雖然說(shuō)都已經(jīng)2019年了，安全從業(yè)者的日常依舊離不開各種工具的輔助。在 2018 年安全工具盤點(diǎn)的基礎(chǔ)上，我們今年再增加一些免費(fèi)或開源工具，供讀者參考。其中有很多都經(jīng)過(guò)專業(yè)人士的試用與推薦。

[[256259]]

網(wǎng)絡(luò)安全監(jiān)控

Argus

Argus其實(shí)是 Audit Record Generation and Utilization System(審計(jì)記錄生成與使用系統(tǒng))的縮寫，能對(duì)網(wǎng)絡(luò)流量與數(shù)據(jù)進(jìn)行高效、深入的分析。Argus可以篩選大量流量并快速全面的生成報(bào)告。不論是單一使用還是與其他工具共同使用，這個(gè)工具都可以提供堅(jiān)實(shí)的協(xié)助。

P0f

P0f的更新頻率很低，十幾年來(lái)變化不大，但仍然比較歡迎。這款工具使用時(shí)簡(jiǎn)單、高效，不會(huì)產(chǎn)生額外的流量。主要用于標(biāo)識(shí)與其交互的任何主機(jī)的操作系統(tǒng)。很多網(wǎng)絡(luò)安全監(jiān)控工具都可以創(chuàng)建探測(cè)、名稱查找以及各種查詢功能。P0f則以其輕量級(jí)、高速以及簡(jiǎn)潔運(yùn)行的的特征而著稱，對(duì)于高級(jí)用戶來(lái)說(shuō)必不可少。但對(duì)于一些新手而言，可能學(xué)習(xí)起來(lái)沒(méi)那么簡(jiǎn)單。

Nagios

Nagios可以監(jiān)控主機(jī)、系統(tǒng)和網(wǎng)絡(luò)，實(shí)時(shí)發(fā)送警報(bào)。用戶可以準(zhǔn)確指定他們想要通知的內(nèi)容。 這個(gè)程序可以監(jiān)控HTTP、NNTP、ICMP、POP3和SMTP等網(wǎng)絡(luò)服務(wù)。很多人將Nagios用于流量監(jiān)控，其實(shí)它也可以用作全面、基礎(chǔ)的網(wǎng)絡(luò)管理方案，適用于網(wǎng)絡(luò)安全專業(yè)人士和小型企業(yè)。

[[256261]]

Splunk

Splunk是一款高速、通用的網(wǎng)絡(luò)監(jiān)控工具，專為實(shí)時(shí)分析和歷史數(shù)據(jù)搜索而設(shè)計(jì)。具有統(tǒng)一界面，對(duì)用戶比較友好。其強(qiáng)大的搜索功能為應(yīng)用程序監(jiān)控提供了協(xié)助。Splunk可以處理非結(jié)構(gòu)化數(shù)據(jù)，并輕松擴(kuò)展?？梢耘浜蟂IEM，達(dá)到更好的效果。

Splunk其實(shí)是付費(fèi)應(yīng)用，提供免費(fèi)版本，但免費(fèi)版本的功能有限。如果預(yù)算足夠的話，付費(fèi)購(gòu)買也是性價(jià)比比較高的選擇。

網(wǎng)絡(luò)偵察與取證

TheHarvester

TheHarvester基于Kali，有助于收集域名、電子郵件地址、員工姓名、以及來(lái)自SHODAN的信息等。

Maltego

Maltego是Paterva開發(fā)的用于開源智能和取證的專有軟件，可以提供一個(gè)變換庫(kù)，用于從開源中發(fā)現(xiàn)數(shù)據(jù)，并以圖形格式顯示該信息，適用于鏈接分析和數(shù)據(jù)挖掘。Maltego有助于發(fā)現(xiàn)關(guān)于偵察目標(biāo)的大量數(shù)據(jù)，包括IP地址、域名、DNS條目以及員工電子郵件地址等。

[[256262]]

