,還使用了加密技術防止黑客修改掃描結果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。
--------------------------------------------------------------------------------
#87 IP Filter:小巧的UNIX資料包過濾器
IP Filter是一款軟體包,可以實現網路地址轉換(network address translation)(NAT)或者防火牆服務的功能。它可以作為UNIX的一個核心模組,也可以不嵌入核心,強烈推薦將其作為UNIX的核心模組。安裝和為系統檔案打補丁要使用指令碼。IP Filter內置於FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux使用者可以使用Netfilter。
--------------------------------------------------------------------------------
#88 Canvas:一款全面的漏洞檢測框架
Canvas 是Aitel's ImmunitySec出品的一款漏洞檢測工具。它包含150個以上的漏洞,它比Core Impact便宜一些,但是它也價值數千美元。您也可以通過購買VisualSploit Plugin實現在圖形介面上通過拖拽就可以生成漏洞。Canvas偶爾也會發現一些ODay漏洞。
--------------------------------------------------------------------------------
#89 VMware:多平臺虛擬軟體
VMware 虛擬軟體允許您在一個系統中虛擬執行另一個系統。這對於安全專家在多平臺下測試程式碼和漏洞非常有用。它只執行在Windows和Linux平臺上,但它可以虛擬執行幾乎所有的x86作業系統。它對建立沙箱(sandboxes)也非常有用。在VMware虛擬系統上感染了惡意軟體不會影響到宿主機器,可以通過載入快照檔案恢復被感染了的虛擬系統。VMware不能建立虛擬系統的映象檔案。VMware最近剛剛宣佈免費。另一款在Linux下頗受矚目的虛擬平臺軟體是Xen。
--------------------------------------------------------------------------------
#90 Tcptraceroute:一款基於TCP資料包的路由跟蹤工具
現代網路廣泛使用防火牆,導致傳統路由跟蹤工具發出的(ICMP應答(ICMP echo)或UDP)資料包都被過濾掉了,所以無法進行完整的路由跟蹤。儘管如此,許多情況下,防火牆會准許反向(inbound)TCP資料包通過防火牆到達指定埠,這些埠是主機內防火牆背後的一些程式和外界連線用的。通過傳送TCP SYN資料包來代替UDP或者ICMP應答資料包,tcptraceroute可以穿透大多數防火牆。
--------------------------------------------------------------------------------
#91 SAINT:安全管理綜合網路工具
SAINT象Nessus、ISS Internet Scanner和Retina一樣,也是一款商業漏洞評估工具。它以前是執行在UNIX系統之上的免費開源工具,但現在收費了。
--------------------------------------------------------------------------------
#92 OpenVPN:全功能SSL VPN解決方案
OpenVPN 是一款開源的SSL VPN工具包,它可以實現很多功能,包括遠端登入、站對站VPN、WiFi安全、帶有負載平衡的企業級遠端登入解決方案、節點控制移交(failover)、嚴密的訪問控制。OpenVPN運行於OSI 2層或3層安全網路,使用SSL/TLS工業標準協議,支援靈活的基於證書、智慧卡、二元驗證的客戶端驗證方法,允許在VPN虛擬介面上使用防火牆規則作為使用者或指定使用者組的訪問控制策略。OpenVPN使用OpenSSL作為其首選加密庫
--------------------------------------------------------------------------------
#93 OllyDbg:彙編級Windows偵錯程式
OllyDbg 是一款微軟Windows平臺上的32位彙編級的分析偵錯程式。因其直接對二進位制程式碼進行分析,所以在無法獲得原始碼的時候它非常有用。OllyDbg含有一個圖形使用者介面,它的高階程式碼分析器可以識別過程、迴圈、API呼叫、交換、表、常量和字串,它可以載入執行時程式,支援多執行緒。OllyDbg可以免費下載,但不開源。
--------------------------------------------------------------------------------
#94 Helix:一款注重安全防護的Linux版本
Helix 是一款自定義版本的Knoppix自啟動Linux光碟系統。Helix遠不止是一張自啟動光碟。除了光碟啟動到自定義的Linux環境,還具有超強的硬體支援能力,包含許多應付各種問題的軟體。Helix儘量少的接觸主機軟硬資源。Helix不自動載入交換(swap)空間,不自動載入其它任何外圍裝置。Helix還可以自動載入Windows,以應對意外情況。
--------------------------------------------------------------------------------
#95 Bastille:Linux、Mac OS X和HP-UX的安全加強指令碼
Bastille 使作業系統固若金湯,減少系統遭受危險的可能,增加系統的安全性。Bastille還可以評估系統當前的安全性,週期性的報告每一項安全設定及其工作情況。Bastille當前支援Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake這些Linux版本,還有HP-UX和Mac OS X。Bastille旨在使系統使用者和管理員瞭解如何加固系統。在其預設的最堅固模式下,它不斷的詢問使用者問題,並對這些問題加以解釋,根據使用者對問題不同的回答選擇不同的應對策略。在其評估模式下,它會生成一份報告旨在告訴使用者有哪些安全設定可用,同時也提示使用者哪些設定被加固了。
--------------------------------------------------------------------------------
#96 Acunetix Web Vulnerability Scanner:商業漏洞掃描器
Acunetix WVS自動檢查您的網頁程式漏洞,例如SQL注入、跨網站指令碼和驗證頁面弱密碼破解。Acunetix WVS有著非常友好的使用者介面,還可以生成個性化的網站安全評估報告。
--------------------------------------------------------------------------------
#97 TrueCrypt:開源的Windows和Linux磁碟加密軟體
TrueCrypt 是一款非常出色的開源磁碟加密系統。使用者可以加密整個檔案系統,它可以實時加密/解密而不需要使用者干涉,只要事先輸入密碼。非常巧妙的hidden volume特性允許您對特別敏感的內容進行第二層加密來隱藏它的存在。所以就算加密系統的密碼暴露,黑客也不知道還有隱藏內容存在。
--------------------------------------------------------------------------------
#98 Watchfire AppScan:商業網頁漏洞掃描器
AppScan按照應用程式開發生命週期進行安全測試,早在開發階段就進行單元測試和安全保證。Appscan能夠掃描多種常見漏洞,例如跨網站指令碼、HTTP應答切開、引數篡改、隱藏值篡改、後門/除錯選項和緩衝區溢位等等。
--------------------------------------------------------------------------------
#99 N-Stealth:網頁伺服器掃描器
N- Stealth是一款網頁伺服器安全掃描器。它比Whisker/libwhisker和Nikto這些免費的網頁掃描器升級得更頻繁,但是它網站上聲稱的可以掃描30000種漏洞(30000 vulnerabilities and exploits)和每天新增數十種漏洞(Dozens of vulnerability checks are added every day)的說法是很值得懷疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara這些防入侵工具都含有網頁掃描元件,它們都很難做到每日更新。N-Stealth運行於 Windows平臺之上,且不開源。
