掃描/滲透測(cè)試

　　· OpenVAS – OpenVAS是一個(gè)包含多種服務(wù)和工具的框架，可提供全面而強(qiáng)大的漏洞掃描和漏洞管理解決方案。

　　· Metasploit Framework – 針對(duì)遠(yuǎn)程目標(biāo)計(jì)算機(jī)開(kāi)發(fā)和執(zhí)行漏洞攻擊代碼的最佳網(wǎng)絡(luò)安全工具之一。其他重要的子項(xiàng)目包括操作碼數(shù)據(jù)庫(kù)、shellcode檔案和相關(guān)研究。

　　· Kali – Kali Linux是基于Debian的Linux發(fā)行版，設(shè)計(jì)用于數(shù)字取證操作系統(tǒng)。每一季度更新一次。Kali Linux預(yù)裝了許多滲透測(cè)試程序，包括nmap（端口掃描器）、Wireshark（數(shù)據(jù)包分析器）、John the Ripper（密碼破解程序）和Aircrack-ng（用于滲透測(cè)試無(wú)線LAN的軟件套件）。

　　· pig – Linux數(shù)據(jù)包制作工具。

　　· scapy – Scapy：基于 python 的交互式數(shù)據(jù)包操作程序和庫(kù)。

　　· Pompem – Pompem是一種開(kāi)源網(wǎng)絡(luò)安全工具，旨在自動(dòng)搜索主要數(shù)據(jù)庫(kù)中的漏洞。用Python開(kāi)發(fā)，具有高級(jí)搜索系統(tǒng)，從而促進(jìn)滲透測(cè)試者和道德黑客的工作。在其當(dāng)前版本中，在數(shù)據(jù)庫(kù)中執(zhí)行搜索：Exploit-db、1337day、Packetstorm Security…

　　· Nmap – Nmap是一款開(kāi)源免費(fèi)的網(wǎng)絡(luò)發(fā)現(xiàn)（Network Discovery）和安全審計(jì)（Security Auditing）工具。軟件名字Nmap是Network Mapper的簡(jiǎn)稱(chēng)。

　　監(jiān)控/記錄

　　· justniffer – Justniffer是一種網(wǎng)絡(luò)協(xié)議分析器，它可以捕獲網(wǎng)絡(luò)流量并以自定義方式生成日志，可以模擬Apache Web服務(wù)器日志文件，跟蹤響應(yīng)時(shí)間并從HTTP流量中提取所有“攔截”文件。

　　· httpry – httpry是一個(gè)專(zhuān)門(mén)的數(shù)據(jù)包嗅探器，用于顯示和記錄HTTP流量。它的目的不是執(zhí)行分析本身，而是捕獲、解析和記錄流量，以便以后進(jìn)行分析。它可以在解析流量時(shí)實(shí)時(shí)顯示流量，也可以作為記錄到輸出文件的守護(hù)進(jìn)程運(yùn)行。它被編寫(xiě)得盡可能輕量級(jí)和靈活，以便輕松適應(yīng)不同的應(yīng)用程序。

　　· ngrep – ngrep致力于提供GNU grep的大部分通用功能，并將其應(yīng)用于網(wǎng)絡(luò)層。ngrep是一個(gè)pcap-aware工具，它允許你指定擴(kuò)展的正則或十六進(jìn)制表達(dá)式來(lái)匹配數(shù)據(jù)包的數(shù)據(jù)payload。它目前通過(guò)以太網(wǎng)、PPP、SLIP、FDDI、令牌環(huán)和空接口識(shí)別IPv4/6、TCP、UDP、ICMPv4/6、IGMP和Raw，并以與更常見(jiàn)的數(shù)據(jù)包嗅探工具（如tcpdump和snoop）相同的方式理解BPF過(guò)濾器邏輯。

　　· Passivedns – 被動(dòng)收集DNS記錄的最佳網(wǎng)絡(luò)安全工具之一，可幫助事件處理、網(wǎng)絡(luò)安全監(jiān)控（NSM）和一般數(shù)字取證。PassiveDNS嗅探來(lái)自接口的流量或讀取pcap文件，并將DNS服務(wù)器響應(yīng)輸出到日志文件。PassiveDNS可以在內(nèi)存中緩存/聚合重復(fù)的DNS應(yīng)答，從而限制日志文件中的數(shù)據(jù)量，而不會(huì)丟失DNS應(yīng)答中的essens。

