所谓工欲善其事必先利其器,安全爱好者使用网络安全和渗透测试工具来测试网络和应用程序中的漏会给安全项目带来很多便利。在这里,您可以找到综合网络渗透测试工具列表,其中包括在所有环境中执行渗透测试操作。
网络安全和渗透测试工具
扫描/ Pentesting
- OpenVAS - OpenVAS是一个由多个服务和工具组成的框架,提供全面而强大的漏洞扫描和漏洞管理解决方案。
- Metasploit Framework - 用于针对远程目标计算机开发和执行漏洞利用代码的工具。其他重要的子项目包括操作码数据库,shellcode存档和相关研究。
- Kali - Kali Linux是一个Debian派生的Linux发行版,专为数字取证和渗透测试而设计。Kali Linux预装了许多渗透测试程序,包括nmap(端口扫描程序),Wireshark(数据包分析程序),John the Ripper(密码破解程序)和Aircrack-ng(用于渗透测试无线LAN的软件套件) 。
- pig - Linux数据包制作工具。
- scapy - Scapy:基于python的交互式数据包操作程序和库。
- Pompem - Pompem是一个开源工具,旨在自动搜索主要数据库中的漏洞。使用Python开发,具有高级搜索系统,从而促进了测试者和道德黑客的工作。在其当前版本中,在数据库中执行搜索:Exploit-db,1337day,Packetstorm Security ...
- Nmap - Nmap是一个免费的开源实用程序,用于网络发现和安全审计。
监控/记录
- justniffer - Justniffer是一种网络协议分析器,可以捕获网络流量并以自定义方式生成日志,可以模拟Apache Web服务器日志文件,跟踪响应时间并从HTTP流量中提取所有“截获”文件。
- httpry - httpry是一种专门用于显示和记录HTTP流量的数据包嗅探器。它不是为了执行分析本身,而是为了捕获,解析和记录流量以供以后分析。它可以在解析流量时实时显示流量,也可以作为记录到输出文件的守护进程运行。它被编写为尽可能轻巧和灵活,因此它可以很容易地适应不同的应用程序。
- ngrep - ngrep致力于提供GNU grep的大部分常用功能,并将它们应用于网络层。ngrep是一个支持pcap的工具,它允许您指定扩展的常规或十六进制表达式以匹配数据包的数据有效负载。它目前通过以太网,PPP,SLIP,FDDI,令牌环和空接口识别IPv4 / 6,TCP,UDP,ICMPv4 / 6,IGMP和Raw,并且以与更常见的数据包嗅探工具相同的方式理解BPF过滤器逻辑,例如作为tcpdump和snoop。
- passivedns - 一种被动收集DNS记录的工具,用于辅助事件处理,网络安全监控(NSM)和一般数字取证。PassiveDNS嗅探来自接口的流量或读取pcap文件并将DNS服务器答案输出到日志文件。PassiveDNS可以在内存中缓存/聚合重复的DNS答案,限制日志文件中的数据量而不会丢失DNS答案中的基本要素。
- sagan - Sagan使用'Snort like'引擎和规则来分析日志(syslog / event log / snmptrap / netflow / etc)。
- 节点安全平台 - 类似的功能设置为Snyk,但在大多数情况下是免费的,而对其他人来说非常便宜。
- ntopng - Ntopng是一个网络流量探测器,显示网络使用情况,类似于流行的顶级Unix命令。
- Fibratus - Fibratus是一个用于探索和跟踪Windows内核的工具。它能够捕获大部分Windows内核活动 - 进程/线程创建和终止,文件系统I / O,注册表,网络活动,DLL加载/卸载等等。Fibratus有一个非常简单的CLI,它封装了启动内核事件流收集器,设置内核事件过滤器或运行名为filaments的轻量级Python模块的机制。
IDS / IPS /主机IDS /主机IPS
- Snort - Snort是一个免费的开源网络入侵防御系统(NIPS)和网络入侵检测系统(NIDS),由Martin Roesch于1998年创建.Snort现在由Sourcefire开发,Roesch是其创始人兼首席技术官。2009年,Snort进入InfoWorld的开源名人堂,成为“有史以来最伟大的开源软件之一”。
- Bro -Bro是一个功能强大的网络分析框架,与您可能知道的典型IDS有很大不同。
- OSSEC - 全面的开源HIDS。不适合胆小的人。需要稍微了解一下它是如何工作的。执行日志分析,文件完整性检查,策略监控,rootkit检测,实时警报和主动响应。它可在大多数操作系统上运行,包括Linux,MacOS,Solaris,HP-UX,AIX和Windows。大量合理的文档。最佳点是大中型部署。
- Suricata - Suricata是一种高性能的网络IDS,IPS和网络安全监控引擎。开源并由社区运营的非营利基金会开放信息安全基金会(OISF)所有。Suricata由OISF及其支持供应商开发。
- Security Onion - Security Onion是用于入侵检测,网络安全监控和日志管理的Linux发行版。它基于Ubuntu,包含Snort,Suricata,Bro,OSSEC,Sguil,Squert,Snorby,ELSA,Xplico,NetworkMiner和许多其他安全工具。易于使用的安装向导允许您在几分钟内为您的企业构建大量分布式传感器!
