雖然說(shuō)都(dōu)已經2019年(ni₹©↑án)了(le)，安全從(cóng)業(yè)者的(de)日(rì)常依舊(♦≠¶ jiù)離(lí)不(bù)開(kāi)各種工(g€<π✔ōng)具的(de)輔助。在 2018 年(nián)安全工(gōng)具盤₹✔點的(de)基礎上(shàng)，我們今年±‍<(nián)再增加一(yī)些(xiē)免費(fèi)或開(€♠kāi)源工(gōng)具，供讀(dú)者參考。其中有(yǒu)很(h$ ěn)多(duō)都(dōu)經過專業(yè)人(rén)士的(dφ>¥≥e)試用(yòng)與推薦。

網絡安全監控

Argus

Argus其實是(shì) Audit Record ¥">¥Generation and Utilization Sλ♣ystem(審計(jì)記錄生(shēng)成與使用(y¥×òng)系統)的(de)縮寫，能(néng)對(♥÷¶duì)網絡流量與數(shù)據進行(xíng)高(gāo)效、深入的(≠αde)分(fēn)析。Argus可(kě§"∑§)以篩選大(dà)量流量并快(kuài)速全面的(de)生(shēng)成Ωφ→‍報(bào)告。不(bù)論是(shì)單一(yī)使用(yòn♣≠♥♠g)還(hái)是(shì)與其他(tā)工(gōng)具共同使用(y¶★★$òng)，這(zhè)個(gè)工(gōng)具都(d₽₹"ōu)可(kě)以提供堅實的(de)協助。

P0f

P0f的(de)更新頻(pín)率很(hěn)®€​✘低(dī)，十幾年(nián)來(lái)變化(h&☆®∞uà)不(bù)大(dà)，但(dàn)仍然比較歡迎。這(•∏α<zhè)款工(gōng)具使用(yòng)時(shí)簡單、高(gāo)效，不✘÷(bù)會(huì)産生(shēng)額外(wài)的(d™★φe)流量。主要(yào)用(yòng)于标識與其交互的(de)任何γ≈λ&主機(jī)的(de)操作(zuò)系統。很(hěn₩≈←)多(duō)網絡安全監控工(gōng)具都(dōu)可(kě)以↕©λ創建探測、名稱查找以及各種查詢功能(nén£±g)。P0f則以其輕量級、高(gāo)速以及簡潔運行(xíng"α)的(de)的(de)特征而著稱，對(duì)于高(g↔↑āo)級用(yòng)戶來(lái)說(shuō)必不(bù)可(∏ ¥kě)少(shǎo)。但(dàn)對(du☆‍₽ì)于一(yī)些(xiē)新手而言，可(kě)能(¶‍εnéng)學習(xí)起來(lái)沒那(€₩nà)麽簡單。

Nagios

Nagios可(kě)以監控主機(jī)、系統和(hé)網絡，實時≠δ÷(shí)發送警報(bào)。用(yòng)戶可Ω<§(kě)以準确指定他(tā)們想要(yào)通(tōng)知(zhī↔δ♦)的(de)內(nèi)容。 這(zhè)個(gè)程序可(kě)以監控HT¥≤©TP、NNTP、ICMP、POP3和(hé)S↓γφMTP等網絡服務。很(hěn)多(duō)人(ré₽♥n)将Nagios用(yòng)于流量監控，其實它也(yě)可↓•(kě)以用(yòng)作(zuò)全面、基礎的(de)網絡管理(lǐ)方♦©案，适用(yòng)于網絡安全專業(yè)人(rén)士σ©" 和(hé)小(xiǎo)型企業(yè)。

Splunk

Splunk是(shì)一(yī)款高(gāo≤λ¶)速、通(tōng)用(yòng)的(de)網絡監控工(gōng)具✔₩←•，專為(wèi)實時(shí)分(fēn)析和(hé)曆史數(shù)☆ ☆'據搜索而設計(jì)。具有(yǒu)統一(yī)界面，對(duì)用(yò™"•ng)戶比較友(yǒu)好(hǎo)。其強大(dà)的(de)搜索功能(♦σ♣×néng)為(wèi)應用(yòng)程序監控提供了(le)協助。S™​plunk可(kě)以處理(lǐ)非結構化(huà)數↓λ(shù)據，并輕松擴展。可(kě)以配合SIEM，達到(dào)更好π✘>(hǎo)的(de)效果。

Splunk其實是(shì)付費(fèi)應用(yòng)，提供免費(φ fèi)版本，但(dàn)免費(fèi)版本的(deα✘&)功能(néng)有(yǒu)限。如(rú)果¶≥&↔預算(suàn)足夠的(de)話(huà)，付費(fèi)購(gòu)€δ≥•買也(yě)是(shì)性價比比較高(gāo)的(de★₩←)選擇。

