滲透測試：數(shù)十款重要工具介紹

來源：湖北國菱編輯部 時間：2018-05-19

1、掃描/滲透測試

• OpenVAS ——是一個提供多種服務和工具的框架，用戶可獲取一個強大的綜合性漏洞檢測和漏洞管理方案。

• MetasploitFramework ——是一款針對遠程目標開發(fā)和執(zhí)行入侵代碼的工具，它包括一些重要的子項目，如Opcode Database，Shellcode 文檔以及相關(guān)研究。

• KaliLinux——是一個衍生自 Debian 的 Linux 發(fā)行版，專門為數(shù)字取證和滲透測試而設計。Kali Linux 預裝了大量滲透測試程序，包括 nmap(端口掃描程序)，Wireshark(數(shù)據(jù)包分析程序)，John an Ripper(密碼破解器)以及 Aircrack-ng(用于滲透測試無線局域網(wǎng)的軟件套件)。

• pig ——是數(shù)據(jù)包制作工具。

• scapy——是基于python 的互動型數(shù)據(jù)包控制程序和庫。

• Pompem——是一款開源工具，便于搜索自動化的設計，可利用主要數(shù)據(jù)庫的漏洞。用Python語言開發(fā)，具備一個高級搜索系統(tǒng)，因此方便滲透測試員和道德黑客的做測試。其現(xiàn)行版本是在多個數(shù)據(jù)庫種執(zhí)行搜索，包括Exploit-db，1337day，PacketstormSecurity等。

• Nmap ——是一款用于網(wǎng)絡發(fā)現(xiàn)和安全審計的工具，Nmap 免費且開源。

2、監(jiān)控/日志

• justniffer——是一款網(wǎng)絡協(xié)議分析器，可以捕捉網(wǎng)絡流量并以自定義方式產(chǎn)生日志，可以模擬 Apache 網(wǎng)絡服務器日志文件，追蹤響應時長，再從 HTTP 流量中提取被破譯的文件。

• httpry——是一款專門為顯示和記錄HTTP流量而設計的數(shù)據(jù)包竊聽工具。其作用不是進行分析，而是捕捉，拆分和記錄流量，以備日后分析。可以在拆分流量的同時同步顯示流量，或者作為后臺程序，記錄輸出文件。其編寫已盡可能輕量且靈活，可以方便兼容其他應用。

• ngrep——是一個可感知pcap的工具，力求提供 GNU grep 的大部分常見功能，并將它們應用到網(wǎng)絡層，你可以用它指定擴展正則表達式或六進制表達式來匹配數(shù)據(jù)包的數(shù)據(jù)有效載荷。ngrep 目前能識別以太網(wǎng)，PPP，SLIP，F(xiàn)DDI，Token Ring和無效接口上的IPv4/6，TCP，UDP，ICMPv4/6，IGMP 和 Raw 協(xié)議，可按照常見的數(shù)據(jù)包竊聽工具(如tcpdump和snoop.ngrep)那樣去BPF 規(guī)則過濾。

• PassiveDNS——能被動收集DNS 記錄以備應對突發(fā)事件，網(wǎng)絡安全監(jiān)控(NSM)和常規(guī)電子取證。PassiveDNS 可以從接口竊取數(shù)據(jù)包或是讀取 pcap 文件然后把 DNS 服務器的回答輸出到日志文件，可以把復制的DNS回應緩沖/聚集在內(nèi)存中，無需釋放就能限制日志文件的數(shù)據(jù)量。

• Sagan——它使用一個類似 Snort 的引擎和規(guī)則分析日志(syslog/eventlog/snmptrap/netflow等)。

• NodeSecurity Platform——它和 Snyk 的功能類似，但是很多時候是免費的，其他收費功能也比較便宜。

• Ntopng——是一個網(wǎng)絡流量探測器，可顯示網(wǎng)絡使用情況，類似Unix top命令所做的操作。

• Fibratus ——是一個用于挖掘和追蹤 Windows 內(nèi)核的工具。它可以捕捉大部分的 Windows 內(nèi)核活動——進程/線程的創(chuàng)建和結(jié)束，文件系統(tǒng)I/O，注冊，網(wǎng)絡活動，DLL加載/卸載等等。Fibratus具備一個簡單的 CLI，里面內(nèi)置了一個裝置可啟動內(nèi)核事件流收集器，設置內(nèi)核事件過濾器或運行被稱為Filaments 的輕量級 Python 模塊。