　　· sagan – Sagan使用“類(lèi)似Snort”的引擎和規(guī)則來(lái)分析日志（系統(tǒng)日志/事件日志/snmptrap/netflow等）。

　　· Node Security Platform – 與Snyk類(lèi)似的功能集，但在大多數(shù)情況下是免費(fèi)的。

　　· ntopng – Ntopng是一個(gè)網(wǎng)絡(luò)流量探測(cè)器，顯示網(wǎng)絡(luò)使用情況，類(lèi)似于流行的top Unix命令。

　　· Fibratus – Fibratus是一種用于探索和跟蹤Windows內(nèi)核的工具。它能夠捕獲大部分Windows內(nèi)核活動(dòng)——進(jìn)程/線程創(chuàng)建和終止、文件系統(tǒng)I/O、注冊(cè)表、網(wǎng)絡(luò)活動(dòng)、DLL加載/卸載等等。Fibratus有一個(gè)非常簡(jiǎn)單的CLI，它封裝了啟動(dòng)內(nèi)核事件流收集器、設(shè)置內(nèi)核事件過(guò)濾器或運(yùn)行輕量級(jí)Python模塊（稱(chēng)為fills）的機(jī)制。

　　IDS / IPS / 主機(jī) IDS / 主機(jī) IPS

　　· Snort – Snort是Martin Roesch于1998年創(chuàng)建的免費(fèi)開(kāi)源網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）。Snort現(xiàn)在由Sourcefire開(kāi)發(fā)，其中Roesch是其創(chuàng)始人兼CTO。2009年，Snort作為“有史以來(lái)最偉大的開(kāi)源軟件”之一進(jìn)入了InfoWorld的開(kāi)源名人堂。

　　· Bro – Bro是一個(gè)強(qiáng)大的網(wǎng)絡(luò)分析框架，與您可能知道的典型IDS有很大不同。

　　· OSSEC – 全面的開(kāi)源HIDS。您可能需要一點(diǎn)時(shí)間來(lái)了解它的工作原理。執(zhí)行日志分析、文件完整性檢查、策略監(jiān)控、rootkit檢測(cè)、實(shí)時(shí)警報(bào)和主動(dòng)響應(yīng)。它可以在大多數(shù)操作系統(tǒng)上運(yùn)行，包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。最擅長(zhǎng)大中型部署。

　　· Suricata – Suricata是一個(gè)高性能的網(wǎng)絡(luò)IDS、IPS和網(wǎng)絡(luò)安全監(jiān)控引擎。它由社區(qū)運(yùn)營(yíng)的非營(yíng)利基金會(huì)所有，即開(kāi)放信息安全基金會(huì)（OISF）。Suricata由OISF及其支持供應(yīng)商開(kāi)發(fā)。

　　· Security Onion – Security Onion是一個(gè)Linux發(fā)行版，用于入侵檢測(cè)、網(wǎng)絡(luò)安全監(jiān)控和日志管理。它基于Ubuntu，包含Snort、Suricata、Bro、OSSEC、Sguil、Squet、Snorby、ELSA、Xplico、NetworkMiner和許多其他安全工具。易于使用的設(shè)置向?qū)Э勺屇趲追昼妰?nèi)為您的企業(yè)構(gòu)建大量分布式傳感器！

　　· sshwatch – SSH的IP類(lèi)似于用Python編寫(xiě)的DenyHost。它還可以在日志中收集攻擊過(guò)程中攻擊者的信息。

　　· Stealth – 文件完整性檢查工具。控制器在另一臺(tái)機(jī)器上運(yùn)行，這使得攻擊者很難知道文件系統(tǒng)正在通過(guò)SSH以定義的偽隨機(jī)間隔進(jìn)行檢查。強(qiáng)烈推薦用于中小型部署。

　　· AIEngine – AIEngine是下一代交互式/可編程Python/Ruby/Java/Lua數(shù)據(jù)包檢查引擎，具有無(wú)需任何人工干預(yù)的學(xué)習(xí)能力、NIDS（網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)）功能、DNS域分類(lèi)、網(wǎng)絡(luò)收集器、網(wǎng)絡(luò)取證等其他。