網絡偵察與取證

TheHarvester

TheHarvester基于Kali，有(yǒu)助于收集≥'域名、電(diàn)子(zǐ)郵件(jiàn)地(∑★εdì)址、員(yuán)工(gōng)姓名、以及來(láiδσ♦)自(zì)SHODAN的(de)信息等。

Maltego

Maltego是(shì)Paterva開(kā↑™<i)發的(de)用(yòng)于開(kāi)源智能(néng)和(hé)™≈←取證的(de)專有(yǒu)軟件(jiàn)，可(kě☆φγ )以提供一(yī)個(gè)變換庫，用(yòng)∞"‍'于從(cóng)開(kāi)源中發現(xiàn)©Ω<數(shù)據，并以圖形格式顯示該信息，适用(yòng)于鏈接分(fēn)λ¥析和(hé)數(shù)據挖掘。Maltego有(yǒu÷•♦)助于發現(xiàn)關于偵察目标的(de)大(dà)量數(sh©↑ù)據，包括IP地(dì)址、域名、DNS條目以及員(yuán)∑↔&工(gōng)電(diàn)子(zǐ)郵件(jiàn)地(dì)址等。☆γ ×

加密類

2018 的(de)盤點中，主推的(de)是(shì)G¶™£&nupg PGP和(hé)Keepassλ→以及OpenVPN這(zhè)三款加密工(gōng)具。今年(nián​♥‍÷)新增Tor和(hé)Openswan。

Tor

現(xiàn)在提到(dào)Tor大(dà)家(jiā)似乎↓☆都(dōu)會(huì)想起暗(àn)網。但(dàn)事≈∑→$(shì)實上(shàng)，Tor 本身(shēn)隻是(shì)個(g™™è)加密性能(néng)比較好(hǎo)的(de)工♥←(gōng)具，可(kě)以保護互聯網隐私。一(yī↑↑)般來(lái)說(shuō)，系統将請(qǐngφ&→Ω)求發送到(dào)代理(lǐ)web服務器(qì)以保≤≤護隐私、讓用(yòng)戶難以被追蹤。盡管會(hu←×±≤ì)有(yǒu)一(yī)些(xiē)惡意出口節點嗅探流量→λ，但(dàn)在使用(yòng)過程中仔細留意，就(j$↕≠↔iù)不(bù)會(huì)有(yǒu)大(dà)的(d&↔¶→e)影(yǐng)響。在實際應用(yòng)δγ'×中，Tor對(duì)于網絡安全的(de)作(z¶∏λuò)用(yòng)比在暗(àn)網中發揮的(de)作™≤✘φ(zuò)用(yòng)更大(dà)。

Openswan

Openswan可(kě)以說(shuōφ ∞)是(shì)Linux下(xià)IPsec的(de)最佳實現≤♣(xiàn)方式，可(kě)以設置支持IKWv2、X.5&φ¥09證書(shū)、NAT遍曆等的(de)安全VPN。Opens↑↕α±wan支持net-to-net和(hé)♥↑RoadWarrior兩種模式，前者可(kě)實現(xiàn)遠(yuǎ♣φ£§n)程子(zǐ)網 通(tōng)訊後類似局域網的(de)訪∞≥問(wèn)，後者可(kě)以實現(xiàn)​β客戶端用(yòng)IPSec 連接到(dào)☆☆內(nèi)網後的(de)安全通(tōng)訊。

密碼管理(lǐ)與恢複

Cain and Abel

僅适用(yòng)于Windows的(de)密碼恢複工(gōn♦  ✔g)具。可(kě)以記錄VoIP對(duì)話&™(huà)，解碼加密密碼并分(fēn)析路(lù)由協議(yì)。 可(kě ±→)以獲取到(dào)緩存密碼、顯示密碼框、暴力破解密碼并進行(xí¶πng)密碼分(fēn)析等。可(kě)作(zuò)為(wèi)數(shù)據×$包嗅探的(de)入門(mén)程序。

Thycotic Secret Server

Secret Server是(shì)一(yī)種高(gāo)級÷∏≤©密碼管理(lǐ)器(qì)工(gōng)具，适合IT團隊使用(yòng★ ♥♣)。其設置秘密服務器(qì)，有(yǒu)助于IT團隊管理(lǐ​€)者了(le)解團隊成員(yuán)訪問₩ γ(wèn)密碼的(de)情況并在必要(yà←×o)時(shí)更改密碼。當然，Secret Server與其他≠‍÷™(tā)密碼管理(lǐ)器(qì)一(yī)樣也(yě)可(kěδ↑♣β)以生(shēng)成強密碼且不(bù)需要(yào)用(yò>•↕ng)戶強行(xíng)記憶。