--------------------------------------------------------------------------------
#100 MBSA:微軟基準安全分析器(Microsoft Baseline Security Analyzer)
Microsoft Baseline Security Analyzer(MBSA)是一款簡單易用的工具,幫助IT專業人員檢測其小型和中型商業應用的安全性,將使用者系統與微軟安全建議(Microsoft security recommendations)進行比對,並給出特定的建議指導。通過與Windows內建的Windows自動升級代理器(Windows Update Agent)和微軟自動升級基礎架構(Microsoft Update infrastructure)的協作,MBSA能夠保證和其它微軟管理產品的資料保持一致,它們包括微軟自動升級(Microsoft Update(MU))、Windows伺服器自動升級服務(Windows Server Update Services(WSUS))、系統管理伺服器(Systems Management Server(SMS))和微軟執行管理器(Microsoft Operations Manager(MOM))。MBSA平均每週要掃描3百萬臺電腦。
--------------------------------------------------------------------------------
致謝
受訪者被要求列出各種平臺上的開源和商業工具。商業工具會在列表中進行標註。Nmap Security Scanner 沒有參與投票,因為調查是在Nmap的郵件列表中進行的。因為受訪者多為黑客的原因,所以此列表中攻擊型的工具偏多一些,防守型的則少一些。
列表中每個工具都含有以下一種或幾種屬性:2003年調查列表中未出現的工具;相對於2003年調查列表排名升或降;需要花錢購買。但可以免費獲得限制、演示、試用版本軟體;可以工作於Linux平臺之上;可以工作於OpenBSD、FreeBSD、Solaris 或其它UNIX平臺之上;可以工作於蘋果Mac OS X平臺之上;可以工作於微軟Windows平臺之上;提供命令列操作方式;提供圖形化使用者介面;在網際網路上可以找到原始碼。
如果您發現列表中的工具有更新或者有其它建議--或者有更好的工具圖示 可以傳送郵件給我。如果您的工具入選此列表了,或者您認為您網站的訪客也許會對此列表感興趣,歡迎您通過link banners把本文連結到您網站上。以下開始為正式列表,按受歡迎程度降序排列:
#1 Nessus:最好的UNIX漏洞掃描工具
Nessus 是最好的免費網路漏洞掃描器,它可以運行於幾乎所有的UNIX平臺之上。它不止永久升級,還免費提供多達11000種外掛(但需要註冊並接受EULA- acceptance--終端使用者授權協議)。它的主要功能是遠端或本地(已授權的)安全檢查,客戶端/伺服器架構,GTK(Linux下的一種圖形介面)圖形介面,內建指令碼語言編譯器,可以用其編寫自定義外掛,或用來閱讀別人寫的外掛。Nessus 3 已經開發完成(now closed source),其現階段仍然免費,除非您想獲得最新的外掛。
--------------------------------------------------------------------------------
#2 Wireshark:網路嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的開源網路協議分析器。它可以實時檢測網路通訊資料,也可以檢測其抓取的網路通訊資料快照檔案。可以通過圖形介面瀏覽這些資料,可以檢視網路通訊資料包中每一層的詳細內容。Wireshark擁有許多強大的特性:包含有強顯示過濾器語言(rich display filter language)和檢視TCP會話重構流的能力;它更支援上百種協議和媒體型別;擁有一個類似tcpdump(一個Linux下的網路協議分析工具)的名為tethereal的的命令列版本。不得不說一句,Ethereal已經飽受許多可遠端利用的漏洞折磨,所以請經常對其進行升級,並在不安全網路或敵方網路(例如安全會議的網路)中謹慎使用之。
--------------------------------------------------------------------------------
#3 Snort:一款廣受歡迎的開源IDS(Intrusion Detection System)(入侵檢測系統)工具
這款小型的入侵檢測和預防系統擅長於通訊分析和IP資料包登入(packet logging)。Snort除了能夠進行協議分析、內容搜尋和包含其它許多預處理程式,還可以檢測上千種蠕蟲病毒、漏洞、埠掃描以及其它可疑行為檢測。Snort使用一種簡單的基於規則的語言來描述網路通訊,以及判斷對於網路資料是放行還是攔截,其檢測引擎是模組化的。用於分析Snort警報的網頁形式的引擎 Basic Analysis and Security Engine (BASE)可免費獲得。
開源的Snort為個人、小企業、集團使用者提供良好的服務。其母公司SourceFire提供豐富的企業級特性和定期升級以豐富其產品線。提供(必須註冊)5天免費的規則試用,您也可以在Bleeding Edge Snort找到很多免費規則。
--------------------------------------------------------------------------------
#4 Netcat:網路瑞士軍刀
這個簡單的小工具可以讀和寫經過TCP或UDP網路連線的資料。它被設計成一個可靠的可以被其它程式或指令碼直接和簡單使用的後臺工具。同時,它也是一個功能多樣的網路除錯和檢查工具,因為它可以生成幾乎所有您想要的網路連線,包括通過埠繫結來接受輸入連線。Netcat最早由Hobbit在1995年釋出,但在其廣為流傳的情況下並沒有得到很好的維護。現在nc110.tgz已經很難找了。這個簡單易用的工具促使了很多人寫出了很多其它Netcat應用,其中有很多功能都是原版本沒有的。其中最有趣的是Socat,它將Netcat擴充套件成可以支援多種其它socket型別,SSL加密,SOCKS代理,以及其它擴充套件的更強大的工具。它也在本列表中得到了自己的位置(第71位)。還有Chris Gibson's Ncat,能夠提供更多對便攜裝置的支援。其它基於Netcat的工具還有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
--------------------------------------------------------------------------------
#5 Metasploit Framework:黑掉整個星球
2004 年Metasploit的釋出在安全界引發了強烈的地震。沒有一款新工具能夠一發布就擠進此列表的15強(也就是說2000年和2003年的調查沒有這種情況),更何況此工具更在5強之列,超過了很多廣為流傳的誕生了幾十年的老牌工具。它是一個強大的開源平臺,供開發、測試和使用惡意程式碼。這種可擴充套件的模型將負載控制、編碼器、無操作生成器和漏洞整合在一起,使得Metasploit Framework成為一種研究高危漏洞的途徑。它自帶上百種漏洞,還可以在online exploit building demo(線上漏洞生成演示)看到如何生成漏洞。這使得您自己編寫漏洞變得更簡單,它勢必將提升非法shellcode程式碼的水平,擴大網路陰暗面。與其相似的專業漏洞工具,例如Core Impact和Canvas已經被許多專業領域使用者使用。Metasploit降低了這種能力的門檻,將其推廣給大眾。
--------------------------------------------------------------------------------
#6 Hping2:一種網路探測工具,是ping的超級變種
這個小工具可以傳送自定義的ICMP,UDP和TCP資料包,並接收所有反饋資訊。它的靈感來源於ping命令,但其功能遠遠超過ping。它還包含一個小型的路由跟蹤模組,並支援IP分段。此工具可以在常用工具無法對有防火牆保護的主機進行路由跟蹤/ping/探測時大顯身手。它經常可以幫助您找出防火牆的規則集,當然還可以通過它來學習TCP/IP協議,並作一些IP協議的實驗。
--------------------------------------------------------------------------------
#7 Kismet:一款超強的無線嗅探器
Kismet 是一款基於命令列(ncurses)的802.11 layer2無線網路探測器、嗅探器、和入侵檢測系統。它對網路進行被動嗅探(相對於許多主動工具,例如NetStumbler),可以發現隱形網路(非信標)。它可以通過嗅探TCP、UDP、ARP和DHCP資料包來自動檢測網路IP段,以Wireshark/TCPDump相容格式記錄通訊日誌,更加可以將被檢測到的網路分塊並按照下載的分佈圖進行範圍估計。如您所想,這款工具一般被wardriving所使用。嗯!還有warwalking、 warflying和warskating……
