掃描/滲透測試

　　· OpenVAS – OpenVAS是一個包含多種服務和工具的框架，可提供全面而強大的漏洞掃描和漏洞管理解決方案。

　　· Metasploit Framework – 針對遠程目標計算機開發(fā)和執(zhí)行漏洞攻擊代碼的最佳網(wǎng)絡安全工具之一。其他重要的子項目包括操作碼數(shù)據(jù)庫、shellcode檔案和相關研究。

　　· Kali – Kali Linux是基于Debian的Linux發(fā)行版，設計用于數(shù)字取證操作系統(tǒng)。每一季度更新一次。Kali Linux預裝了許多滲透測試程序，包括nmap（端口掃描器）、Wireshark（數(shù)據(jù)包分析器）、John the Ripper（密碼破解程序）和Aircrack-ng（用于滲透測試無線LAN的軟件套件）。

　　· pig – Linux數(shù)據(jù)包制作工具。

　　· scapy – Scapy：基于 python 的交互式數(shù)據(jù)包操作程序和庫。

　　· Pompem – Pompem是一種開源網(wǎng)絡安全工具，旨在自動搜索主要數(shù)據(jù)庫中的漏洞。用Python開發(fā)，具有高級搜索系統(tǒng)，從而促進滲透測試者和道德黑客的工作。在其當前版本中，在數(shù)據(jù)庫中執(zhí)行搜索：Exploit-db、1337day、Packetstorm Security…

　　· Nmap – Nmap是一款開源免費的網(wǎng)絡發(fā)現(xiàn)（Network Discovery）和安全審計（Security Auditing）工具。軟件名字Nmap是Network Mapper的簡稱。

　　監(jiān)控/記錄

　　· justniffer – Justniffer是一種網(wǎng)絡協(xié)議分析器，它可以捕獲網(wǎng)絡流量并以自定義方式生成日志，可以模擬Apache Web服務器日志文件，跟蹤響應時間并從HTTP流量中提取所有“攔截”文件。

　　· httpry – httpry是一個專門的數(shù)據(jù)包嗅探器，用于顯示和記錄HTTP流量。它的目的不是執(zhí)行分析本身，而是捕獲、解析和記錄流量，以便以后進行分析。它可以在解析流量時實時顯示流量，也可以作為記錄到輸出文件的守護進程運行。它被編寫得盡可能輕量級和靈活，以便輕松適應不同的應用程序。

　　· ngrep – ngrep致力于提供GNU grep的大部分通用功能，并將其應用于網(wǎng)絡層。ngrep是一個pcap-aware工具，它允許你指定擴展的正則或十六進制表達式來匹配數(shù)據(jù)包的數(shù)據(jù)payload。它目前通過以太網(wǎng)、PPP、SLIP、FDDI、令牌環(huán)和空接口識別IPv4/6、TCP、UDP、ICMPv4/6、IGMP和Raw，并以與更常見的數(shù)據(jù)包嗅探工具（如tcpdump和snoop）相同的方式理解BPF過濾器邏輯。

　　· Passivedns – 被動收集DNS記錄的最佳網(wǎng)絡安全工具之一，可幫助事件處理、網(wǎng)絡安全監(jiān)控（NSM）和一般數(shù)字取證。PassiveDNS嗅探來自接口的流量或讀取pcap文件，并將DNS服務器響應輸出到日志文件。PassiveDNS可以在內(nèi)存中緩存/聚合重復的DNS應答，從而限制日志文件中的數(shù)據(jù)量，而不會丟失DNS應答中的essens。

　　· sagan – Sagan使用“類似Snort”的引擎和規(guī)則來分析日志（系統(tǒng)日志/事件日志/snmptrap/netflow等）。

　　· Node Security Platform – 與Snyk類似的功能集，但在大多數(shù)情況下是免費的。

　　· ntopng – Ntopng是一個網(wǎng)絡流量探測器，顯示網(wǎng)絡使用情況，類似于流行的top Unix命令。

　　· Fibratus – Fibratus是一種用于探索和跟蹤Windows內(nèi)核的工具。它能夠捕獲大部分Windows內(nèi)核活動——進程/線程創(chuàng)建和終止、文件系統(tǒng)I/O、注冊表、網(wǎng)絡活動、DLL加載/卸載等等。Fibratus有一個非常簡單的CLI，它封裝了啟動內(nèi)核事件流收集器、設置內(nèi)核事件過濾器或運行輕量級Python模塊（稱為fills）的機制。

