掃描/滲透測(cè)試
· OpenVAS – OpenVAS是一個(gè)包含多種服務(wù)和工具的框架,可提供全面而強(qiáng)大的漏洞掃描和漏洞管理解決方案。
· Metasploit Framework – 針對(duì)遠(yuǎn)程目標(biāo)計(jì)算機(jī)開(kāi)發(fā)和執(zhí)行漏洞攻擊代碼的最佳網(wǎng)絡(luò)安全工具之一。其他重要的子項(xiàng)目包括操作碼數(shù)據(jù)庫(kù)、shellcode檔案和相關(guān)研究。
· Kali – Kali Linux是基于Debian的Linux發(fā)行版,設(shè)計(jì)用于數(shù)字取證操作系統(tǒng)。每一季度更新一次。Kali Linux預(yù)裝了許多滲透測(cè)試程序,包括nmap(端口掃描器)、Wireshark(數(shù)據(jù)包分析器)、John the Ripper(密碼破解程序)和Aircrack-ng(用于滲透測(cè)試無(wú)線LAN的軟件套件)。
· pig – Linux數(shù)據(jù)包制作工具。
· scapy – Scapy:基于 python 的交互式數(shù)據(jù)包操作程序和庫(kù)。
· Pompem – Pompem是一種開(kāi)源網(wǎng)絡(luò)安全工具,旨在自動(dòng)搜索主要數(shù)據(jù)庫(kù)中的漏洞。用Python開(kāi)發(fā),具有高級(jí)搜索系統(tǒng),從而促進(jìn)滲透測(cè)試者和道德黑客的工作。在其當(dāng)前版本中,在數(shù)據(jù)庫(kù)中執(zhí)行搜索:Exploit-db、1337day、Packetstorm Security…
· Nmap – Nmap是一款開(kāi)源免費(fèi)的網(wǎng)絡(luò)發(fā)現(xiàn)(Network Discovery)和安全審計(jì)(Security Auditing)工具。軟件名字Nmap是Network Mapper的簡(jiǎn)稱。
監(jiān)控/記錄
· justniffer – Justniffer是一種網(wǎng)絡(luò)協(xié)議分析器,它可以捕獲網(wǎng)絡(luò)流量并以自定義方式生成日志,可以模擬Apache Web服務(wù)器日志文件,跟蹤響應(yīng)時(shí)間并從HTTP流量中提取所有“攔截”文件。
· httpry – httpry是一個(gè)專門(mén)的數(shù)據(jù)包嗅探器,用于顯示和記錄HTTP流量。它的目的不是執(zhí)行分析本身,而是捕獲、解析和記錄流量,以便以后進(jìn)行分析。它可以在解析流量時(shí)實(shí)時(shí)顯示流量,也可以作為記錄到輸出文件的守護(hù)進(jìn)程運(yùn)行。它被編寫(xiě)得盡可能輕量級(jí)和靈活,以便輕松適應(yīng)不同的應(yīng)用程序。
· ngrep – ngrep致力于提供GNU grep的大部分通用功能,并將其應(yīng)用于網(wǎng)絡(luò)層。ngrep是一個(gè)pcap-aware工具,它允許你指定擴(kuò)展的正則或十六進(jìn)制表達(dá)式來(lái)匹配數(shù)據(jù)包的數(shù)據(jù)payload。它目前通過(guò)以太網(wǎng)、PPP、SLIP、FDDI、令牌環(huán)和空接口識(shí)別IPv4/6、TCP、UDP、ICMPv4/6、IGMP和Raw,并以與更常見(jiàn)的數(shù)據(jù)包嗅探工具(如tcpdump和snoop)相同的方式理解BPF過(guò)濾器邏輯。