--------------------------------------------------------------------------------
#8 Tcpdump:最經典的網路監控和資料捕獲嗅探器
在Ethereal (Wireshark)出現之前大家都用Tcpdump,而且很多人現在還在一直使用。它也許沒有Wireshark那麼多花裡胡哨的東西(比如漂亮的圖形介面,亦或數以百計的應用協議邏輯分析),但它能出色的完成很多工,並且漏洞非常少,消耗系統資源也非常少。它很少新增新特性了,但經常修復一些 bug和維持較小的體積。它能很好的跟蹤網路問題來源,並能監控網路活動。其Windows下的版本叫做WinDump。Libpcap/WinPcap 的包捕獲庫就是基於TCPDump,它也用在Nmap等其它工具中。
--------------------------------------------------------------------------------
#9 Cain and Abel:Windows平臺上最好的密碼恢復工具
UNIX 使用者經常聲稱正是因為Unix平臺下有很多非常好的免費安全工具,所以Unix才會成為最好的平臺,而Windows平臺一般不在他們的考慮範圍之內。他們也許是對的,但Cain & Abel確實讓人眼前一亮。這種只運行於Windows平臺的密碼恢復工具可以作很多事情。它可以通過嗅探網路來找到密碼、利用字典破解加密密碼、暴力破解密碼和密碼分析、記錄VoIP會話、解碼非常複雜的密碼、星號檢視、剝離快取密碼以及分析路由協議。另外其文件也很齊全(well documented)。
--------------------------------------------------------------------------------
#10 John the Ripper:一款強大的、簡單的以及支援多平臺的密碼破解器
John the Ripper是最快的密碼破解器,當前支援多種主流Unix (官方支援11種,沒有計算不同的架構)、DOS、Win32、BeO和OpenVMS。它的主要功能就是檢測弱Unix密碼。它支援主流Unix下的多種(3種)密碼雜湊加密型別,它們是Kerberos、AFS以及Windows NT/2000/XP LM。其它雜湊型別可以通過補丁包載入。如果您希望從一些單詞表開始的話,您可以在這裡、這裡和這裡找到。
--------------------------------------------------------------------------------
#11 Ettercap:為交換式區域網提供更多保護
Ettercap 是一款基於終端的乙太網絡區域網嗅探器/攔截器/日誌器。它支援主動和被動的多種協議解析(甚至是ssh和https這種加密過的)。還可以進行已建立連線的資料注入和實時過濾,保持連線同步。大部分嗅探模式都是強大且全面的嗅探組合。支援外掛。能夠識別您是否出在交換式區域網中,通過使用作業系統指紋(主動或被動)技術可以得出區域網結構。
--------------------------------------------------------------------------------
#12 Nikto:非常全面的網頁掃描器
Nikto 是一款開源的(GPL)網頁伺服器掃描器,它可以對網頁伺服器進行全面的多種掃描,包含超過3200種有潛在危險的檔案/CGIs;超過625種伺服器版本;超過230種特定伺服器問題。掃描項和外掛可以自動更新(如果需要)。基於Whisker/libwhisker完成其底層功能。這是一款非常棒的工具,但其軟體本身並不經常更新,最新和最危險的可能檢測不到。
--------------------------------------------------------------------------------
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令
雖然有很多重型的高科技網路安全工具,但是不要忘記其基礎!所有網路安全人士都要對這些基本命令非常熟悉,因為它們對大多數平臺都適用(在Windows 平臺上whois為tracert)。它們可以隨手捏來,當然如果需要使用一些更高階的功能可以選擇Hping2和Netcat。
--------------------------------------------------------------------------------
#14 OpenSSH / PuTTY / SSH:訪問遠端計算機的安全途徑
SSH (Secure Shell)現在普遍應用於登入遠端計算機或在其上執行命令。它為不安全網路上的兩臺不互信計算機間通訊提供安全加密,代替非常不可靠的 telnet/rlogin/rsh互動內容。大多UNIX使用開源的OpenSSH伺服器和客戶端程式。Windows使用者更喜歡免費的PuTTY客戶端,它也可以執行在多種移動裝置上。還有一些Windows使用者喜歡使用基於終端的OpenSSH模擬程式Cygwin。還有其它很多收費和免費的客戶端。您可以在這裡和這裡找到。
--------------------------------------------------------------------------------
#15 THC Hydra:支援多種服務的最快的網路認證破解器
如果您需要暴力破解一個遠端認證服務,Hydra經常會是選擇物件。它可以同時對30個以上的埠進行基於字典的快速破解,包括telnet、ftp、http、https、smb、多種資料庫及其它服務。和THC Amap一樣,此Hydra版本來自於民間組織THC。
--------------------------------------------------------------------------------
#16 Paros proxy:網頁程式漏洞評估代理
基於Java的網頁程式漏洞評估代理。支援實時編輯和瀏覽HTTP/HTTPS資訊,修改例如Cookie和表字段中的內容。它包含有網頁通訊記錄器、網頁小偷(web spider)、雜湊計算器和一個常用網頁程式攻擊掃描器,例如SQL注入和跨網站指令碼等。
--------------------------------------------------------------------------------
#17 Dsniff:一款超強的網路評估和滲透檢測工具套裝
由Dug Song精心設計並廣受歡迎的這款套裝包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和 webspy通過被動監視網路以獲得敏感資料(例如密碼、郵件地址、檔案等)。Arpspoof、dnsspoof和macof能夠攔截一般很難獲取到的網路通訊資訊(例如由於使用了第二層轉換(layer-2 switching))。Sshmitm和webmitm通過ad-hoc PKI中弱繫結漏洞對ssh和https會話進行重定向實施動態monkey-in-the-middle(利用中間人攻擊技術,對會話進行劫持)攻擊。 Windows版本可以在這裡獲取。總之,這是一個非常有用的工具集。它能完成幾乎所有密碼嗅探需要作的工作。
--------------------------------------------------------------------------------
#18 NetStumbler:免費的Windows 802.11嗅探器
Netstumbler 是廣為人知的尋找開放無線訪問接入點的Windows工具("wardriving")。其PDA上的WinCE系統版本名叫Ministumbler。此軟體當前免費,但只能夠執行在Windows平臺上,且程式碼不公開。它使用很多主動方法尋找WAP,而Kismet或KisMAC則更多使用被動嗅探。
--------------------------------------------------------------------------------
#19 THC Amap:一款應用程式指紋掃描器
Amap 是一款很棒的程式,它可以檢測出某一埠正在被什麼程式監聽。因為其獨有的version detection特性,所以其資料庫不會象Nmap一樣變得很大,在Nmap檢測某一服務失敗或者其它軟體不起作用時可以考慮使用之。Amap的另一特性是其能夠解析Nmap輸出檔案。這也是THC貢獻的另一款很有價值的工具。
--------------------------------------------------------------------------------
#20 GFI LANguard:一款Windows平臺上的商業網路安全掃描器