加密類

2018 的盤點(diǎn)中，主推的是Gnupg PGP和Keepass以及OpenVPN這三款加密工具。今年新增Tor和Openswan。

Tor

現(xiàn)在提到Tor大家似乎都會(huì)想起暗網(wǎng)。但事實(shí)上，Tor 本身只是個(gè)加密性能比較好的工具，可以保護(hù)互聯(lián)網(wǎng)隱私。一般來(lái)說(shuō)，系統(tǒng)將請(qǐng)求發(fā)送到代理web服務(wù)器以保護(hù)隱私、讓用戶難以被追蹤。盡管會(huì)有一些惡意出口節(jié)點(diǎn)嗅探流量，但在使用過(guò)程中仔細(xì)留意，就不會(huì)有大的影響。在實(shí)際應(yīng)用中，Tor對(duì)于網(wǎng)絡(luò)安全的作用比在暗網(wǎng)中發(fā)揮的作用更大。

[[256263]]

Openswan

Openswan可以說(shuō)是Linux下IPsec的最佳實(shí)現(xiàn)方式，可以設(shè)置支持IKWv2、X.509證書、NAT遍歷等的安全VPN。Openswan支持net-to-net和RoadWarrior兩種模式，前者可實(shí)現(xiàn)遠(yuǎn)程子網(wǎng) 通訊后類似局域網(wǎng)的訪問(wèn)，后者可以實(shí)現(xiàn)客戶端用IPSec 連接到內(nèi)網(wǎng)后的安全通訊。

密碼管理與恢復(fù)

Cain and Abel

僅適用于Windows的密碼恢復(fù)工具?？梢杂涗沄oIP對(duì)話，解碼加密密碼并分析路由協(xié)議。 可以獲取到緩存密碼、顯示密碼框、暴力破解密碼并進(jìn)行密碼分析等。可作為數(shù)據(jù)包嗅探的入門程序。

[[256264]]

Thycotic Secret Server

Secret Server是一種高級(jí)密碼管理器工具，適合IT團(tuán)隊(duì)使用。其設(shè)置秘密服務(wù)器，有助于IT團(tuán)隊(duì)管理者了解團(tuán)隊(duì)成員訪問(wèn)密碼的情況并在必要時(shí)更改密碼。當(dāng)然，Secret Server與其他密碼管理器一樣也可以生成強(qiáng)密碼且不需要用戶強(qiáng)行記憶。

此外，1 password、LastPass等也都是大家常用且好用的密碼管理工具。

漏洞掃描與入侵檢測(cè)

Burp Suite、Nikto等工具可查看2018年盤點(diǎn)文章。新增工具請(qǐng)看下文。

Snort

Snort是一個(gè)企業(yè)級(jí)的開源IDS，可以與任何操作系統(tǒng)和硬件兼容。系統(tǒng)執(zhí)行協(xié)議分析、內(nèi)容搜索/匹配以及各種網(wǎng)絡(luò)攻擊的檢測(cè)(如緩沖區(qū)溢出、隱形端口掃描程序、CGI攻擊、OS指紋識(shí)別等)。其優(yōu)點(diǎn)是易于配置，規(guī)則靈活，可以分析原始數(shù)據(jù)包。

[[256265]]

OWASP Zed Attack Proxy Project (ZAP)

開發(fā)人員需要測(cè)試Web應(yīng)用程序的安全性時(shí)，常常使用ZAP。ZAP是完全開源的跨平臺(tái)工具，可以實(shí)現(xiàn)Web應(yīng)用程序的主動(dòng)和被動(dòng)掃描、發(fā)現(xiàn)抓取程序內(nèi)容的爬蟲，并生成相關(guān)報(bào)告。此外，ZAP還能添加組件。

[[256266]]

ModSecurity

ModSecurity堪稱We應(yīng)用程序防火墻的“瑞士軍刀”，相當(dāng)于Web應(yīng)用程序開發(fā)者的必備工具。ModSecurity的主要功能包括實(shí)時(shí)監(jiān)控和訪問(wèn)控制、HTTP流量日志記錄、持續(xù)被動(dòng)安全防御和Web應(yīng)用程序加固等。

[[256267]]

漏洞管理

Nessus

Nessus 堪稱漏洞評(píng)估領(lǐng)域的行業(yè)標(biāo)準(zhǔn)，能幫助安全人員快速識(shí)別和修復(fù)問(wèn)題(包括軟件漏洞、缺失補(bǔ)丁、惡意軟件和錯(cuò)誤配置等問(wèn)題)。借助預(yù)先構(gòu)建的策略和模板、群組暫停功能和實(shí)時(shí)更新等功能，可以輕松、直觀地進(jìn)行漏洞評(píng)估。這款工具很活躍，最近剛發(fā)布了最新版本。