- sshwatch - 用于SSH的IPS,类似于用Python编写的DenyHosts。它还可以在日志中收集攻击期间的攻击者信息。
- Stealth - 文件完整性检查器,几乎不会留下任何沉淀物。控制器从另一台计算机运行,这使得攻击者很难知道通过SSH以定义的伪随机间隔检查文件系统。强烈建议用于中小型部署。
- AIEngine - AIEngine是下一代交互式/可编程Python / Ruby / Java / Lua数据包检测引擎,具有学习功能,无需人工干预,NIDS(网络入侵检测系统)功能,DNS域分类,网络收集器,网络取证等等。
- Denyhosts - 阻止基于SSH字典的攻击和暴力攻击。
- Fail2Ban - 扫描日志文件并对显示恶意行为的IP执行操作。
- SSHGuard - 一种用SSH保护服务的软件,用C语言编写
- Lynis - Linux / Unix的开源安全审计工具。
蜂蜜罐/ 蜂蜜网
- HoneyPy - HoneyPy是一种低到中等交互蜜罐。它易于:使用插件部署,扩展功能,以及应用自定义配置。
- Dionaea - Dionaea意味着是一个nepenthes继承者,将python作为脚本语言嵌入,使用libemu检测shellcode,支持ipv6和tls。
- Conpot - ICS / SCADA蜜罐。Conpot是一款低交互式服务器端工业控制系统蜜罐,易于部署,修改和扩展。通过提供一系列常见的工业控制协议,我们创建了构建您自己的系统的基础知识,能够模拟复杂的基础架构,以说服对手他刚刚找到了一个巨大的工业园区
- Amun - 基于Amun Python的低交互蜜罐。
- Glastopf - Glastopf是一个蜜罐,可模拟数千个漏洞,从针对Web应用程序的攻击中收集数据。其背后的原理非常简单:回复利用Web应用程序的攻击者的正确响应。
- Kippo - Kippo是一个中等交互式SSH蜜罐,用于记录暴力攻击,最重要的是,攻击者执行的整个shell交互。
- Kojoney - Kojoney是一个模拟SSH服务器的低级交互蜜罐。守护进程使用Twisted Conch库用Python编写。
- HonSSH - HonSSH是一种高度互动的Honey Pot解决方案。HonSSH将位于攻击者和蜜罐之间,在他们之间创建两个独立的SSH连接。
- Bifrozt - Bifrozt是一个带有DHCP服务器的NAT设备,通常部署一个NIC直接连接到Internet,一个NIC连接到内部网络。Bifrozt与其他标准NAT设备的区别在于它能够在攻击者和蜜罐之间作为透明的SSHv2代理工作。
- HoneyDrive -HoneyDrive是首屈一指的蜜罐Linux发行版。它是安装了Xubuntu Desktop 12.04.4 LTS版本的虚拟设备(OVA)。它包含10多个预安装和预配置的蜜罐软件包,如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC蜜客等等。
- Cuckoo Sandbox - Cuckoo Sandbox是一个开源软件,用于自动分析可疑文件。为此,它使用自定义组件来监视恶意进程在隔离环境中运行时的行为。
完整数据包捕获/取证
- tcpflow - tcpflow是一个程序,它捕获作为TCP连接(流)的一部分传输的数据,并以便于协议分析和调试的方式存储数据。
- Xplico - Xplico的目标是从互联网流量中提取捕获包含的应用程序数据。例如,从pcap文件中,Xplico提取每个电子邮件(POP,IMAP和SMTP协议),所有HTTP内容,每个VoIP呼叫(SIP),FTP,TFTP等。Xplico不是网络协议分析器。Xplico是一个开源网络取证分析工具(NFAT)。