GFI LANguard通過對IP網路進行掃描來發現執行中的計算機,然後嘗試收集主機上執行的作業系統版本和正在執行的應用程式。我曾經嘗試收集到了 Windows主機上的service pack級別、缺少的安全更新、無線訪問接入點、USB裝置、開放的共享、開放的埠、正在執行的服務和應用程式、主要登錄檔項、弱密碼、使用者和組別以及其它更多資訊。掃描結果儲存在一份可自定義/可查詢的HTML報告文件中。它還含有一個補丁管理器,可以檢查並安裝缺少的補丁。試用版可以免費獲得,但只能使用30天。
--------------------------------------------------------------------------------
#21 Aircrack:最快的WEP/WPA破解工具
Aircrack 是一套用於破解802.11a/b/g WEP和WPA的工具套裝。一旦收集到足夠的加密資料包它可以破解40到512位的WEP密匙,它也可以通過高階加密方法或暴力破解來破解WPA 1或2網路。套裝中包含airodump(802.11資料包捕獲程式)、aireplay (802.11資料包注入程式)、aircrack(靜態WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕獲檔案)。
--------------------------------------------------------------------------------
#22 Superscan:只運行於Windows平臺之上的埠掃描器、ping工具和解析器
SuperScan是一款Foundstone開發的免費的只運行於Windows平臺之上的不開源的TCP/UDP埠掃描器。它其中還包含許多其它網路工具,例如ping、路由跟蹤、http head和whois。
--------------------------------------------------------------------------------
#23 Netfilter:最新的Linux核心資料包過濾器/防火牆
Netfilter 是一款強大的運行於標準Linux核心上的包過濾器。它集成了使用者空間IP列表工具。當前,它支援包過濾(無狀態或有狀態)、所有型別的網路地址和埠轉換(NAT/NAPT)並支援多API層第三方擴充套件。它包含多種不同模組用來處理不規則協議,例如FTP。其它UNIX平臺請參考Openbsd PF(只用於OpenBSD)或者IP Filter。許多個人防火牆(personal firewalls)都支援Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微軟在Windows XP SP2中集成了一款非常基礎的防火牆,如果您不安裝它,它就會不斷地提示您安裝。
--------------------------------------------------------------------------------
#24 Sysinternals:一款強大的非常全面的Windows工具合集
Sysinternals為Windows低階入侵提供很多非常有用的小工具。其中一部分是免費的,有些還附有原始碼,其它是需要付費使用的。受訪者最喜歡此集合中的以下工具:
ProcessExplorer 監視所有程序開啟的所有檔案和目錄(類似Unix上的LSoF)。
PsTools 管理(執行、掛起、殺死、檢視)本地和遠端程序。
Autoruns 發現系統啟動和登陸時載入了哪些可執行程式。
RootkitRevealer 檢測登錄檔和檔案系統API異常,用以發現使用者模式或核心模式的rootkit工具。
TCPView 瀏覽每個程序的TCP和UDP通訊終點(類似Unix上的Netstat)。
生產此軟體的公司已被微軟於2005年收購,所以其未來產品線特徵無法預測。
--------------------------------------------------------------------------------
#25 Retina:eEye出品的商業漏洞評估掃描器
象Nessus一樣,Retina的功能是掃描網路中所有的主機並報告發現的所有漏洞。eEye出品,此公司以其security research而聞名。
--------------------------------------------------------------------------------
#26 Perl / Python / Ruby:簡單的、多用途的指令碼語言
常用的安全問題都能在網上找到工具解決,但使用指令碼語言您可以編寫您自己的(或編輯現有的)工具,當您需要解決某種特定問題的時候。快速、簡單的指令碼語言可以測試、發現漏洞甚至修復系統漏洞。CPAN上充滿了類似Net::RawIP和執行協議的程式模組,可以使您的工作更加輕鬆。
--------------------------------------------------------------------------------
#27 L0phtcrack:Windows密碼猜測和恢復程式
L0phtCrack 也叫作LC5,用來嘗試通過雜湊(通過某種訪問方式獲得的)方法破解諸如Windows NT/2000工作站、聯網伺服器、主域控制器、或活動目錄密碼,有時它也可以通過嗅探獲得密碼的雜湊值。它還可以通過多種手段來猜測密碼(字典、暴力破解等等)。Symantec公司2006年已經停止了LC5的開發,但LC5 installer的安裝檔案隨處可以找到。免費試用版只能使用15天,Symantec已經停止出售此軟體的註冊碼,所以如果您不想放棄使用它,就必須找到一個與其對應的註冊碼生成器(key generator)。因為Symantec不再維護此軟體,所以最好嘗試用Cain and Abel或John the Ripper來代替之。
--------------------------------------------------------------------------------
#28 Scapy:互動式資料包處理工具
Scapy 是一款強大的互動式資料包處理工具、資料包生成器、網路掃描器、網路發現工具和包嗅探工具。它提供多種類別的互動式生成資料包或資料包集合、對資料包進行操作、傳送資料包、包嗅探、應答和反饋匹配等等功能。Python直譯器提供互動功能,所以要用到Python程式設計知識(例如variables、 loops、和functions)。支援生成報告,且報告生成簡單。
--------------------------------------------------------------------------------
#29 Sam Spade:Windows網路查詢免費工具
Sam Spade為許多網路查詢的一般工作提供了圖形介面和方便的操作。此工具設計用於跟蹤垃圾資訊傳送者,但它還可以用於許多其它的網路探查、管理和安全工作。它包含許多有用的工具,例如ping、nslookup、whois、dig、路由跟蹤、查詢器、原始HTTP網頁瀏覽器、DNS地址轉換、SMTP 中繼檢查、網站搜尋等等。非Windows使用者可以線上使用更多其它工具。
--------------------------------------------------------------------------------
#30 GnuPG / PGP :對您的檔案和通訊進行高階加密
PGP是Phil Zimmerman出品的著名加密程式,可以使您的資料免受竊聽以及其它危險。GnuPG是一款口碑很好的遵守PGP標準的開源應用(可執行程式名為gpg)。GunPG是免費的,而PGP對某些使用者是收費的。
--------------------------------------------------------------------------------
#31 Airsnort:802.11 WEP加密破解工具
AirSnort是一款用來恢復加密密碼的無線LAN(WLAN)工具。Shmoo Group出品,工作原理是被動監控傳輸資訊,當收集到足夠多的資料包後開始計算加密密碼。Aircrack和它很像。
--------------------------------------------------------------------------------
#32 BackTrack:一款極具創新突破的Live(刻在光碟上的,光碟直接啟動) 光碟自啟動Linux系統平臺
這款卓越的光碟自啟動Linux系統是由Whax和Auditor合併而成。它以其超級多的安全和防護工具配以豐富的開發環境而聞名。重點在於它的使用者模組化設計,使用者可以自定義將哪些模組刻到光碟上,例如自己編寫的指令碼、附加工具、自定義核心等等。
--------------------------------------------------------------------------------
#33 P0f:萬能的被動作業系統指紋工具
P0f 能夠通過捕獲並分析目標主機發出的資料包來對主機上的作業系統進行鑑別,即使是在系統上裝有效能良好的防火牆的情況下也沒有問題。P0f不增加任何直接或間接的網路負載,沒有名稱搜尋、沒有祕密探測、沒有ARIN查詢,什麼都沒有。某些高手還可以用P0f檢測出主機上是否有防火牆存在、是否有NAT、是否存在負載平衡器等等!