　　IDS / IPS / 主機 IDS / 主機 IPS

　　· Snort – Snort是Martin Roesch于1998年創(chuàng)建的免費開源網(wǎng)絡入侵防御系統(tǒng)（NIPS）和網(wǎng)絡入侵檢測系統(tǒng)（NIDS）。Snort現(xiàn)在由Sourcefire開發(fā)，其中Roesch是其創(chuàng)始人兼CTO。2009年，Snort作為“有史以來最偉大的開源軟件”之一進入了InfoWorld的開源名人堂。

　　· Bro – Bro是一個強大的網(wǎng)絡分析框架，與您可能知道的典型IDS有很大不同。

　　· OSSEC – 全面的開源HIDS。您可能需要一點時間來了解它的工作原理。執(zhí)行日志分析、文件完整性檢查、策略監(jiān)控、rootkit檢測、實時警報和主動響應。它可以在大多數(shù)操作系統(tǒng)上運行，包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。最擅長大中型部署。

　　· Suricata – Suricata是一個高性能的網(wǎng)絡IDS、IPS和網(wǎng)絡安全監(jiān)控引擎。它由社區(qū)運營的非營利基金會所有，即開放信息安全基金會（OISF）。Suricata由OISF及其支持供應商開發(fā)。

　　· Security Onion – Security Onion是一個Linux發(fā)行版，用于入侵檢測、網(wǎng)絡安全監(jiān)控和日志管理。它基于Ubuntu，包含Snort、Suricata、Bro、OSSEC、Sguil、Squet、Snorby、ELSA、Xplico、NetworkMiner和許多其他安全工具。易于使用的設置向?qū)Э勺屇趲追昼妰?nèi)為您的企業(yè)構建大量分布式傳感器！

　　· sshwatch – SSH的IP類似于用Python編寫的DenyHost。它還可以在日志中收集攻擊過程中攻擊者的信息。

　　· Stealth – 文件完整性檢查工具。控制器在另一臺機器上運行，這使得攻擊者很難知道文件系統(tǒng)正在通過SSH以定義的偽隨機間隔進行檢查。強烈推薦用于中小型部署。

　　· AIEngine – AIEngine是下一代交互式/可編程Python/Ruby/Java/Lua數(shù)據(jù)包檢查引擎，具有無需任何人工干預的學習能力、NIDS（網(wǎng)絡入侵檢測系統(tǒng)）功能、DNS域分類、網(wǎng)絡收集器、網(wǎng)絡取證等其他。

　　· Denyhosts – 阻止基于SSH字典的攻擊和蠻力攻擊。

　　· Fail2Ban – 掃描日志文件并對顯示惡意行為的IP采取措施。

　　· SSHGuard – 除SSH外還用于保護服務的軟件，用C編寫。

　　· Lynis – 一個用于Linux/Unix的開源安全審計工具。

　　蜜罐/蜜網(wǎng)

　　· HoneyPy – HoneyPy是一個中低交互蜜罐。它旨在易于部署、使用插件擴展功能以及應用自定義配置。

　　· Dionaea – Dionaea是nepenthes的繼承者，它嵌入python作為腳本語言，使用libemu檢測shellcode，支持ipv6和tls。

　　· Conpot – ICS/SCADA蜜罐。Conpot是一個低交互服務器端工業(yè)控制系統(tǒng)蜜罐，旨在易于部署、修改和擴展。通過提供一系列通用工業(yè)控制協(xié)議，我們?yōu)闃嫿约旱南到y(tǒng)奠定了基礎，能夠模擬復雜的基礎設施，讓對手相信他剛剛發(fā)現(xiàn)了一個巨大的工業(yè)綜合體

　　· Amun – 基于Amun Python的低交互蜜罐。

　　· Glastopf – Glastopf模擬數(shù)千個漏洞，從針對Web應用程序的攻擊中收集數(shù)據(jù)。其背后的原理非常簡單：對利用Web應用程序的攻擊者做出正確的響應。

　　· Kippo – Kippo是一個中等交互SSH蜜罐，旨在記錄暴力攻擊，最重要的是，記錄攻擊者執(zhí)行的整個shell交互。

　　· Kojoney – Kojoney是一個模擬SSH服務器的低級交互蜜罐。該守護進程是使用Twisted Conch庫以Python編寫的。

　　· HonSSH – HonSSH是一種高交互蜜罐解決方案。HonSSH將位于攻擊者和蜜罐之間，在它們之間創(chuàng)建兩個單獨的SSH連接。

　　· Bifrozt – Bifrozt是一種帶有DHCP服務器的NAT設備，通常部署有一個直接連接到Internet的NIC和一個連接到內(nèi)部網(wǎng)絡的NIC。Bifrozt與其他標準NAT設備的不同之處在于它能夠在攻擊者和您的蜜罐之間充當透明的SSHv2代理。