此外(wài)，1 password、LastPass等也(yě)都(dōu)是(shì)大(d←​★à)家(jiā)常用(yòng)且好(hǎo)用(yòng)的(de)密碼管α∞→✔理(lǐ)工(gōng)具。

漏洞掃描與入侵檢測

Burp Suite、Nikto等工(gōng)具可÷±(kě)查看(kàn)2018年(nián)盤點文(wén)章(zhāng✘≠)。新增工(gōng)具請(qǐng)看(kàn)下(xià)文(>£<wén)。

Snort

Snort是(shì)一(yī)個(gè)δ☆β♠企業(yè)級的(de)開(kāi)源IDS，可(kě)以與任何操 β作(zuò)系統和(hé)硬件(jiàn)兼容。系統執行(xíng)協議©¥(yì)分(fēn)析、內(nèi)容搜索/匹配以及各種網絡攻擊的(de←α✘)檢測(如(rú)緩沖區(qū)溢出、隐形端口掃©‌∞π描程序、CGI攻擊、OS指紋識别等)。其優點是(shì)易于配♦σ置，規則靈活，可(kě)以分(fēn)析原始數(shù)據包。

OWASP Zed Attack Proxy Project ↔λ≤☆(ZAP)

開(kāi)發人(rén)員(yuán)需要(yào)測試Web應用(yòng¥λ )程序的(de)安全性時(shí)，常常使用(yòng)ZAP。ZAP是(¥φ₹shì)完全開(kāi)源的(de)跨平台工(gōng)具，可(kě)以實現(♦±↓§xiàn)Web應用(yòng)程序的(de)主動和(hé)被動掃描、發♦↔ ™現(xiàn)抓取程序內(nèi)容的(de↕₹€¶)爬蟲，并生(shēng)成相(xiàng)關報(bào)告。此外(wài‌σ☆)，ZAP還(hái)能(néng)添加組©≥±件(jiàn)。

ModSecurity

ModSecurity堪稱We應用(yòng)程序防火(huǒ)牆♣ 的(de)“瑞士軍刀(dāo)&rdqσ×uo;，相(xiàng)當于Web應用(yòng)程序開(kāi)發者的(dφ✘≥ e)必備工(gōng)具。ModSecurit≠↓®φy的(de)主要(yào)功能(néng)包括實時(shí)監≠÷©控和(hé)訪問(wèn)控制(zhì)、H☆λ∞→TTP流量日(rì)志(zhì)記錄、持續被動安全防禦λ&和(hé)Web應用(yòng)程序加固等。

漏洞管理(lǐ)

Nessus

Nessus 堪稱漏洞評估領域的(de)行(xíng)業∞✘​(yè)标準，能(néng)幫助安全人(₽‌↕rén)員(yuán)快(kuài)速識别和(hé)修複問(wèn)題(包→✔€σ括軟件(jiàn)漏洞、缺失補丁、惡意軟件(jiàn)和(hé)錯γ≈(cuò)誤配置等問(wèn)題)。借助預先₽★構建的(de)策略和(hé)模闆、群組暫停功能(néng)和(hé ×↓)實時(shí)更新等功能(néng)，可(kě)以輕松、直觀地(d ↔ì)進行(xíng)漏洞評估。這(zhè)款工(gōng)具↔‍很(hěn)活躍，最近(jìn)剛發布了(le)最新版本。

Balbix

Balbix能(néng)夠分(fēn)析網絡中每種易受↔φ§>攻擊的(de)資産情況，包括相(xiàng)關數(shù)據、交互的(de)用γ'₽§(yòng)戶、是(shì)否面向公衆等，并确定資産對(duì)組織的↔φ(de)重要(yào)性。Balbix 還(hái↓ )可(kě)以将每個(gè)漏洞與活動的(de)威脅源進行(xíng)比較，®δ∞±并預測、評估未來(lái)發生(shēng)漏洞的(de)可(kě'→)能(néng)性以及漏洞可(kě)能(néng)對(duì)企業♦&‌(yè)造成的(de)損失。

無線安全

NetStumbler

主要(yào)适用(yòng)于Windows用(↓₩×₹yòng)戶，可(kě)以在無線網絡中找到(dà×♣&o)開(kāi)放(fàng)的(de)接入點。NetStumbl↑→±‍er既可(kě)以尋找WAP，又(yòu)檢測其他(tā)安全☆‌α¥掃描工(gōng)遺漏的(de)漏洞。但(dàn)需要(yào)注意的(d™₩✘§e)是(shì)這(zhè)個(gè)工(gōng)具僅僅适用(yòn©₽♣δg)于Windows，且不(bù)提供源代碼。

