雖然說(shuō)都(dōu)已經2019年(ni  án)了(le)，安全從(cóng)業(∏€ yè)者的(de)日(rì)常依舊(jiù)離<♣(lí)不(bù)開(kāi)各種工(gō±¥ng)具的(de)輔助。在 2018 年(nián)安全工(gōng)具盤點的(de)基礎上(shàng)，我們今年δ"(nián)再增加一(yī)些(xiē)免費α∑Ω★(fèi)或開(kāi)源工(gōng)具，供讀(dú)者參考。其中有(yǒu✘£δ♦)很(hěn)多(duō)都(dōu)經過專業(yè)人(rén)士的(de§→)試用(yòng)與推薦。

網絡安全監控

Argus

Argus其實是(shì) Audit Record Generatio★£÷n and Utilization System(審計(jì)記錄生(sh®β®ēng)成與使用(yòng)系統)的(de)縮寫，能(néng)對(duì)網λ≈ 絡流量與數(shù)據進行(xíng)高(g€φāo)效、深入的(de)分(fēn)析。Argus可(kě)以篩選大​ ₽(dà)量流量并快(kuài)速全面的(de)生(shēng)成報®€(bào)告。不(bù)論是(shì)單一(&¶yī)使用(yòng)還(hái)是(shì)與其他(t★←ā)工(gōng)具共同使用(yòng)，這(z α¥hè)個(gè)工(gōng)具都(dōu)可(kě)以提供堅實的(d✔☆e)協助。

P0f

P0f的(de)更新頻(pín)率很(hěn)低(dī)， ✘‍Ω十幾年(nián)來(lái)變化(huà)不(bù)大(dà)，但(dàn∏​≠)仍然比較歡迎。這(zhè)款工(gōng)具使用(yòng)時(δ•shí)簡單、高(gāo)效，不(bù)會(huì)産生(shēng)額外(w©π®ài)的(de)流量。主要(yào)用(yòng)于标識與↑Ω↔其交互的(de)任何主機(jī)的(de)操£↑作(zuò)系統。很(hěn)多(duō)網絡安全監控工(gōng)具都(dō≈π u)可(kě)以創建探測、名稱查找以及各種查詢功能(néng)。★‌γP0f則以其輕量級、高(gāo)速以及簡潔運行(xí✘$€ng)的(de)的(de)特征而著稱，對(duì)于高(gāo)級用(♣♠•πyòng)戶來(lái)說(shuō)必不(bù)可(kě)少(sh™δ≤✔ǎo)。但(dàn)對(duì)于一(y •αī)些(xiē)新手而言，可(kě)能(néng)學習(xí)←☆♦✘起來(lái)沒那(nà)麽簡單。

Nagios

Nagios可(kě)以監控主機(jī)、系統和(hé)網絡 £，實時(shí)發送警報(bào)。用(yòng)戶可(k∑‌$ě)以準确指定他(tā)們想要(yào)通§ •σ(tōng)知(zhī)的(de)內(nèi)容£"α。 這(zhè)個(gè)程序可(kě)以監控HTTP、NNTP、IC∑©∑MP、POP3和(hé)SMTP等網絡服務。很(hěn)多(du'α₩εō)人(rén)将Nagios用(yòng)于流量監控，其實它也(yě)可(kσ↕γ≤ě)以用(yòng)作(zuò)全面、基礎的(de)網絡™♣∑管理(lǐ)方案，适用(yòng)于網絡安全專業(yè)人(rén)±<士和(hé)小(xiǎo)型企業(yè)。

Splunk

Splunk是(shì)一(yī)款高(gāo)速、通(tōng)用(yòng₹→φ)的(de)網絡監控工(gōng)具，專為(wèi)✔≤§實時(shí)分(fēn)析和(hé)曆史數(shù)據搜索而設計(jβ≈∏★ì)。具有(yǒu)統一(yī)界面，對(duì)用 ₩≈©(yòng)戶比較友(yǒu)好(hǎo)。其強大(dà)的(de)γ☆搜索功能(néng)為(wèi)應用(yòng)程序監控提供了(le★‌)協助。Splunk可(kě)以處理(lǐ)非結構化(huà)數(®≤'shù)據，并輕松擴展。可(kě)以配合SIEM，達到¶§(dào)更好(hǎo)的(de)效果。

Splunk其實是(shì)付費(fèi)應用(yòng) ₹→γ，提供免費(fèi)版本，但(dàn)免費(fèi)版本♦σ♣的(de)功能(néng)有(yǒu)限。如(rú)果預算(su®★★→àn)足夠的(de)話(huà)，付費(fèi)★←¶♣購(gòu)買也(yě)是(shì)性價比比較高​ε (gāo)的(de)選擇。