Balbix

Balbix能夠分析網(wǎng)絡(luò)中每種易受攻擊的資產(chǎn)情況，包括相關(guān)數(shù)據(jù)、交互的用戶、是否面向公眾等，并確定資產(chǎn)對(duì)組織的重要性。Balbix 還可以將每個(gè)漏洞與活動(dòng)的威脅源進(jìn)行比較，并預(yù)測(cè)、評(píng)估未來(lái)發(fā)生漏洞的可能性以及漏洞可能對(duì)企業(yè)造成的損失。

無(wú)線安全

NetStumbler

主要適用于Windows用戶，可以在無(wú)線網(wǎng)絡(luò)中找到開放的接入點(diǎn)。NetStumbler既可以尋找WAP，又檢測(cè)其他安全掃描工遺漏的漏洞。但需要注意的是這個(gè)工具僅僅適用于Windows，且不提供源代碼。

Kismet

Kismet是基于控制臺(tái)(ncurses)的802.11第2層無(wú)線網(wǎng)絡(luò)檢測(cè)器、嗅探器和入侵檢測(cè)系統(tǒng)。 Kismet主要通過(guò)被動(dòng)嗅探識(shí)別網(wǎng)絡(luò)，還可以發(fā)現(xiàn)正在使用中的隱藏(非信標(biāo))網(wǎng)絡(luò)。它可以通過(guò)嗅探TCP、UDP、ARP和DHCP數(shù)據(jù)包自動(dòng)檢測(cè)網(wǎng)絡(luò)IP塊，以Wireshark / tcpdump兼容格式記錄流量，甚至可以在下載的地圖上繪制檢測(cè)到的網(wǎng)絡(luò)和預(yù)估范圍。

[[256268]]

KisMAC

KisMAC適用Mac，簡(jiǎn)單易用，經(jīng)驗(yàn)不足的用戶也容易上手。KisMAC相當(dāng)于Kismet的Mac OS X版本，但二者代碼庫(kù)不同。利用KisMAC工具，可以通過(guò)結(jié)束鑒權(quán)(deauthentication)攻擊，實(shí)現(xiàn)映射和滲透測(cè)試。

[[256269]]

嗅探與抓包

Tcpdump

支持Mac、Windows和Linux，比Wireshark出現(xiàn)得更早。設(shè)置了數(shù)據(jù)包嗅探領(lǐng)域的標(biāo)準(zhǔn)，相當(dāng)于這個(gè)領(lǐng)域的早期風(fēng)向標(biāo)。Tcpdump持續(xù)開發(fā)改進(jìn)，力求簡(jiǎn)潔，所使用的系統(tǒng)資源較少，并且?guī)缀鯖](méi)有安全風(fēng)險(xiǎn)。

[[256270]]

Wireshark

Wireshark是繼Tcpdump之后的免費(fèi)開源的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件,截取網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)。同時(shí)，可提供實(shí)時(shí)網(wǎng)絡(luò)分析，讓用戶看到重建的TCP會(huì)話流。Wireshark的使用頻率較高，很多安全從業(yè)者對(duì)此都不陌生。

[[256271]]

郵件安全

垃圾郵件、釣魚郵件泛濫，讓很多人不堪其擾。很多安全研究員也專門針對(duì)這一現(xiàn)象研發(fā)了一些工具。

• MailWasher(掃描郵件、確定安全之后再下載)、
• SPAMfighter(可識(shí)別并過(guò)濾垃圾郵件，對(duì)家庭用戶100%免費(fèi))
• Spamihilator(通過(guò)過(guò)濾器、學(xué)習(xí)算法和概率計(jì)算來(lái)確定垃圾郵件，并設(shè)置用戶培訓(xùn)區(qū)域，以便用戶能培訓(xùn)系統(tǒng)更好地學(xué)習(xí)應(yīng)當(dāng)屏蔽的電子郵件)

以上為網(wǎng)絡(luò)安全領(lǐng)域常用的一些工具摘錄與盤點(diǎn)作為上一篇工具盤點(diǎn)文章的后續(xù)與補(bǔ)充，在專業(yè)網(wǎng)絡(luò)安全工具網(wǎng)站Sectools中，有更多工具和點(diǎn)評(píng)可以參考，感興趣的讀者可以去官網(wǎng)查看。