- Moloch - Moloch是一个开源的大规模IPv4数据包捕获(PCAP),索引和数据库系统。提供了一个简单的Web界面,用于PCAP浏览,搜索和导出。公开了API,允许直接下载PCAP数据和JSON格式的会话数据。通过使用HTTPS和HTTP摘要密码支持或使用前面的apache实现简单的安全性。Moloch并不是要取代IDS引擎,而是与它们一起工作,以标准PCAP格式存储和索引所有网络流量,从而提供快速访问。Moloch可以部署在许多系统中,可以扩展以处理多个千兆位/秒的流量。
- OpenFPC - OpenFPC是一组工具,它们结合起来提供轻量级的全包网络流量记录和缓冲系统。它的设计目标是允许非专家用户在COTS硬件上部署分布式网络流量记录器,同时集成到现有的警报和日志管理工具中。
- Dshell - Dshell是一个网络取证分析框架。支持快速开发插件,以支持解析网络数据包捕获。
- 速记员 - Stenographer是一种数据包捕获解决方案,旨在快速将所有数据包假脱机到磁盘,然后提供对这些数据包子集的简单,快速访问。
嗅探器
- wireshark - Wireshark是一款免费的开源数据包分析器。它用于网络故障排除,分析,软件和通信协议开发以及教育。Wireshark与tcpdump非常相似,但有一个图形前端,以及一些集成的排序和过滤选项。
- netsniff-ng -netsniff-ng是一个免费的Linux网络工具包,如果你愿意的话,它是你日常Linux网络管道的瑞士军刀。通过零复制机制实现其性能提升,因此在数据包接收和传输时,内核不需要将数据包从内核空间复制到用户空间,反之亦然。
- 实时HTTP标头 - 实时HTTP标头是一个免费的firefox插件,可实时查看您的浏览器请求。它显示了请求的整个标头,可用于查找实现中的安全漏洞。
安全信息和事件管理
- Prelude -Prelude是一个通用的“安全信息和事件管理”(SIEM)系统。Prelude收集,规范化,分类,汇总,关联和报告所有与安全相关的事件,而不受产生此类事件的产品品牌或许可证的影响; 序曲是“无代理人”。
- OSSIM - OSSIM提供安全专业人员从SIEM产品中获得的所有功能 - 事件收集,规范化和关联。
- FIR - 快速事件响应,一个网络安全事件管理平台。
VPN
- OpenVPN -OpenVPN是一个开源软件应用程序,它实现虚拟专用网络(VPN)技术,用于在路由或桥接配置和远程访问设施中创建安全的点对点或站点到站点连接。它使用自定义安全协议,利用SSL / TLS进行密钥交换。
快速数据包处理
- DPDK -DPDK是一组用于快速数据包处理的库和驱动程序。
- PFQ -PFQ是一个专为Linux操作系统设计的功能性网络框架,允许高效的数据包捕获/传输(10G及更高版本),内核功能处理和跨套接字/端点的数据包控制。
- PF_RING -PF_RING是一种新型网络套接字,可显着提高数据包捕获速度。
- PF_RING ZC(零拷贝) - PF_RING ZC(零拷贝)是一种灵活的数据包处理框架,允许您以任何数据包大小实现1/10 Gbit线速数据包处理(RX和TX)。它实现零拷贝操作,包括进程间和VM间(KVM)通信的模式。
- PACKET_MMAP / TPACKET / AF_PACKET - 使用PACKET_MMAP来提高Linux中捕获和传输过程的性能是很好的。
- netmap - netmap是高速数据包I / O的框架。与其配套的VALE软件开关一起,它作为单个内核模块实现,可用于FreeBSD,Linux和Windows。
火墙
- pfSense - 防火墙和路由器FreeBSD发行版。
- OPNsense - 是一个开源,易于使用且易于构建的基于FreeBSD的防火墙和路由平台。OPNsense包括昂贵的商业防火墙中提供的大多数功能,在许多情况下更多。它带来了丰富的商业产品功能集,具有开放和可验证来源的优势。
- fwknop - 通过防火墙中的单包授权保护端口。
反垃圾邮件
- SpamAssassin - 一种功能强大且流行的垃圾邮件过滤器,采用多种检测技术。