--------------------------------------------------------------------------------
#34 Google:人人喜愛的搜尋引擎
Google 當然不是什麼安全工具,但是它超級龐大的資料庫卻是安全專家和入侵者最好的資源。如果您想了解某一公司,您可以直接用它搜尋 “site:target-domain.com”,您可以獲得員工姓名、敏感資訊(通常公司不對外公開的,但在Google上就難說了)、公司內部安裝的軟體漏洞等等。同樣,如果您在Google上發現一個有某個漏洞的網站,Google還會提供給您其它有相同漏洞的網站列表。其中利用Google進行黑客活動的大師Johny Long建立了一個Google黑客資料庫(Google Hacking Database)還出版了一本如何用Google進行黑客活動的書Google Hacking for Penetration Testers。
--------------------------------------------------------------------------------
#35 WebScarab:一個用來分析使用HTTP和HTTPS協議的應用程式框架
它的原理很簡單,WebScarab記錄它檢測到的會話內容(請求和應答),使用者可以通過多種形式來檢視記錄。WebScarab的設計目的是讓使用者可以掌握某種基於HTTP(S)程式的運作過程;也可以用它來除錯程式中較難處理的bug,也可以幫助安全專家發現潛在的程式漏洞。
--------------------------------------------------------------------------------
#36 Ntop:網路通訊監控器
Ntop 以類似程序管理器的方式顯示網路使用情況。在應用程式模式下,它能顯示使用者終端上的網路狀況。在網頁模式下,它作為網頁伺服器,以HTML文件形式顯示網路狀況。它是NetFlow/sFlow發射和收集器,通過一個基於HTTP的客戶端介面來生成以ntop為中心的監控程式,RRD(Round Robin Database)(環形資料庫)用來持續儲存網路通訊狀態資訊。
--------------------------------------------------------------------------------
#37 Tripwire:很老的檔案完整性檢查器
一款檔案和目錄完整性檢查器。Tripwire是一種可以幫助系統管理員和一般使用者監控某一特定檔案或目錄變化的工具。可以用以對系統檔案作日常(例如:每天)檢查,Tripwire可以向系統管理員通報檔案損壞或被篡改情況,所以這是一種週期性的檔案破壞控制方法。免費的開源Linux版本可以在 Tripwire.Org下載到。AIDE是UNIX平臺的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的選擇。Windows使用者請使用Sysinternals出品的RootkitRevealer。
--------------------------------------------------------------------------------
#38 Ngrep:方便的資料包匹配和顯示工具
ngrep 儘可能多的去實現GNU grep的功能,將它們應用於網路層。Ngrep是一款pcap-aware工具,它允許指定各種規則式或16進製表達式去對資料負載或資料包進行匹配。當前支援TCP、UDP、乙太網上的ICMP、PPP、SLIP、FDDI、令牌環(Token Ring)和空介面(null interfaces),還能理解類似Tcpdump和snoop等一樣形式的bpf過濾器邏輯。
--------------------------------------------------------------------------------
#39 Nbtscan:在Windows網路上收集NetBIOS資訊
NBTscan是一款在IP網路上掃描NetBIOS名稱資訊的工具。它通過給指定範圍內所有地址傳送狀態查詢來獲得反饋資訊並以表形式呈現給使用者。每一地址的反饋資訊包括IP地址、NetBIOS計算機名、登入使用者、MAC地址。
--------------------------------------------------------------------------------
#40 WebInspect:強大的網頁程式掃描器
SPI Dynamics' WebInspect應用程式安全評估工具幫您識別已知和未知的網頁層漏洞。它還能檢測到Web伺服器的配置屬性,以及進行常見的網頁攻擊,例如引數注入、跨網站指令碼、目錄遊走等等。
--------------------------------------------------------------------------------
#41 OpenSSL:最好的SSL/TLS加密庫
OpenSSL 專案的目的是通過開源合作精神開發一種健壯的、可以和同型別商業程式媲美的、全功能的,且開源的應用於SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)協議的普遍適用的加密庫工具集。本專案由世界範圍內的志願者們維護,他們通過網際網路聯絡、計劃和開發OpenSSL工具集及其相關文件。
--------------------------------------------------------------------------------
#42 Xprobe2:主動作業系統指紋工具
XProbe是一款遠端主機作業系統探查工具。開發者基於和Nmap相同的一些技術(same techniques),並加入了自己的創新。Xprobe通過ICMP協議來獲得指紋。
--------------------------------------------------------------------------------
#43 EtherApe:EtherApe是Unix平臺上的模仿etherman的圖形介面網路監控器
包含連線層、IP和TCP三種模式,EtherApe網路活動圖通過不同顏色來標識不同協議。主機和連線的圖形大小隨通訊情況而變化。它支援乙太網、FDDI、令牌環、ISDN、PPP和SLIP裝置。它可以實施過濾網路通訊,也可以抓取網路通訊快照檔案。
--------------------------------------------------------------------------------
#44 Core Impact:全自動的全面入侵檢測工具
Core Impact可不便宜(先準備個上萬美元吧),但它卻是公認的最強的漏洞檢測工具。它有一個強大的定時更新的專業漏洞資料庫,它可以輕易的黑掉一臺計算機,並以它為跳板再去作別的事情。如果您買不起Core Impact,可以看看比較便宜的Canvas或者免費的Metasploit Framework。當然,三個同時用是最好的了。
--------------------------------------------------------------------------------
#45 IDA Pro:Windows或Linux反編譯器和偵錯程式
反編譯器是一塊很重要的安全研究方向。它可以幫您拆解微軟的補丁,以瞭解微軟未公開並悄悄修補的漏洞,或直接以二進位制的方式對某個伺服器進行檢測,以找出為何某個存在的漏洞不起作用。反編譯器有很多,但IDA Pro是遵守二進位制包事實標準(de-facto standard)的惡意程式碼和漏洞研究分析工具。這個圖形化的、可程式設計的、可擴充套件的、支援多處理器的反編譯器現在有了一個和Windows一模一樣的 Linux(命令列模式)版本。
--------------------------------------------------------------------------------
#46 SolarWinds:網路發現/監控/攻擊系列工具
SolarWinds生產和銷售了許多專業的系統管理工具。安全相關的包括許多網路發現掃描器、一個SNMP暴力破解器、路由器密碼解密器、TCP連線重置程式、最快最易用的一個路由器設定下載和上傳程式等等。
--------------------------------------------------------------------------------
#47 Pwdump:一款Windows密碼恢復工具
Pwdump可以從Windows主機中取得NTLM和LanMan雜湊值,無論系統密碼是否啟用。它還能顯示系統中存在的歷史密碼。資料輸出格式為L0phtcrack相容格式,也可以以檔案形式輸出資料。
--------------------------------------------------------------------------------
#48 LSoF:開啟檔案列表
這是一款Unix平臺上的診斷和研究工具,它可以列舉當前所有程序開啟的檔案資訊。它也可以列舉所有程序開啟的通訊socket(communications sockets)。Windows平臺上類似的工具有Sysinternals。
--------------------------------------------------------------------------------
#49 RainbowCrack:極具創新性的密碼雜湊破解器
RainbowCrack 是一款使用了大規模記憶體時間交換(large-scale time-memory trade-off)技術的雜湊破解工具。傳統的暴力破解工具會嘗試每一個可能的密碼,要破解複雜的密碼會很費時。RainbowCrack運用時間交換技術對破解時間進行預計算,並將計算結果存入一個名叫"rainbow tables"的表裡。預計算確實也會花費較長時間,但相對暴力破解來說則短多了,而且一旦預計算完成破解開始,那麼破解所需要的時間就非常非常短了。
--------------------------------------------------------------------------------
#50 Firewalk:高階路由跟蹤工具
Firewalk使用類似路由跟蹤的技術來分析IP資料包反饋,以確定閘道器ACL過濾器型別和網路結構。㊣ COPY BY TTIAN.NET ㊣ 這款經典的工具在2002年十月由scratch重寫。這款工具的大部分功能Hping2的路由跟蹤部分也都能實現。
--------------------------------------------------------------------------------
#51 Angry IP Scanner:一款非常快的Windows IP 掃描器和埠掃描器