　　· Denyhosts – 阻止基于SSH字典的攻擊和蠻力攻擊。

　　· Fail2Ban – 掃描日志文件并對(duì)顯示惡意行為的IP采取措施。

　　· SSHGuard – 除SSH外還用于保護(hù)服務(wù)的軟件，用C編寫(xiě)。

　　· Lynis – 一個(gè)用于Linux/Unix的開(kāi)源安全審計(jì)工具。

　　蜜罐/蜜網(wǎng)

　　· HoneyPy – HoneyPy是一個(gè)中低交互蜜罐。它旨在易于部署、使用插件擴(kuò)展功能以及應(yīng)用自定義配置。

　　· Dionaea – Dionaea是nepenthes的繼承者，它嵌入python作為腳本語(yǔ)言，使用libemu檢測(cè)shellcode，支持ipv6和tls。

　　· Conpot – ICS/SCADA蜜罐。Conpot是一個(gè)低交互服務(wù)器端工業(yè)控制系統(tǒng)蜜罐，旨在易于部署、修改和擴(kuò)展。通過(guò)提供一系列通用工業(yè)控制協(xié)議，我們?yōu)闃?gòu)建您自己的系統(tǒng)奠定了基礎(chǔ)，能夠模擬復(fù)雜的基礎(chǔ)設(shè)施，讓對(duì)手相信他剛剛發(fā)現(xiàn)了一個(gè)巨大的工業(yè)綜合體

　　· Amun – 基于Amun Python的低交互蜜罐。

　　· Glastopf – Glastopf模擬數(shù)千個(gè)漏洞，從針對(duì)Web應(yīng)用程序的攻擊中收集數(shù)據(jù)。其背后的原理非常簡(jiǎn)單：對(duì)利用Web應(yīng)用程序的攻擊者做出正確的響應(yīng)。

　　· Kippo – Kippo是一個(gè)中等交互SSH蜜罐，旨在記錄暴力攻擊，最重要的是，記錄攻擊者執(zhí)行的整個(gè)shell交互。

　　· Kojoney – Kojoney是一個(gè)模擬SSH服務(wù)器的低級(jí)交互蜜罐。該守護(hù)進(jìn)程是使用Twisted Conch庫(kù)以Python編寫(xiě)的。

　　· HonSSH – HonSSH是一種高交互蜜罐解決方案。HonSSH將位于攻擊者和蜜罐之間，在它們之間創(chuàng)建兩個(gè)單獨(dú)的SSH連接。

　　· Bifrozt – Bifrozt是一種帶有DHCP服務(wù)器的NAT設(shè)備，通常部署有一個(gè)直接連接到Internet的NIC和一個(gè)連接到內(nèi)部網(wǎng)絡(luò)的NIC。Bifrozt與其他標(biāo)準(zhǔn)NAT設(shè)備的不同之處在于它能夠在攻擊者和您的蜜罐之間充當(dāng)透明的SSHv2代理。

　　· HoneyDrive – HoneyDrive是一款基于Xubuntu的開(kāi)源和首選蜜罐捆綁Linux操作系統(tǒng)。它是一個(gè)安裝了Xubuntu Desktop 12.04.4 LTS版本的虛擬設(shè)備（OVA）。它包含10多個(gè)預(yù)安裝和預(yù)配置的蜜罐軟件包，例如Kippo SSH蜜罐、Dionaea和Amun惡意軟件蜜罐、Honeyd低交互蜜罐、Glastopf網(wǎng)絡(luò)蜜罐和Wordpot、Conpot SCADA/ICS蜜罐、Thug和PhoneyC蜜罐等等。

　　· Cuckoo Sandbox – Cuckoo Sandbox是一個(gè)開(kāi)源軟件，用于自動(dòng)分析可疑文件。為此，它使用自定義組件來(lái)監(jiān)視在隔離環(huán)境中運(yùn)行時(shí)惡意進(jìn)程的行為。

　　完整的數(shù)據(jù)包捕獲/取證

　　· tcpflow – tcpflow是一個(gè)程序，它捕獲作為T(mén)CP連接（流）的一部分傳輸?shù)臄?shù)據(jù)，并以方便協(xié)議分析和調(diào)試的方式存儲(chǔ)數(shù)據(jù)。

　　· Xplico – Xplico的目標(biāo)是從互聯(lián)網(wǎng)流量中提取包含的應(yīng)用程序數(shù)據(jù)。例如，Xplico從pcap文件中提取每封電子郵件（POP、IMAP和SMTP協(xié)議）、所有HTTP內(nèi)容、每個(gè)VoIP呼叫（SIP）、FTP、TFTP等。Xplico不是網(wǎng)絡(luò)協(xié)議分析器。Xplico是一種開(kāi)源網(wǎng)絡(luò)取證分析工具（NFAT）。