Kismet

Kismet是(shì)基于控制(zhì)台(ncursesγ≥♠)的(de)802.11第2層無線網絡檢測器(qì)、嗅探器(qì)和(hé)®₩↑<入侵檢測系統。 Kismet主要(yào)通(tōng)過被動嗅探識别網絡，βαε還(hái)可(kě)以發現(xiàn)正在使用(yòng)∑≈中的(de)隐藏(非信标)網絡。它可(kě)以通(tōng)過嗅探TC€♥¥P、UDP、ARP和(hé)DHCP數(shù)據包自(z&☆​ì)動檢測網絡IP塊，以Wiresharσφε•k / tcpdump兼容格式記錄流量，甚¥β→至可(kě)以在下(xià)載的(de)地(dì)圖上(shàng)繪≠₹♥制(zhì)檢測到(dào)的(de)網絡和(hé)預估範圍。 $

KisMAC

KisMAC适用(yòng)Mac，簡單易用(yòng)，經驗不(bù)足的(‍λde)用(yòng)戶也(yě)容易上(shàng)手。KisMAC相(xiàε ng)當于Kismet的(de)Mac OS X版本，但(γ ™dàn)二者代碼庫不(bù)同。利用(yòng)KisMAC工('βgōng)具，可(kě)以通(tōng)過結束鑒權(deauthenticat↕™↔ion)攻擊，實現(xiàn)映射和(hé)滲透測試。

嗅探與抓包

Tcpdump

支持Mac、Windows和(hé)Lin∏£✔←ux，比Wireshark出現(xiàn)得(de)更早。設置了(le£'↕)數(shù)據包嗅探領域的(de)标準，相(xiàng)當λ©于這(zhè)個(gè)領域的(de)早期風(fēnΩ₹g)向标。Tcpdump持續開(kāi)發改進，力求簡潔，所使用(yòng£Ω )的(de)系統資源較少(shǎo)，并且幾乎沒有(yǒu)安全風(fēn©β→εg)險。

Wireshark

Wireshark是(shì)繼Tcpdump之後的(d☆ •σe)免費(fèi)開(kāi)源的(de)網絡數(shù)據包分♥←δ∞(fēn)析軟件(jiàn),截取網絡數(shù)據包，并↔•±盡可(kě)能(néng)顯示出最為(wèi)詳細的(π÷♦÷de)網絡數(shù)據包數(shù)據。同時(shí)，可(kě¥≠♦≈)提供實時(shí)網絡分(fēn)析，∏倧讓用(yòng)戶看(kàn)到(dào)重建的(Ω™₹ de)TCP會(huì)話(huà)流。Wireshark的(d♣←$εe)使用(yòng)頻(pín)率較高(gāo)，很(☆‍hěn)多(duō)安全從(cóng)業(yè)≠✔₽‌者對(duì)此都(dōu)不(bù)陌生(shσ¥ēng)。

郵件(jiàn)安全

垃圾郵件(jiàn)、釣魚郵件(jiàn)泛濫，讓很(hěn)多(duō)人¶ε™(rén)不(bù)堪其擾。很(hěn)多(duō)安全€∑ 研究員(yuán)也(yě)專門(mén)針對(duì)這(σ'≤zhè)一(yī)現(xiàn)象研發了(∏™π∏le)一(yī)些(xiē)工(gōng)具。

• MailWasher(掃描郵件(jiàn)、确定安全之後再下(xià)載)、
• SPAMfighter(可(kě)識别并過濾垃圾郵件(jiàn)，對(duì)家♥→←‌(jiā)庭用(yòng)戶100%免費₽♦€(fèi))
• Spamihilator(通(tōng)過過濾器(qì)、學習(xí)算(suàn)法和π∏β♦(hé)概率計(jì)算(suàn)來(lái)确>¥λ§定垃圾郵件(jiàn)，并設置用(yòng)戶培訓區(qū)域 σ，以便用(yòng)戶能(néng)培訓系統更好(hǎo)地(d✘±ì)學習(xí)應當屏蔽的(de)電(diàn)子(zǐ)↕₽β郵件(jiàn))

以上(shàng)為(wèi)網絡安全領域常用(yòng)的(de)一(yī♦₽')些(xiē)工(gōng)具摘錄與盤點作(z™♠•uò)為(wèi)上(shàng)一(yī)篇工(gōng)具盤點文(wén)>δ章(zhāng)的(de)後續與補充，在專業(yè)網絡₽£ 安全工(gōng)具網站(zhàn)Sectools中，有(yǒu)更多(duō)工(gōngεεσ×)具和(hé)點評可(kě)以參考，感興♦​趣的(de)讀(dú)者可(kě)以去(qù)官網查看δ"λ★(kàn)。