Angry IP Scanner能夠實現最基本的Windows平臺上的主機發現和埠掃描。它的體積非常的小,它還可以通過掛載外掛(a few plugins)來獲得主機其它資訊。
--------------------------------------------------------------------------------
#52 RKHunter:一款Unix平臺上的Rootkit檢測器
RKHunter是一款檢測例如rootkit、後門、漏洞等惡意程式的工具。它採用多種檢測手段,包括MD5雜湊值對比、rootkits原始檔名檢測、檔案許可權檢測,以及LKM和KLD模組中的可疑字串檢測。
--------------------------------------------------------------------------------
#53 Ike-scan:VPN檢測器和掃描器
Ike -scan是一款檢測IKE(Internet Key Exchange)服務傳輸特性的工具,IKE是VPN網路中伺服器和遠端客戶端建立連線的機制。在掃描到VPN伺服器的IP地址後,將改造過的IKE資料包分發給VPN網中的每一主機。只要是執行IKE的主機就會發回反饋來證明它存在。此工具然後對這些反饋資料包進行記錄和顯示,並將它們與一系列已知的 VPN產品指紋進行對比。Ike-scan的VPN指紋包含來自Checkpoint、Cisco、Microsoft、Nortel和 Watchguard的產品。
--------------------------------------------------------------------------------
#54 Arpwatch:持續跟蹤乙太網/IP地址配對,可以檢查出中間人攻擊
Arpwatch是LBNL網路研究組出品的一款經典的ARP中間人(man-in-the-middle)攻擊檢測器。它記錄網路活動的系統日誌,並將特定的變更通過Email報告給管理員。Arpwatch使用LibPcap來監聽本地乙太網介面ARP資料包。
--------------------------------------------------------------------------------
#55 KisMAC:一款Mac OS X上的圖形化被動無線網路搜尋器
這款Mac OS X下非常流行的搜尋器和Kismet功能差不多,但和Kismet不同的是Kismet是基於命令列的,而KisMac有很漂亮的圖形化介面,在OS X上出現得也比Kismet早。它同時還提供對映、Pcap相容格式資料輸入、登入和一些解密、驗證破解功能。
--------------------------------------------------------------------------------
#56 OSSEC HIDS:一款開源的基於主機的入侵檢測系統
OSSEC HIDS的主要功能有日誌分析、完整性檢查、rootkit檢測、基於時間的警報和主動響應。除了具有入侵檢測系統功能外,它還一般被用在SEM/SIM (安全事件管理(SEM: Security Event Management)/安全資訊管理(SIM:Security Information Management))解決方案中。因其強大的日誌分析引擎,ISP(Internet service provider)(網路服務提供商)、大學和資料中心用其監控和分析他們的防火牆、入侵檢測系統、網頁服務和驗證等產生的日誌。
--------------------------------------------------------------------------------
#57 Openbsd PF:OpenBSD資料包過濾器
象其它平臺上的Netfilter和IP Filter一樣,OpenBSD使用者最愛用PF,這就是他們的防火牆工具。它的功能有網路地址轉換、管理TCP/IP通訊、提供頻寬控制和資料包分級控制。它還有一些額外的功能,例如被動作業系統檢測。PF是由編寫OpenBSD的同一批人編寫的,所以您完全可以放心使用,它已經經過了很好的評估、設計和編碼以避免暴露其它包過濾器(other packet filters)上的類似漏洞。
--------------------------------------------------------------------------------
#58 Nemesis:簡單的資料包注入
Nemesis 專案設計目的是為Unix/Linux(現在也包含Windows了)提供一個基於命令列的、小巧的、人性化的IP堆疊。此工具套裝按協議分類,並允許對已注入的資料包流使用簡單的shell指令碼。如果您喜歡Nemesis,您也許對Hping2也會感興趣,它們是互補的關係。
--------------------------------------------------------------------------------
#59 Tor:匿名網路通訊系統
Tor 是一款面向希望提高其網路安全性的廣大組織和大眾的工具集。Tor的功能有匿名網頁瀏覽和釋出、即時資訊、irc、ssh以及其它一些TCP協議相關的功能。Tor還為軟體開發者提供一個可開發內建匿名性、安全性和其它私密化特性的軟體平臺。在Vidalia可以獲得跨平臺的圖形化介面。
--------------------------------------------------------------------------------
#60 Knoppix:一款多用途的CD或DVD光碟自啟動系統
Knoppix 由一系列典型的GNU/Linux軟體組成,可以自動檢測硬體環境,支援多種顯示卡、音效卡、SCSI和USB裝置以及其它外圍裝置。KNOPPIX作為一款高效的Linux光碟系統,可以勝任例如桌面系統、Linux教學光碟、救援系統等多種用途,經過這次在nmap中調查證實,它也是一款很小巧的安全工具。如果要使用更專業的Linux安全系統請看BackTrack。
--------------------------------------------------------------------------------
#61 ISS Internet Scanner:應用程式漏洞掃描器
Internet Scanner是由Christopher Klaus在92年編寫的一款開源的掃描器工具。現在這款工具已經演變成了一個市值上億美元生產無數安全產品的公司。
--------------------------------------------------------------------------------
#62 Fport:Foundstone出品的加強版netstat
Fport 可以報告所有本地機上開啟的TCP/IP和UDP埠,並顯示是何程式開啟的埠。所以用它可以快速識別出未知的開放埠以及與其相關的應用程式。它只有 Windows版本,但現在很多UNIX系統上的netstat也提供同樣的功能(Linux請用'netstat -pan')。SANS article有Fport的使用說明和結果分析方法。
--------------------------------------------------------------------------------
#63 chkrootkit:本地rootkit檢測器
chkrootkit 是一款小巧易用的Unix平臺上的可以檢測多種rootkit入侵的工具。它的功能包括檢測檔案修改、utmp/wtmp/last日誌修改、介面欺騙(promiscuous interfaces)、惡意核心模組(malicious kernel modules)。
--------------------------------------------------------------------------------
#64 SPIKE Proxy:HTTP攻擊
Spike Proxy是一款開源的以發現網站漏洞為目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自動SQL注入檢測、 網站爬行(web site crawling)、登入列表暴力破解、溢位檢測和目錄遊走檢測。
--------------------------------------------------------------------------------
#65 OpenBSD:被認為是最安全的作業系統
OpenBSD 是將安全作為作業系統首要任務的作業系統之一,甚至有時安全性級別要高於易用性,所以它驕人的安全性是不言而喻的。OpenBSD也非常重視系統的穩定性和對硬體的支援能力。也許他們最偉大的創舉就是創造了OpenSSH。 OpenBSD使用者對此係統之上的[pf](OpenBSD上的防火牆工具,本列表中第57位有介紹)也褒獎有佳。
--------------------------------------------------------------------------------
#66 Yersinia:一款支援多協議的底層攻擊工具
Yersinia 是一款底層協議攻擊入侵檢測工具。它能實施針對多種協議的多種攻擊。例如奪取生成樹的根角色(生成樹協議:Spanning Tree Protocol),生成虛擬CDP(Cisco發現協議:Cisco Discovery Protocol)鄰居、在一個HSRP(熱等待路由協議:Hot Standby Router Protocol)環境中虛擬成一個活動的路由器、製造假DHCP反饋,以及其它底層攻擊。
--------------------------------------------------------------------------------
#67 Nagios:一款開源的主機、服務和網路監控程式
Nagios 是一款系統和網路監控程式。它可以監視您指定的主機和服務,當被監視物件發生任何問題或問題被解決時發出提示資訊。它的主要功能有監控網路服務(smtp、pop3、http、nntp、ping等等)、監控主機資源(程序負載、硬碟空間使用情況等等)、當發現問題或問題解決時通過多種形式發出提示資訊(Email、尋呼機或其它使用者定義的方式)。
--------------------------------------------------------------------------------
#68 Fragroute/Fragrouter:一款網路入侵檢測逃避工具集
Fragrouter 是一款單向分段路由器,傳送(接收)IP資料包都是從攻擊者到Fragrouter,將資料包轉換成分段資料流發給受害者。很多入侵檢測系統都不能重建一段被視為一個整體的網路資料(通過IP分段和TCP流重組),詳情請見這篇文章(this classic paper)。Fragrouter可以幫助駭客在逃避入侵檢測後發起基於IP的攻擊。它是Dug Song出品的NIDSbench套裝中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。