· Passivedns – 被動(dòng)收集DNS記錄的最佳網(wǎng)絡(luò)安全工具之一,可幫助事件處理、網(wǎng)絡(luò)安全監(jiān)控(NSM)和一般數(shù)字取證。PassiveDNS嗅探來(lái)自接口的流量或讀取pcap文件,并將DNS服務(wù)器響應(yīng)輸出到日志文件。PassiveDNS可以在內(nèi)存中緩存/聚合重復(fù)的DNS應(yīng)答,從而限制日志文件中的數(shù)據(jù)量,而不會(huì)丟失DNS應(yīng)答中的essens。
· sagan – Sagan使用“類似Snort”的引擎和規(guī)則來(lái)分析日志(系統(tǒng)日志/事件日志/snmptrap/netflow等)。
· Node Security Platform – 與Snyk類似的功能集,但在大多數(shù)情況下是免費(fèi)的。
· ntopng – Ntopng是一個(gè)網(wǎng)絡(luò)流量探測(cè)器,顯示網(wǎng)絡(luò)使用情況,類似于流行的top Unix命令。
· Fibratus – Fibratus是一種用于探索和跟蹤Windows內(nèi)核的工具。它能夠捕獲大部分Windows內(nèi)核活動(dòng)——進(jìn)程/線程創(chuàng)建和終止、文件系統(tǒng)I/O、注冊(cè)表、網(wǎng)絡(luò)活動(dòng)、DLL加載/卸載等等。Fibratus有一個(gè)非常簡(jiǎn)單的CLI,它封裝了啟動(dòng)內(nèi)核事件流收集器、設(shè)置內(nèi)核事件過(guò)濾器或運(yùn)行輕量級(jí)Python模塊(稱為fills)的機(jī)制。
IDS / IPS / 主機(jī) IDS / 主機(jī) IPS
· Snort – Snort是Martin Roesch于1998年創(chuàng)建的免費(fèi)開(kāi)源網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。Snort現(xiàn)在由Sourcefire開(kāi)發(fā),其中Roesch是其創(chuàng)始人兼CTO。2009年,Snort作為“有史以來(lái)最偉大的開(kāi)源軟件”之一進(jìn)入了InfoWorld的開(kāi)源名人堂。
· Bro – Bro是一個(gè)強(qiáng)大的網(wǎng)絡(luò)分析框架,與您可能知道的典型IDS有很大不同。
· OSSEC – 全面的開(kāi)源HIDS。您可能需要一點(diǎn)時(shí)間來(lái)了解它的工作原理。執(zhí)行日志分析、文件完整性檢查、策略監(jiān)控、rootkit檢測(cè)、實(shí)時(shí)警報(bào)和主動(dòng)響應(yīng)。它可以在大多數(shù)操作系統(tǒng)上運(yùn)行,包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。最擅長(zhǎng)大中型部署。
· Suricata – Suricata是一個(gè)高性能的網(wǎng)絡(luò)IDS、IPS和網(wǎng)絡(luò)安全監(jiān)控引擎。它由社區(qū)運(yùn)營(yíng)的非營(yíng)利基金會(huì)所有,即開(kāi)放信息安全基金會(huì)(OISF)。Suricata由OISF及其支持供應(yīng)商開(kāi)發(fā)。
· Security Onion – Security Onion是一個(gè)Linux發(fā)行版,用于入侵檢測(cè)、網(wǎng)絡(luò)安全監(jiān)控和日志管理。它基于Ubuntu,包含Snort、Suricata、Bro、OSSEC、Sguil、Squet、Snorby、ELSA、Xplico、NetworkMiner和許多其他安全工具。易于使用的設(shè)置向?qū)Э勺屇趲追昼妰?nèi)為您的企業(yè)構(gòu)建大量分布式傳感器!