網絡偵察與取證

TheHarvester

TheHarvester基于Kali，有(yǒ↔☆↕u)助于收集域名、電(diàn)子(zǐ)郵件(jiàn)地(dì)址、員≤♦≥(yuán)工(gōng)姓名、以及來(lái)自©¥(zì)SHODAN的(de)信息等。

Maltego

Maltego是(shì)Paterva¶βλ開(kāi)發的(de)用(yòng)于開(kāi♥$)源智能(néng)和(hé)取證的(de)專有(yǒu)軟件(jiàn★£)，可(kě)以提供一(yī)個(gè)變換庫，用(yòng)于從(cóng)<δ開(kāi)源中發現(xiàn)數(shù)據，并以圖形格式顯示該信息，适用♥™• (yòng)于鏈接分(fēn)析和(héβ✘)數(shù)據挖掘。Maltego有(yǒu)助于發♣✔現(xiàn)關于偵察目标的(de)大(dà)量數(shù)據，包括IP地≤ε←(dì)址、域名、DNS條目以及員(yuán)工(©✔₽gōng)電(diàn)子(zǐ)郵件(jiàn)地(dì)址等。φΩ×

加密類

2018 的(de)盤點中，主推的(de‍׶)是(shì)Gnupg PGP和(hé)Keepass以及→σOpenVPN這(zhè)三款加密工(gōng)具。今×'年(nián)新增Tor和(hé)Openswan。

Tor

現(xiàn)在提到(dào)Tor大(dà)家(jiā)似乎都(♥§÷dōu)會(huì)想起暗(àn)網。但(dàn)事(shì)實上(sh∏εàng)，Tor 本身(shēn)隻是(shì)個☆∞±∑(gè)加密性能(néng)比較好(hǎo)的(de)φ∞工(gōng)具，可(kě)以保護互聯網隐私。一(yī)般來(lái)說(<≈shuō)，系統将請(qǐng)求發送到(dào)代理(lǐ)web₹★服務器(qì)以保護隐私、讓用(yòng)戶難以被追蹤。盡管會(huì)有(y™"ǒu)一(yī)些(xiē)惡意出口節點∑< 嗅探流量，但(dàn)在使用(yòng)過程中仔細留意，就(jiù)不(b♥$φδù)會(huì)有(yǒu)大(dà)的(de)影(yǐng$→)響。在實際應用(yòng)中，Tor對(duì)于網絡安全 <的(de)作(zuò)用(yòng)比在暗(àn)網中發揮的(de)作(zu≤≥πò)用(yòng)更大(dà)。

Openswan

Openswan可(kě)以說(shuō)是(s'♠ ₹hì)Linux下(xià)IPsec的(de)最佳實現(xiàφ±n)方式，可(kě)以設置支持IKWv2、X.509證書(shū)、NAT遍曆$≈≠等的(de)安全VPN。Openswan支持net-to-net和(hé)&‌RoadWarrior兩種模式，前者可(kě)實現(xiàn₽β)遠(yuǎn)程子(zǐ)網 通(tōng)訊後類似局域網的(de)訪問β• ±(wèn)，後者可(kě)以實現(xiàn)客戶端用(yòδ£₩→ng)IPSec 連接到(dào)內(nèi)網後的(de)安全通(tōng₹→£✔)訊。

密碼管理(lǐ)與恢複

Cain and Abel

僅适用(yòng)于Windows的(de)密碼恢複工(gō☆≤×εng)具。可(kě)以記錄VoIP對(duì)話(≈™∞huà)，解碼加密密碼并分(fēn)析路(lù)由協議(yì)。 可(k  ě)以獲取到(dào)緩存密碼、顯示密碼框、暴力破解密碼并進±ε行(xíng)密碼分(fēn)析等。可(kě)作(z >☆uò)為(wèi)數(shù)據包嗅探的(de)入門(mén)程序。

Thycotic Secret Server

Secret Server是(shì)一(yī)種高(gāo)級密碼管理(l₹♠↓$ǐ)器(qì)工(gōng)具，适合IT團隊使用(yòng)。其設置秘密服務₹♦λ器(qì)，有(yǒu)助于IT團隊管理(lǐ)者了(le)解團隊↔ ×​成員(yuán)訪問(wèn)密碼的(de)情況λσβ•并在必要(yào)時(shí)更改密碼。當然± ，Secret Server與其他(tā)密‍α&→碼管理(lǐ)器(qì)一(yī)樣也(yě)可(kě)以生(shēng)₽™∑≠成強密碼且不(bù)需要(yào)用(yòng)∞σ γ戶強行(xíng)記憶。