--------------------------------------------------------------------------------
#69 X-scan:一款網路漏洞掃描器
一款多執行緒、支援外掛的漏洞掃描器。X-Scan主要功能有全面支援NASL(Nessus攻擊指令碼語言:Nessus Attack Scripting Language)、檢測服務型別、遠端作業系統型別(版本)檢測、弱使用者名稱/密碼匹配等等。最新版本可以在這裡獲取。請注意這是一箇中文網站(原文為英文,所以原文作者提醒英文讀者這是個中文網站)。
--------------------------------------------------------------------------------
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞掃描器和漏洞庫
Libwhisker 是一款Perl模板集用來測試HTTP。它的功能是測試HTTP伺服器上是否存在許多已知的安全漏洞,特別是CGI漏洞。Whisker是一款基於 libwhisker的掃描器,但是現在大家都趨向於使用Nikto,它也是基於libwhisker的。
--------------------------------------------------------------------------------
#71 Socat:雙向資料傳輸中繼
類似於Netcat的工具,可以工作於許多協議之上,運行於檔案、管道、裝置(終端或調變解調器等等)、socket(Unix、IP4、IP6- raw、 UDP、TCP)、Socks4客戶端、代理伺服器連線、或者SSL等等之間。它提供forking、logging和dumping,和不同模式的互動式處理通訊,以及更多其它選項。它可以作為TCP中繼(單次觸發:one-shot或者daemon(Internet中用於郵件收發的後臺程式))、作為基於daemon的動態Sockes化(socksifier)、作為Unix平臺上sockets的shell介面、作為IP6中繼、將面向TCP的程式重定向成序列線路(Serial Line)程式、或者建立用來執行客戶端或伺服器帶有網路連線的shell指令碼相關安全環境(su和chroot)。
--------------------------------------------------------------------------------
#72 Sara:安全評審研究助手
SARA是一款源於infamous SATAN掃描器的漏洞評估工具。此工具大約兩個月更新一次,出品此工具的開源社群還維護著Nmap和Samba。
--------------------------------------------------------------------------------
#73 QualysGuard:基於網頁的漏洞掃描器
在網站上以服務形式釋出,所以QualysGuard沒有開發、維護和升級漏洞管理軟體或ad-hoc安全應用程式的負擔。客戶端可以安全的通過一個簡單易用的網頁訪問 QualysGuard。QualysGuard含有5000種以上的單一漏洞檢查,一個基於推理的掃描引擎,而且漏洞知識庫自動天天升級。
--------------------------------------------------------------------------------
#74 ClamAV:一款UNIX平臺上的基於GPL(通用公開許可證:General Public License)的反病毒工具集
ClamAV 是一款強大的注重郵件伺服器附件掃描的反病毒掃描器。它含有一個小巧的可升級的多執行緒daemon、一個命令列掃描器和自動升級工具。Clam AntiVirus基於AntiVirus package釋出的開源病毒庫,您也可以將此病毒庫應用於您自己的軟體中,但是別忘了經常升級。
--------------------------------------------------------------------------------
#75 cheops / cheops-ng:提供許多簡單的網路工具,例如本地或遠端網路對映和識別計算機作業系統
Cheops 提供許多好用的圖形化使用者介面網路工具。它含有主機/網路發現功能,也就是主機作業系統檢測。Cheops-ng用來探查主機上執行的服務。針對某些服務,cheops-ng可以探查到執行服務的應用程式是什麼,以及程式的版本號。Cheops已經停止開發和維護,所以請最好使用cheops-ng。
--------------------------------------------------------------------------------
#76 Burpsuite:一款網頁程式攻擊整合平臺
Burp suite允許攻擊者結合手工和自動技術去列舉、分析、攻擊網頁程式。這些不同的burp工具通過協同工作,有效的分享資訊,支援以某種工具中的資訊為基礎供另一種工具使用從而發動攻擊。
--------------------------------------------------------------------------------
#77 Brutus:一款網路驗證暴力破解器
這款Windows平臺上的暴力破解器通過字典猜測遠端系統網路服務密碼。它支援HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不開放原始碼,UNIX平臺上的類似軟體有THC Hydra。
--------------------------------------------------------------------------------
#78 Unicornscan:另類埠掃描器
Unicornscan 是一款通過嘗試連線使用者系統(User-land)分散式TCP/IP堆疊獲得資訊和關聯關係的埠掃描器。它試圖為研究人員提供一種可以刺激 TCP/IP裝置和網路並度量反饋的超級介面。它主要功能包括帶有所有TCP變種標記的非同步無狀態TCP掃描、非同步無狀態TCP標誌捕獲、通過分析反饋資訊獲取主動/被動遠端作業系統、應用程式、元件資訊。它和Scanrand一樣都是另類掃描器。
--------------------------------------------------------------------------------
#79 Stunnel:用途廣泛的SSL加密封裝器
stunnel 用來對遠端客戶端和本地機(可啟動inetd的:inetd-startable)或遠端伺服器間的SSL加密進行封裝。它可以在不修改任何程式碼的情況下,為一般的使用inetd daemon的POP2、POP3和IMAP伺服器新增SSL功能。它通過使用OpenSSL或SSLeay庫建立SSL連線。
--------------------------------------------------------------------------------
#80 Honeyd:您私人的蜜罐系統
Honeyd 是一個可以在網路上建立虛擬主機的小型daemon。可以對此虛擬主機的服務和TCP進行配置,使其在網路中看起來是在執行某種作業系統。Honeyd可以使一臺主機在區域網中模擬出多個地址以滿足網路實驗環境的要求。虛擬主機可以被ping通,也可以對它們進行路由跟蹤。通過對配置檔案進行設定可以使虛擬計算機模擬執行任何服務。也可以使用服務代理替代服務模擬。它的庫有很多,所以編譯和安裝Honeyd比較難。
--------------------------------------------------------------------------------
#81 Fping:一個多主機同時ping掃描程式
fping 是一款類似ping(1)(ping(1)是通過ICMP(網路控制資訊協議Internet Control Message Protocol)協議回覆請求以檢測主機是否存在)的程式。Fping與ping不同的地方在於,您可以在命令列中指定要ping的主機數量範圍,也可以指定含有要ping的主機列表檔案。與ping要等待某一主機連線超時或發回反饋資訊不同,fping給一個主機發送完資料包後,馬上給下一個主機發送資料包,實現多主機同時ping。如果某一主機ping通,則此主機將被打上標記,並從等待列表中移除,如果沒ping通,說明主機無法到達,主機仍然留在等待列表中,等待後續操作。
--------------------------------------------------------------------------------
#82 BASE:基礎分析和安全引擎(Basic Analysis and Security Engine)
BASE 是一款基於PHP的可以搜尋和實施安全事件的分析引擎,她的安全事件資料庫來源於很多入侵檢測系統、防火牆、網路檢測工具生成的安全事件。它的功能包括一個查詢生成器和搜尋介面,用來搜尋漏洞;一個數據包瀏覽器(解碼器);還可以根據時間、感測器、訊號、協議和IP地址等生成狀態圖。
--------------------------------------------------------------------------------
#83 Argus:IP網路事務評審工具
Argus 是一款固定模型的實時的流量監視器,用來跟蹤和報告資料網路通訊流中所有事務的狀態和效能。Argus為流量評估定製了一種資料格式,其中包括連通性、容量、請求、丟包、延遲和波動,這些就作為評估事務的元素。這種資料格式靈活易擴充套件,支援常用流量標識和度量,還可以獲得指定的應用程式/協議的資訊。
--------------------------------------------------------------------------------
#84 Wikto:網頁伺服器評估工具
Wikto是一款檢查網頁伺服器漏洞的工具。它和Nikto類似,但是添加了很多其它功能,例如一個整合了Google的後臺發掘器。Wikto工作於MS ..NET環境下,下載此軟體和原始碼需要註冊。
--------------------------------------------------------------------------------
#85 Sguil:網路安全監控器命令列分析器
Sguil(按sgweel發音)是由network security analysts出品的網路安全分析工具。Sguil的主要元件就是一個Snort/barnyard實時事件顯示介面。它還包含一些網路安全監控的輔助工具和事件驅動的入侵檢測系統分析報告。