· sshwatch – SSH的IP類似于用Python編寫(xiě)的DenyHost。它還可以在日志中收集攻擊過(guò)程中攻擊者的信息。
· Stealth – 文件完整性檢查工具??刂破髟诹硪慌_(tái)機(jī)器上運(yùn)行,這使得攻擊者很難知道文件系統(tǒng)正在通過(guò)SSH以定義的偽隨機(jī)間隔進(jìn)行檢查。強(qiáng)烈推薦用于中小型部署。
· AIEngine – AIEngine是下一代交互式/可編程Python/Ruby/Java/Lua數(shù)據(jù)包檢查引擎,具有無(wú)需任何人工干預(yù)的學(xué)習(xí)能力、NIDS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))功能、DNS域分類、網(wǎng)絡(luò)收集器、網(wǎng)絡(luò)取證等其他。
· Denyhosts – 阻止基于SSH字典的攻擊和蠻力攻擊。
· Fail2Ban – 掃描日志文件并對(duì)顯示惡意行為的IP采取措施。
· SSHGuard – 除SSH外還用于保護(hù)服務(wù)的軟件,用C編寫(xiě)。
· Lynis – 一個(gè)用于Linux/Unix的開(kāi)源安全審計(jì)工具。
蜜罐/蜜網(wǎng)
· HoneyPy – HoneyPy是一個(gè)中低交互蜜罐。它旨在易于部署、使用插件擴(kuò)展功能以及應(yīng)用自定義配置。
· Dionaea – Dionaea是nepenthes的繼承者,它嵌入python作為腳本語(yǔ)言,使用libemu檢測(cè)shellcode,支持ipv6和tls。
· Conpot – ICS/SCADA蜜罐。Conpot是一個(gè)低交互服務(wù)器端工業(yè)控制系統(tǒng)蜜罐,旨在易于部署、修改和擴(kuò)展。通過(guò)提供一系列通用工業(yè)控制協(xié)議,我們?yōu)闃?gòu)建您自己的系統(tǒng)奠定了基礎(chǔ),能夠模擬復(fù)雜的基礎(chǔ)設(shè)施,讓對(duì)手相信他剛剛發(fā)現(xiàn)了一個(gè)巨大的工業(yè)綜合體
· Amun – 基于Amun Python的低交互蜜罐。
· Glastopf – Glastopf模擬數(shù)千個(gè)漏洞,從針對(duì)Web應(yīng)用程序的攻擊中收集數(shù)據(jù)。其背后的原理非常簡(jiǎn)單:對(duì)利用Web應(yīng)用程序的攻擊者做出正確的響應(yīng)。
· Kippo – Kippo是一個(gè)中等交互SSH蜜罐,旨在記錄暴力攻擊,最重要的是,記錄攻擊者執(zhí)行的整個(gè)shell交互。
· Kojoney – Kojoney是一個(gè)模擬SSH服務(wù)器的低級(jí)交互蜜罐。該守護(hù)進(jìn)程是使用Twisted Conch庫(kù)以Python編寫(xiě)的。
· HonSSH – HonSSH是一種高交互蜜罐解決方案。HonSSH將位于攻擊者和蜜罐之間,在它們之間創(chuàng)建兩個(gè)單獨(dú)的SSH連接。
· Bifrozt – Bifrozt是一種帶有DHCP服務(wù)器的NAT設(shè)備,通常部署有一個(gè)直接連接到Internet的NIC和一個(gè)連接到內(nèi)部網(wǎng)絡(luò)的NIC。Bifrozt與其他標(biāo)準(zhǔn)NAT設(shè)備的不同之處在于它能夠在攻擊者和您的蜜罐之間充當(dāng)透明的SSHv2代理。
· HoneyDrive – HoneyDrive是一款基于Xubuntu的開(kāi)源和首選蜜罐捆綁Linux操作系統(tǒng)。它是一個(gè)安裝了Xubuntu Desktop 12.04.4 LTS版本的虛擬設(shè)備(OVA)。它包含10多個(gè)預(yù)安裝和預(yù)配置的蜜罐軟件包,例如Kippo SSH蜜罐、Dionaea和Amun惡意軟件蜜罐、Honeyd低交互蜜罐、Glastopf網(wǎng)絡(luò)蜜罐和Wordpot、Conpot SCADA/ICS蜜罐、Thug和PhoneyC蜜罐等等。
· Cuckoo Sandbox – Cuckoo Sandbox是一個(gè)開(kāi)源軟件,用于自動(dòng)分析可疑文件。為此,它使用自定義組件來(lái)監(jiān)視在隔離環(huán)境中運(yùn)行時(shí)惡意進(jìn)程的行為。
完整的數(shù)據(jù)包捕獲/取證
· tcpflow – tcpflow是一個(gè)程序,它捕獲作為T(mén)CP連接(流)的一部分傳輸?shù)臄?shù)據(jù),并以方便協(xié)議分析和調(diào)試的方式存儲(chǔ)數(shù)據(jù)。