　　· Moloch – Moloch是一個(gè)開(kāi)源、大規(guī)模的IPv4數(shù)據(jù)包捕獲（PCAP）、索引和數(shù)據(jù)庫(kù)系統(tǒng)。為PCAP瀏覽、搜索和導(dǎo)出提供了一個(gè)簡(jiǎn)單的Web界面。公開(kāi)的API允許直接下載PCAP數(shù)據(jù)和JSON格式的會(huì)話數(shù)據(jù)。通過(guò)使用HTTPS和HTTP摘要密碼支持或在前端使用apache來(lái)實(shí)現(xiàn)簡(jiǎn)單的安全性。Moloch并不是要取代IDS引擎，而是與它們一起工作，以標(biāo)準(zhǔn)PCAP格式存儲(chǔ)和索引所有網(wǎng)絡(luò)流量，提供快速訪問(wèn)。Moloch可跨多個(gè)系統(tǒng)部署，并且可以擴(kuò)展以處理多千兆位/秒的流量。

　　· OpenFPC – OpenFPC是一組結(jié)合起來(lái)提供輕量級(jí)的全數(shù)據(jù)包網(wǎng)絡(luò)流量記錄器和緩沖系統(tǒng)的工具。它的設(shè)計(jì)目標(biāo)是允許非專(zhuān)家用戶在COTS硬件上部署分布式網(wǎng)絡(luò)流量記錄器，同時(shí)集成到現(xiàn)有的警報(bào)和日志管理工具中。

　　· Dshell – Dshell是一個(gè)網(wǎng)絡(luò)取證分析框架。它使得插件能夠快速開(kāi)發(fā)，以支持網(wǎng)絡(luò)數(shù)據(jù)包捕獲的剖析。

　　· 速記員 – 速記員是一種數(shù)據(jù)包捕獲解決方案，旨在快速將所有數(shù)據(jù)包假脫機(jī)到磁盤(pán)，然后提供對(duì)這些數(shù)據(jù)包子集的簡(jiǎn)單、快速訪問(wèn)。

　　基于嗅探器的網(wǎng)絡(luò)安全工具

　　· Wireshark – Wireshark是一個(gè)免費(fèi)和開(kāi)源數(shù)據(jù)包分析器。它用于網(wǎng)絡(luò)故障排除、分析、軟件和通信協(xié)議開(kāi)發(fā)以及教育。Wireshark與tcpdump非常相似，但它有一個(gè)圖形化的前端，以及一些集成的排序和過(guò)濾選項(xiàng)。

　　· netsniff-ng – 是一個(gè)免費(fèi)的高性能網(wǎng)絡(luò)嗅探器，支持?jǐn)?shù)據(jù)的捕獲、重放、過(guò)濾等，是一個(gè)linux平臺(tái)系統(tǒng)級(jí)的應(yīng)用程序。它的性能增益是通過(guò)零復(fù)制機(jī)制實(shí)現(xiàn)的，因此在數(shù)據(jù)包接收和傳輸時(shí)，內(nèi)核不需要將數(shù)據(jù)包從內(nèi)核空間復(fù)制到用戶空間，反之亦然。

　　· Live HTTP headers – Live HTTP headers是一個(gè)免費(fèi)的Firefox插件，可實(shí)時(shí)查看您的瀏覽器請(qǐng)求。它顯示了請(qǐng)求的整個(gè)header，可用于查找實(shí)現(xiàn)中的安全漏洞。

　　SIEM – 網(wǎng)絡(luò)安全工具

　　· Prelude – Prelude是一個(gè)通用的“安全信息和事件管理”（SIEM）系統(tǒng)。Prelude收集、規(guī)范、分類(lèi)、匯總、關(guān)聯(lián)和報(bào)告所有與安全相關(guān)的事件，獨(dú)立于導(dǎo)致此類(lèi)事件的產(chǎn)品品牌或許可；Prelude是“無(wú)代理的”。

　　· OSSIM – OSSIM提供安全專(zhuān)業(yè)人員從SIEM產(chǎn)品中需要的所有功能 – 事件收集、規(guī)范化和關(guān)聯(lián)。