此外(wài)，1 password、LastPass等也(yě)都(dōu)是(shì)大(dà)家(jiā)常用(yòng)且好©©δ (hǎo)用(yòng)的(de)密碼管理(lǐ)工(gōng)具ε 。

漏洞掃描與入侵檢測

Burp Suite、Nikto等工(gōng)具可(kě)查看(kàn‌ε)2018年(nián)盤點文(wén)章(zhāng)。新增工(gōng)具請(qǐng)看(kàn)下(xià)文(wén)。$αδ∏

Snort

Snort是(shì)一(yī)個(gè)企業(y♣₹↑γè)級的(de)開(kāi)源IDS，可(k↔$✘★ě)以與任何操作(zuò)系統和(hé)硬件(jiàn)兼容∏β。系統執行(xíng)協議(yì)分(fēn)析、內(nèi)容搜索/匹​¶©α配以及各種網絡攻擊的(de)檢測(如(rú)緩沖區(qū)溢出、隐形♣÷σ 端口掃描程序、CGI攻擊、OS指紋識别等)。其優點是(‍>≈ shì)易于配置，規則靈活，可(kě)以分(fēn)析原始γ★™數(shù)據包。

OWASP Zed Attack Proxy Project (ZAP)

開(kāi)發人(rén)員(yuán)需要(yào)測試Web應用(yλ₩òng)程序的(de)安全性時(shí)，常常使用(yòng)ZAP。ZAδ‍"P是(shì)完全開(kāi)源的(de)跨平台工(gōn≈₽π∑g)具，可(kě)以實現(xiàn)Web應用₽•(yòng)程序的(de)主動和(hé)被動掃描、發現(xiàn)抓取程序內↑♥<φ(nèi)容的(de)爬蟲，并生(shēng)成相(xi↑ àng)關報(bào)告。此外(wài)，ZAP還(hái)能(néng)添加↓ε ‌組件(jiàn)。

ModSecurity

ModSecurity堪稱We應用(yòng)程序防火(hu♠'ǒ)牆的(de)“瑞士軍刀(dāo)”，相(xiàng £)當于Web應用(yòng)程序開(kāi)發者的(de)必₩☆備工(gōng)具。ModSecurity的(≠♣∑>de)主要(yào)功能(néng)包括實時(δ∑shí)監控和(hé)訪問(wèn)控制(zhì)、HTT®<P流量日(rì)志(zhì)記錄、持續被動 γ 安全防禦和(hé)Web應用(yòng)程序加固等。

漏洞管理(lǐ)

Nessus

Nessus 堪稱漏洞評估領域的(de)行(xíng)業( φyè)标準，能(néng)幫助安全人(rén)員(yuán)快(kuài)速γ↔‌識别和(hé)修複問(wèn)題(包括軟件(jiànβ'‍÷)漏洞、缺失補丁、惡意軟件(jiàn)和(hé)錯(cuò)誤配置•™等問(wèn)題)。借助預先構建的(de)策略和(h♥↑é)模闆、群組暫停功能(néng)和(hé)實時(shí)更新等功能(☆ α®néng)，可(kě)以輕松、直觀地(dì)進行(xíng)漏洞評估。這✘✘♠ (zhè)款工(gōng)具很(hěn)活躍β©π×，最近(jìn)剛發布了(le)最新版本。™​

Balbix

Balbix能(néng)夠分(fēn)析網絡中每種易受攻擊的(de)資産情況"∑≤<，包括相(xiàng)關數(shù)據、交互的(de)>≥↕÷用(yòng)戶、是(shì)否面向公衆等，并确定資産對(duì)組織的(®<de)重要(yào)性。Balbix 還(hái)可(kě)×>φ以将每個(gè)漏洞與活動的(de)威脅源進$♣行(xíng)比較，并預測、評估未來(lái)發生(shē$✘ng)漏洞的(de)可(kě)能(néng≤≠∏♥)性以及漏洞可(kě)能(néng)對(duì)企業(y∞‌Ωè)造成的(de)損失。

無線安全

NetStumbler

主要(yào)适用(yòng)于Windows用(yòng)戶，可​Ω©(kě)以在無線網絡中找到(dào)開(kāi)放(fàng)的(≥λ↕de)接入點。NetStumbler既可(kě)φγγ以尋找WAP，又(yòu)檢測其他(tā)安全掃描工(gōng)♠"遺漏的(de)漏洞。但(dàn)需要(yào)注意的(de)是(shìσ•♥‌)這(zhè)個(gè)工(gōng)具₹♦ ∏僅僅适用(yòng)于Windows，且不(bù)提供源代碼 £Ω。