· Xplico – Xplico的目標(biāo)是從互聯(lián)網(wǎng)流量中提取包含的應(yīng)用程序數(shù)據(jù)。例如,Xplico從pcap文件中提取每封電子郵件(POP、IMAP和SMTP協(xié)議)、所有HTTP內(nèi)容、每個(gè)VoIP呼叫(SIP)、FTP、TFTP等。Xplico不是網(wǎng)絡(luò)協(xié)議分析器。Xplico是一種開(kāi)源網(wǎng)絡(luò)取證分析工具(NFAT)。
· Moloch – Moloch是一個(gè)開(kāi)源、大規(guī)模的IPv4數(shù)據(jù)包捕獲(PCAP)、索引和數(shù)據(jù)庫(kù)系統(tǒng)。為PCAP瀏覽、搜索和導(dǎo)出提供了一個(gè)簡(jiǎn)單的Web界面。公開(kāi)的API允許直接下載PCAP數(shù)據(jù)和JSON格式的會(huì)話數(shù)據(jù)。通過(guò)使用HTTPS和HTTP摘要密碼支持或在前端使用apache來(lái)實(shí)現(xiàn)簡(jiǎn)單的安全性。Moloch并不是要取代IDS引擎,而是與它們一起工作,以標(biāo)準(zhǔn)PCAP格式存儲(chǔ)和索引所有網(wǎng)絡(luò)流量,提供快速訪問(wèn)。Moloch可跨多個(gè)系統(tǒng)部署,并且可以擴(kuò)展以處理多千兆位/秒的流量。
· OpenFPC – OpenFPC是一組結(jié)合起來(lái)提供輕量級(jí)的全數(shù)據(jù)包網(wǎng)絡(luò)流量記錄器和緩沖系統(tǒng)的工具。它的設(shè)計(jì)目標(biāo)是允許非專家用戶在COTS硬件上部署分布式網(wǎng)絡(luò)流量記錄器,同時(shí)集成到現(xiàn)有的警報(bào)和日志管理工具中。
· Dshell – Dshell是一個(gè)網(wǎng)絡(luò)取證分析框架。它使得插件能夠快速開(kāi)發(fā),以支持網(wǎng)絡(luò)數(shù)據(jù)包捕獲的剖析。
· 速記員 – 速記員是一種數(shù)據(jù)包捕獲解決方案,旨在快速將所有數(shù)據(jù)包假脫機(jī)到磁盤(pán),然后提供對(duì)這些數(shù)據(jù)包子集的簡(jiǎn)單、快速訪問(wèn)。
基于嗅探器的網(wǎng)絡(luò)安全工具
· Wireshark – Wireshark是一個(gè)免費(fèi)和開(kāi)源數(shù)據(jù)包分析器。它用于網(wǎng)絡(luò)故障排除、分析、軟件和通信協(xié)議開(kāi)發(fā)以及教育。Wireshark與tcpdump非常相似,但它有一個(gè)圖形化的前端,以及一些集成的排序和過(guò)濾選項(xiàng)。
· netsniff-ng – 是一個(gè)免費(fèi)的高性能網(wǎng)絡(luò)嗅探器,支持?jǐn)?shù)據(jù)的捕獲、重放、過(guò)濾等,是一個(gè)linux平臺(tái)系統(tǒng)級(jí)的應(yīng)用程序。它的性能增益是通過(guò)零復(fù)制機(jī)制實(shí)現(xiàn)的,因此在數(shù)據(jù)包接收和傳輸時(shí),內(nèi)核不需要將數(shù)據(jù)包從內(nèi)核空間復(fù)制到用戶空間,反之亦然。
· Live HTTP headers – Live HTTP headers是一個(gè)免費(fèi)的Firefox插件,可實(shí)時(shí)查看您的瀏覽器請(qǐng)求。它顯示了請(qǐng)求的整個(gè)header,可用于查找實(shí)現(xiàn)中的安全漏洞。
SIEM – 網(wǎng)絡(luò)安全工具
· Prelude – Prelude是一個(gè)通用的“安全信息和事件管理”(SIEM)系統(tǒng)。Prelude收集、規(guī)范、分類、匯總、關(guān)聯(lián)和報(bào)告所有與安全相關(guān)的事件,獨(dú)立于導(dǎo)致此類事件的產(chǎn)品品牌或許可;Prelude是“無(wú)代理的”。
· OSSIM – OSSIM提供安全專業(yè)人員從SIEM產(chǎn)品中需要的所有功能 – 事件收集、規(guī)范化和關(guān)聯(lián)。
· FIR – 快速事件響應(yīng),一個(gè)網(wǎng)絡(luò)安全事件管理平臺(tái)。
虛擬專用網(wǎng)