　　· FIR – 快速事件響應(yīng)，一個(gè)網(wǎng)絡(luò)安全事件管理平臺(tái)。

　　虛擬專(zhuān)用網(wǎng)

　　· OpenVPN – OpenVPN是一種開(kāi)源軟件應(yīng)用程序，它實(shí)現(xiàn)了虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）技術(shù)，用于在路由或橋接配置和遠(yuǎn)程訪問(wèn)設(shè)施中創(chuàng)建安全的點(diǎn)對(duì)點(diǎn)或站點(diǎn)到站點(diǎn)連接。它使用一個(gè)利用SSL/TLS進(jìn)行密鑰交換的自定義安全協(xié)議。

　　快速數(shù)據(jù)包處理

　　· DPDK – DPDK 是一組用于快速數(shù)據(jù)包處理的庫(kù)和驅(qū)動(dòng)程序。

　　· PFQ – PFQ是為L(zhǎng)inux操作系統(tǒng)設(shè)計(jì)的功能性網(wǎng)絡(luò)框架，它允許高效的數(shù)據(jù)包捕獲/傳輸（10G及以上）、內(nèi)核功能處理和跨套接字/端點(diǎn)的數(shù)據(jù)包控制。

　　· PF_RING – PF_RING是一種新型網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度。

　　· PF_RING ZC（零拷貝） – PF_RING ZC（零拷貝）是一種靈活的數(shù)據(jù)包處理框架，允許您在任何大小的數(shù)據(jù)包下實(shí)現(xiàn)1/10 Gbit線速數(shù)據(jù)包處理（RX和TX）。它實(shí)現(xiàn)了零復(fù)制操作，包括用于進(jìn)程間和VM間（KVM）通信的模式。

　　· PACKET_MMAP/TPACKET/AF_PACKET – 在Linux中使用PACKET_MMAP可以提高捕獲和傳輸過(guò)程的性能。

　　· netmap – netmap 是一個(gè)用于高速數(shù)據(jù)包I/O的框架。與其配套的VALE軟件開(kāi)關(guān)一起，它作為單個(gè)內(nèi)核模塊實(shí)現(xiàn)，可用于FreeBSD、Linux，現(xiàn)在也可用于Windows。

　　基于防火墻的網(wǎng)絡(luò)安全工具

　　· pfSense – 防火墻和路由器FreeBSD發(fā)行版。

　　· OPNsense – pfSense是一個(gè)基于FreeBSD，專(zhuān)為防火墻和路由器功能定制的開(kāi)源版本。它被安裝在計(jì)算機(jī)上作為網(wǎng)絡(luò)中的防火墻和路由器存在，并以可靠性著稱(chēng)，且提供往往只存在于昂貴商業(yè)防火墻才具有的特性。

　　· fwknop – fwknop實(shí)現(xiàn)了被稱(chēng)作為單包認(rèn)證（SPA）的授權(quán)協(xié)議，目的是為了獲得強(qiáng)大的服務(wù)隱藏功能。

　　反垃圾郵件

　　· SpamAssassin – 強(qiáng)大且流行的垃圾郵件過(guò)濾器，采用多種檢測(cè)技術(shù)。

　　用于滲透測(cè)試和安全的Docker鏡像

　　· docker pull kalilinux/kali-linux – docker官方Kali Linux

　　· docker pull owasp/zap2docker-stable – 官方OWASP ZAP

　　· docker pull wpscanteam/wpscan – 官方WPScan

　　· docker pull remnux/metasploit – docker-metasploit

　　· docker pull citizenstig/dvwa – Damn Vulnerable Web Application （DVWA）

　　· docker pull wpscanteam/vulnerablewordpress – Vulnerable WordPress Installation

　　· docker pull hmlio/vaas-cve-2014-6271 – 漏洞即服務(wù)：Shellshock

　　· docker pull hmlio/vaas-cve-2014-0160 – 漏洞即服務(wù)：Heartbleed

　　· docker pull opendns/security-ninjas – Security Ninjas

　　· docker pull diogomonica/docker-bench-security – Docker Bench for Security

　　· docker pull ismisepaul/securityshepherd – OWASP Security Shepherd

　　· docker pull danmx/docker-owasp-webgoat – OWASP WebGoat Project docker鏡像

　　· docker-compose build && docker-compose up – OWASP NodeGoat

　　· docker pull citizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application