Kismet

Kismet是(shì)基于控制(zhì)台(ncurses)的(de)802÷∑☆.11第2層無線網絡檢測器(qì)、嗅探器(qì)和(hé)入侵檢測系統<™。 Kismet主要(yào)通(tōng)過被動嗅探識别網絡，還♠ ☆±(hái)可(kě)以發現(xiàn)正在使用(yòng✔‍‍∑)中的(de)隐藏(非信标)網絡。它可(>≥kě)以通(tōng)過嗅探TCP、UDP、ARP和(hé)D↔☆HCP數(shù)據包自(zì)動檢測網絡IP塊，以Wiresh✔☆₽ark / tcpdump兼容格式記錄流量，甚至可(kě)以在下(xià)載€₹★的(de)地(dì)圖上(shàng)繪制(zhì)‍★♦≠檢測到(dào)的(de)網絡和(hé)預↔® ​估範圍。

KisMAC

KisMAC适用(yòng)Mac，簡單易用(yòng)♣←，經驗不(bù)足的(de)用(yòng)戶也(yě)容€γ易上(shàng)手。KisMAC相(xiàng)當于Kisme≤‌t的(de)Mac OS X版本，但(dσ♥àn)二者代碼庫不(bù)同。利用(yòng)KisMAC工(gōng)具，可∏♥(kě)以通(tōng)過結束鑒權(deauthentication)攻擊，‍™<實現(xiàn)映射和(hé)滲透測試。

嗅探與抓包

Tcpdump

支持Mac、Windows和(hé)Linux，比Wirβ¥★eshark出現(xiàn)得(de)更早。設置了£♦φ(le)數(shù)據包嗅探領域的(de)标準，相(xiàng)當于這(z∑→©hè)個(gè)領域的(de)早期風(fēng↕×>)向标。Tcpdump持續開(kāi)發改進®™↕≤，力求簡潔，所使用(yòng)的(de)系統資源較少(shǎo)εσ∏✔，并且幾乎沒有(yǒu)安全風(fēng)險。

Wireshark

Wireshark是(shì)繼Tcpdump之後£•的(de)免費(fèi)開(kāi)源的(de)網絡數(≈÷♥¶shù)據包分(fēn)析軟件(jiàn),截₽$取網絡數(shù)據包，并盡可(kě)能(néng)顯示出γ€最為(wèi)詳細的(de)網絡數(shù)≥γ×據包數(shù)據。同時(shí)，可(kě)提供實時(shí₩↓α)網絡分(fēn)析，讓用(yòng)戶看(kàn)到(dào <)重建的(de)TCP會(huì)話(huà)流。Wireshark的($>σ de)使用(yòng)頻(pín)率較高(gāo)≥↓β♠，很(hěn)多(duō)安全從(cóng)業(yè)者對(duì)此都(d©€€ōu)不(bù)陌生(shēng)。

郵件(jiàn)安全

垃圾郵件(jiàn)、釣魚郵件(jiàn)泛濫，'¶∞←讓很(hěn)多(duō)人(rén)不(bù)堪其擾。很(hěn)多&'λ(duō)安全研究員(yuán)也(yě)專門(mén)針對(duì)這(★¶₩≥zhè)一(yī)現(xiàn)象研發了‍≥>(le)一(yī)些(xiē)工(gōng)具。

• MailWasher(掃描郵件(jiàn)、确定安全之後再下(xià)載)、
• SPAMfighter(可(kě)識别并過濾垃圾郵件(jiàn)，對(duì)家( ‌€jiā)庭用(yòng)戶100%免費(fèi))
• Spamihilator(通(tōng)過過濾器(qì)、學習(xí‍γ)算(suàn)法和(hé)概率計(jì)算(suàn)來(lái)±>↕‍确定垃圾郵件(jiàn)，并設置用(yòng)戶培訓區(qū)域，δ♠>ε以便用(yòng)戶能(néng)培訓系統$✔₹更好(hǎo)地(dì)學習(xí)應當屏蔽的(de)電(d₹¶iàn)子(zǐ)郵件(jiàn))

以上(shàng)為(wèi)網絡安全領域常用(yòng)的®€(de)一(yī)些(xiē)工(gōng)具摘錄與盤點作(zuò)±♥↕★為(wèi)上(shàng)一(yī)篇工(gōng)具盤點文(wén)章σ &(zhāng)的(de)後續與補充，在專業(yèεγ•™)網絡安全工(gōng)具網站(zhàn)✘™βSectools中，有(yǒu)更多(duō)工(gōng)具和(hé)點∑π✘評可(kě)以參考，感興趣的(de)讀(dú)者可(kě)以去 ¥♠(qù)官網查看(kàn)。