· OpenVPN – OpenVPN是一種開(kāi)源軟件應(yīng)用程序,它實(shí)現(xiàn)了虛擬專用網(wǎng)絡(luò)(VPN)技術(shù),用于在路由或橋接配置和遠(yuǎn)程訪問(wèn)設(shè)施中創(chuàng)建安全的點(diǎn)對(duì)點(diǎn)或站點(diǎn)到站點(diǎn)連接。它使用一個(gè)利用SSL/TLS進(jìn)行密鑰交換的自定義安全協(xié)議。
快速數(shù)據(jù)包處理
· DPDK – DPDK 是一組用于快速數(shù)據(jù)包處理的庫(kù)和驅(qū)動(dòng)程序。
· PFQ – PFQ是為L(zhǎng)inux操作系統(tǒng)設(shè)計(jì)的功能性網(wǎng)絡(luò)框架,它允許高效的數(shù)據(jù)包捕獲/傳輸(10G及以上)、內(nèi)核功能處理和跨套接字/端點(diǎn)的數(shù)據(jù)包控制。
· PF_RING – PF_RING是一種新型網(wǎng)絡(luò)套接字,可顯著提高數(shù)據(jù)包捕獲速度。
· PF_RING ZC(零拷貝) – PF_RING ZC(零拷貝)是一種靈活的數(shù)據(jù)包處理框架,允許您在任何大小的數(shù)據(jù)包下實(shí)現(xiàn)1/10 Gbit線速數(shù)據(jù)包處理(RX和TX)。它實(shí)現(xiàn)了零復(fù)制操作,包括用于進(jìn)程間和VM間(KVM)通信的模式。
· PACKET_MMAP/TPACKET/AF_PACKET – 在Linux中使用PACKET_MMAP可以提高捕獲和傳輸過(guò)程的性能。
· netmap – netmap 是一個(gè)用于高速數(shù)據(jù)包I/O的框架。與其配套的VALE軟件開(kāi)關(guān)一起,它作為單個(gè)內(nèi)核模塊實(shí)現(xiàn),可用于FreeBSD、Linux,現(xiàn)在也可用于Windows。
基于防火墻的網(wǎng)絡(luò)安全工具
· pfSense – 防火墻和路由器FreeBSD發(fā)行版。
· OPNsense – pfSense是一個(gè)基于FreeBSD,專為防火墻和路由器功能定制的開(kāi)源版本。它被安裝在計(jì)算機(jī)上作為網(wǎng)絡(luò)中的防火墻和路由器存在,并以可靠性著稱,且提供往往只存在于昂貴商業(yè)防火墻才具有的特性。
· fwknop – fwknop實(shí)現(xiàn)了被稱作為單包認(rèn)證(SPA)的授權(quán)協(xié)議,目的是為了獲得強(qiáng)大的服務(wù)隱藏功能。
反垃圾郵件
· SpamAssassin – 強(qiáng)大且流行的垃圾郵件過(guò)濾器,采用多種檢測(cè)技術(shù)。
用于滲透測(cè)試和安全的Docker鏡像
· docker pull kalilinux/kali-linux – docker官方Kali Linux
· docker pull owasp/zap2docker-stable – 官方OWASP ZAP
· docker pull wpscanteam/wpscan – 官方WPScan
· docker pull remnux/metasploit – docker-metasploit
· docker pull citizenstig/dvwa – Damn Vulnerable Web Application (DVWA)
· docker pull wpscanteam/vulnerablewordpress – Vulnerable WordPress Installation
· docker pull hmlio/vaas-cve-2014-6271 – 漏洞即服務(wù):Shellshock
· docker pull hmlio/vaas-cve-2014-0160 – 漏洞即服務(wù):Heartbleed
· docker pull opendns/security-ninjas – Security Ninjas
· docker pull diogomonica/docker-bench-security – Docker Bench for Security
· docker pull ismisepaul/securityshepherd – OWASP Security Shepherd
· docker pull danmx/docker-owasp-webgoat – OWASP WebGoat Project docker鏡像
· docker-compose build && docker-compose up – OWASP NodeGoat
· docker pull citizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application