　　· HoneyDrive – HoneyDrive是一款基于Xubuntu的開源和首選蜜罐捆綁Linux操作系統(tǒng)。它是一個安裝了Xubuntu Desktop 12.04.4 LTS版本的虛擬設備（OVA）。它包含10多個預安裝和預配置的蜜罐軟件包，例如Kippo SSH蜜罐、Dionaea和Amun惡意軟件蜜罐、Honeyd低交互蜜罐、Glastopf網(wǎng)絡蜜罐和Wordpot、Conpot SCADA/ICS蜜罐、Thug和PhoneyC蜜罐等等。

　　· Cuckoo Sandbox – Cuckoo Sandbox是一個開源軟件，用于自動分析可疑文件。為此，它使用自定義組件來監(jiān)視在隔離環(huán)境中運行時惡意進程的行為。

　　完整的數(shù)據(jù)包捕獲/取證

　　· tcpflow – tcpflow是一個程序，它捕獲作為TCP連接（流）的一部分傳輸?shù)臄?shù)據(jù)，并以方便協(xié)議分析和調(diào)試的方式存儲數(shù)據(jù)。

　　· Xplico – Xplico的目標是從互聯(lián)網(wǎng)流量中提取包含的應用程序數(shù)據(jù)。例如，Xplico從pcap文件中提取每封電子郵件（POP、IMAP和SMTP協(xié)議）、所有HTTP內(nèi)容、每個VoIP呼叫（SIP）、FTP、TFTP等。Xplico不是網(wǎng)絡協(xié)議分析器。Xplico是一種開源網(wǎng)絡取證分析工具（NFAT）。

　　· Moloch – Moloch是一個開源、大規(guī)模的IPv4數(shù)據(jù)包捕獲（PCAP）、索引和數(shù)據(jù)庫系統(tǒng)。為PCAP瀏覽、搜索和導出提供了一個簡單的Web界面。公開的API允許直接下載PCAP數(shù)據(jù)和JSON格式的會話數(shù)據(jù)。通過使用HTTPS和HTTP摘要密碼支持或在前端使用apache來實現(xiàn)簡單的安全性。Moloch并不是要取代IDS引擎，而是與它們一起工作，以標準PCAP格式存儲和索引所有網(wǎng)絡流量，提供快速訪問。Moloch可跨多個系統(tǒng)部署，并且可以擴展以處理多千兆位/秒的流量。

　　· OpenFPC – OpenFPC是一組結合起來提供輕量級的全數(shù)據(jù)包網(wǎng)絡流量記錄器和緩沖系統(tǒng)的工具。它的設計目標是允許非專家用戶在COTS硬件上部署分布式網(wǎng)絡流量記錄器，同時集成到現(xiàn)有的警報和日志管理工具中。

　　· Dshell – Dshell是一個網(wǎng)絡取證分析框架。它使得插件能夠快速開發(fā)，以支持網(wǎng)絡數(shù)據(jù)包捕獲的剖析。

　　· 速記員 – 速記員是一種數(shù)據(jù)包捕獲解決方案，旨在快速將所有數(shù)據(jù)包假脫機到磁盤，然后提供對這些數(shù)據(jù)包子集的簡單、快速訪問。

　　基于嗅探器的網(wǎng)絡安全工具

　　· Wireshark – Wireshark是一個免費和開源數(shù)據(jù)包分析器。它用于網(wǎng)絡故障排除、分析、軟件和通信協(xié)議開發(fā)以及教育。Wireshark與tcpdump非常相似，但它有一個圖形化的前端，以及一些集成的排序和過濾選項。

　　· netsniff-ng – 是一個免費的高性能網(wǎng)絡嗅探器，支持數(shù)據(jù)的捕獲、重放、過濾等，是一個linux平臺系統(tǒng)級的應用程序。它的性能增益是通過零復制機制實現(xiàn)的，因此在數(shù)據(jù)包接收和傳輸時，內(nèi)核不需要將數(shù)據(jù)包從內(nèi)核空間復制到用戶空間，反之亦然。