--------------------------------------------------------------------------------
#86 Scanrand:一個異常快速的無狀態網路服務和拓樸結構發現系統
Scanrand是一款類似Unicornscan的無狀態主機發現和埠掃描工具。它以降低可靠性來換取異常快的速度,還使用了加密技術防止黑客修改掃描結果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。
--------------------------------------------------------------------------------
#87 IP Filter:小巧的UNIX資料包過濾器
IP Filter是一款軟體包,可以實現網路地址轉換(network address translation)(NAT)或者防火牆服務的功能。它可以作為UNIX的一個核心模組,也可以不嵌入核心,強烈推薦將其作為UNIX的核心模組。安裝和為系統檔案打補丁要使用指令碼。IP Filter內置於FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux使用者可以使用Netfilter。
--------------------------------------------------------------------------------
#88 Canvas:一款全面的漏洞檢測框架
Canvas 是Aitel's ImmunitySec出品的一款漏洞檢測工具。它包含150個以上的漏洞,它比Core Impact便宜一些,但是它也價值數千美元。您也可以通過購買VisualSploit Plugin實現在圖形介面上通過拖拽就可以生成漏洞。Canvas偶爾也會發現一些ODay漏洞。
--------------------------------------------------------------------------------
#89 VMware:多平臺虛擬軟體
VMware 虛擬軟體允許您在一個系統中虛擬執行另一個系統。這對於安全專家在多平臺下測試程式碼和漏洞非常有用。它只執行在Windows和Linux平臺上,但它可以虛擬執行幾乎所有的x86作業系統。它對建立沙箱(sandboxes)也非常有用。在VMware虛擬系統上感染了惡意軟體不會影響到宿主機器,可以通過載入快照檔案恢復被感染了的虛擬系統。VMware不能建立虛擬系統的映象檔案。VMware最近剛剛宣佈免費。另一款在Linux下頗受矚目的虛擬平臺軟體是Xen。
--------------------------------------------------------------------------------
#90 Tcptraceroute:一款基於TCP資料包的路由跟蹤工具
現代網路廣泛使用防火牆,導致傳統路由跟蹤工具發出的(ICMP應答(ICMP echo)或UDP)資料包都被過濾掉了,所以無法進行完整的路由跟蹤。儘管如此,許多情況下,防火牆會准許反向(inbound)TCP資料包通過防火牆到達指定埠,這些埠是主機內防火牆背後的一些程式和外界連線用的。通過傳送TCP SYN資料包來代替UDP或者ICMP應答資料包,tcptraceroute可以穿透大多數防火牆。
--------------------------------------------------------------------------------
#91 SAINT:安全管理綜合網路工具
SAINT象Nessus、ISS Internet Scanner和Retina一樣,也是一款商業漏洞評估工具。它以前是執行在UNIX系統之上的免費開源工具,但現在收費了。
--------------------------------------------------------------------------------
#92 OpenVPN:全功能SSL VPN解決方案
OpenVPN 是一款開源的SSL VPN工具包,它可以實現很多功能,包括遠端登入、站對站VPN、WiFi安全、帶有負載平衡的企業級遠端登入解決方案、節點控制移交(failover)、嚴密的訪問控制。OpenVPN運行於OSI 2層或3層安全網路,使用SSL/TLS工業標準協議,支援靈活的基於證書、智慧卡、二元驗證的客戶端驗證方法,允許在VPN虛擬介面上使用防火牆規則作為使用者或指定使用者組的訪問控制策略。OpenVPN使用OpenSSL作為其首選加密庫
--------------------------------------------------------------------------------
#93 OllyDbg:彙編級Windows偵錯程式
OllyDbg 是一款微軟Windows平臺上的32位彙編級的分析偵錯程式。因其直接對二進位制程式碼進行分析,所以在無法獲得原始碼的時候它非常有用。OllyDbg含有一個圖形使用者介面,它的高階程式碼分析器可以識別過程、迴圈、API呼叫、交換、表、常量和字串,它可以載入執行時程式,支援多執行緒。OllyDbg可以免費下載,但不開源。
--------------------------------------------------------------------------------
#94 Helix:一款注重安全防護的Linux版本
Helix 是一款自定義版本的Knoppix自啟動Linux光碟系統。Helix遠不止是一張自啟動光碟。除了光碟啟動到自定義的Linux環境,還具有超強的硬體支援能力,包含許多應付各種問題的軟體。Helix儘量少的接觸主機軟硬資源。Helix不自動載入交換(swap)空間,不自動載入其它任何外圍裝置。Helix還可以自動載入Windows,以應對意外情況。
--------------------------------------------------------------------------------
#95 Bastille:Linux、Mac OS X和HP-UX的安全加強指令碼
Bastille 使作業系統固若金湯,減少系統遭受危險的可能,增加系統的安全性。Bastille還可以評估系統當前的安全性,週期性的報告每一項安全設定及其工作情況。Bastille當前支援Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake這些Linux版本,還有HP-UX和Mac OS X。Bastille旨在使系統使用者和管理員瞭解如何加固系統。在其預設的最堅固模式下,它不斷的詢問使用者問題,並對這些問題加以解釋,根據使用者對問題不同的回答選擇不同的應對策略。在其評估模式下,它會生成一份報告旨在告訴使用者有哪些安全設定可用,同時也提示使用者哪些設定被加固了。
--------------------------------------------------------------------------------
#96 Acunetix Web Vulnerability Scanner:商業漏洞掃描器
Acunetix WVS自動檢查您的網頁程式漏洞,例如SQL注入、跨網站指令碼和驗證頁面弱密碼破解。Acunetix WVS有著非常友好的使用者介面,還可以生成個性化的網站安全評估報告。
--------------------------------------------------------------------------------
#97 TrueCrypt:開源的Windows和Linux磁碟加密軟體
TrueCrypt 是一款非常出色的開源磁碟加密系統。使用者可以加密整個檔案系統,它可以實時加密/解密而不需要使用者干涉,只要事先輸入密碼。非常巧妙的hidden volume特性允許您對特別敏感的內容進行第二層加密來隱藏它的存在。所以就算加密系統的密碼暴露,黑客也不知道還有隱藏內容存在。
--------------------------------------------------------------------------------
#98 Watchfire AppScan:商業網頁漏洞掃描器
AppScan按照應用程式開發生命週期進行安全測試,早在開發階段就進行單元測試和安全保證。Appscan能夠掃描多種常見漏洞,例如跨網站指令碼、HTTP應答切開、引數篡改、隱藏值篡改、後門/除錯選項和緩衝區溢位等等。
--------------------------------------------------------------------------------
#99 N-Stealth:網頁伺服器掃描器
N- Stealth是一款網頁伺服器安全掃描器。它比Whisker/libwhisker和Nikto這些免費的網頁掃描器升級得更頻繁,但是它網站上聲稱的可以掃描30000種漏洞(30000 vulnerabilities and exploits)和每天新增數十種漏洞(Dozens of vulnerability checks are added every day)的說法是很值得懷疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara這些防入侵工具都含有網頁掃描元件,它們都很難做到每日更新。N-Stealth運行於 Windows平臺之上,且不開源。
--------------------------------------------------------------------------------
#100 MBSA:微軟基準安全分析器(Microsoft Baseline Security Analyzer)
Microsoft Baseline Security Analyzer(MBSA)是一款簡單易用的工具,幫助IT專業人員檢測其小型和中型商業應用的安全性,將使用者系統與微軟安全建議(Microsoft security recommendations)進行比對,並給出特定的建議指導。通過與Windows內建的Windows自動升級代理器(Windows Update Agent)和微軟自動升級基礎架構(Microsoft Update infrastructure)的協作,MBSA能夠保證和其它微軟管理產品的資料保持一致,它們包括微軟自動升級(Microsoft Update(MU))、Windows伺服器自動升級服務(Windows Server Update Services(WSUS))、系統管理伺服器(Systems Management Server(SMS))和微軟執行管理器(Microsoft Operations Manager(MOM))。MBSA平均每週要掃描3百萬臺電腦。
--------------------------------------------------------------------------------
致謝