　　· Live HTTP headers – Live HTTP headers是一個免費的Firefox插件，可實時查看您的瀏覽器請求。它顯示了請求的整個header，可用于查找實現(xiàn)中的安全漏洞。

　　SIEM – 網(wǎng)絡安全工具

　　· Prelude – Prelude是一個通用的“安全信息和事件管理”（SIEM）系統(tǒng)。Prelude收集、規(guī)范、分類、匯總、關聯(lián)和報告所有與安全相關的事件，獨立于導致此類事件的產(chǎn)品品牌或許可；Prelude是“無代理的”。

　　· OSSIM – OSSIM提供安全專業(yè)人員從SIEM產(chǎn)品中需要的所有功能 – 事件收集、規(guī)范化和關聯(lián)。

　　· FIR – 快速事件響應，一個網(wǎng)絡安全事件管理平臺。

　　虛擬專用網(wǎng)

　　· OpenVPN – OpenVPN是一種開源軟件應用程序，它實現(xiàn)了虛擬專用網(wǎng)絡（VPN）技術，用于在路由或橋接配置和遠程訪問設施中創(chuàng)建安全的點對點或站點到站點連接。它使用一個利用SSL/TLS進行密鑰交換的自定義安全協(xié)議。

　　快速數(shù)據(jù)包處理

　　· DPDK – DPDK 是一組用于快速數(shù)據(jù)包處理的庫和驅(qū)動程序。

　　· PFQ – PFQ是為Linux操作系統(tǒng)設計的功能性網(wǎng)絡框架，它允許高效的數(shù)據(jù)包捕獲/傳輸（10G及以上）、內(nèi)核功能處理和跨套接字/端點的數(shù)據(jù)包控制。

　　· PF_RING – PF_RING是一種新型網(wǎng)絡套接字，可顯著提高數(shù)據(jù)包捕獲速度。

　　· PF_RING ZC（零拷貝） – PF_RING ZC（零拷貝）是一種靈活的數(shù)據(jù)包處理框架，允許您在任何大小的數(shù)據(jù)包下實現(xiàn)1/10 Gbit線速數(shù)據(jù)包處理（RX和TX）。它實現(xiàn)了零復制操作，包括用于進程間和VM間（KVM）通信的模式。

　　· PACKET_MMAP/TPACKET/AF_PACKET – 在Linux中使用PACKET_MMAP可以提高捕獲和傳輸過程的性能。

　　· netmap – netmap 是一個用于高速數(shù)據(jù)包I/O的框架。與其配套的VALE軟件開關一起，它作為單個內(nèi)核模塊實現(xiàn)，可用于FreeBSD、Linux，現(xiàn)在也可用于Windows。

　　基于防火墻的網(wǎng)絡安全工具

　　· pfSense – 防火墻和路由器FreeBSD發(fā)行版。

　　· OPNsense – pfSense是一個基于FreeBSD，專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網(wǎng)絡中的防火墻和路由器存在，并以可靠性著稱，且提供往往只存在于昂貴商業(yè)防火墻才具有的特性。

　　· fwknop – fwknop實現(xiàn)了被稱作為單包認證（SPA）的授權協(xié)議，目的是為了獲得強大的服務隱藏功能。

　　反垃圾郵件

　　· SpamAssassin – 強大且流行的垃圾郵件過濾器，采用多種檢測技術。

　　用于滲透測試和安全的Docker鏡像

　　· docker pull kalilinux/kali-linux – docker官方Kali Linux

　　· docker pull owasp/zap2docker-stable – 官方OWASP ZAP

　　· docker pull wpscanteam/wpscan – 官方WPScan

　　· docker pull remnux/metasploit – docker-metasploit

　　· docker pull citizenstig/dvwa – Damn Vulnerable Web Application （DVWA）

　　· docker pull wpscanteam/vulnerablewordpress – Vulnerable WordPress Installation

　　· docker pull hmlio/vaas-cve-2014-6271 – 漏洞即服務：Shellshock

　　· docker pull hmlio/vaas-cve-2014-0160 – 漏洞即服務：Heartbleed

　　· docker pull opendns/security-ninjas – Security Ninjas

　　· docker pull diogomonica/docker-bench-security – Docker Bench for Security

　　· docker pull ismisepaul/securityshepherd – OWASP Security Shepherd

　　· docker pull danmx/docker-owasp-webgoat – OWASP WebGoat Project docker鏡像

　　· docker-compose build && docker-compose up – OWASP NodeGoat

　　· docker pull citizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application