3、IDS / IPS /Host IDS / Host IPS

• Snort ——1998年由 Martin Roesch 創(chuàng)建的一款免費且開源的網(wǎng)絡入侵防御系統(tǒng)(NIPS)及網(wǎng)絡入侵檢測系統(tǒng)(NIDS)。Snort 現(xiàn)在由Sourcefire 開發(fā)，而 Roesch 是公司創(chuàng)始人兼CTO。2009年，Snort 被 InforWorld 列入“開源名品堂”。

• Bro ——是一款強大的網(wǎng)絡分析框架，其與典型 IDS 有很大不同。

• OSSEC——是一個綜合型的開源 HIDS。需要花點時間才能上手。它執(zhí)行日志分析，文件完整性檢查，政策監(jiān)控，工具包檢測，實時警報和主動響應。可在大多數(shù)操作系統(tǒng)上運行，包括 Linux，MacOS，Solaris，HP-UX，AIX 和 Windows。有大量合理的文件記錄。支持中型到大型部署。

• Suricata——是一款開源高性能的網(wǎng)絡 IDS，IPS 和網(wǎng)絡安全監(jiān)控引擎，為一個社區(qū)運營的非盈利基金(開放信息安全基金)所有，該組織負責此工具的開發(fā)和技術(shù)支持。

• SecurityOnion ——是一款基于Ubuntu的Linux工具，用于入侵檢測，網(wǎng)絡安全監(jiān)控以及日志管理。它包含Snort，Suricata，Bro，OSSEC，Sguil，Squert，Snorby，ELSA，Xplico，NetworkMiner和許多其他安全工具。借助易于上手的安裝向?qū)?，可在幾分鐘?nèi)為企業(yè)創(chuàng)建大量分布式傳感器。

• sshwatch ——為 SSH 而寫的入侵防御系統(tǒng)，類似用 Python 寫的 DenyHosts。它還可以把攻擊者實施攻擊時的信息收集起來寫入日志。

• Stealth —— 作為文件完整性的檢測器，它基本可以做到無遺漏。由于控制器在另一臺機器上運行，因此攻擊者很難知道文件系統(tǒng)正通過 SSH 協(xié)議，以定義好的偽隨機間隔進行檢測，適用于中小型部署使用。

• AIEngine ——是一款下一代互動型/可編程 Python/Ruby/Java/Lua數(shù)據(jù)包檢測引擎，具備不受人為干擾的學習能力，具備網(wǎng)絡入侵檢測系統(tǒng)，DNS 域名分類，網(wǎng)絡收集器，網(wǎng)絡取證等功能。

• Denyhosts—— 基于 Thwart SSH 詞典的攻擊和暴力破解。

• Fail2Ban ——掃描日志文件，可對表現(xiàn)出惡意行為的 IP 采取行動。

• SSHGuard ——除 SSH 外，此軟件還可保護其他 C 語言編寫的服務。

• Lynis —— 為Linux/Unix 編寫的開源軟件審計工具。

4、蜜罐/蜜網(wǎng)

• HoneyPy —— 這是一款中小型交互式蜜罐?？赏ㄟ^插件部署和擴展，還能進行自定義配置。

• Dionaea —— 此工具是nepenthes 的延續(xù)者，嵌入了 python 語言，使用libemu 來檢測填充數(shù)據(jù)(shellcode)，支持IPv6 和 tls 協(xié)議。

• Conpot ——ICS/SCADA 蜜罐。Conpot 是一個小型交互式服務器端工控系統(tǒng)蜜罐，易于部署，修改和擴展。通過常見的工控協(xié)議搭建自有系統(tǒng)，可以仿效復雜的基礎設施讓攻擊者認為自己找到的是一個大型工業(yè)樞紐。

• Amun —— 基于Python 的低端交互式蜜罐。

• Glastopf ——此蜜罐可以模仿數(shù)千個漏洞，從針對 Web 應用的攻擊中收集數(shù)據(jù)。其原理很簡單：向攻擊 Web 應用的人發(fā)出正確的響應。

• Kippo —— 這是一個中型交互式 SSH 蜜罐，只在記錄暴力破解，最重要的是整個殼(shell)的交互操作都由攻擊者執(zhí)行。

• Kojoney —— 這是一款可模仿 SSH 服務器的小型交互式蜜罐。其守護進程用 Python 編寫，使用的是 Twisted Conch 庫。

• HonSSH —— 是交互程度較高的蜜罐方案。HonSSH 會在攻擊者和蜜罐之間創(chuàng)建兩個單獨的 SSH 連接。

• Bifrozt ——是一個帶DHCP 服務器的 NAT 設備，通常里面會部署一個直接聯(lián)網(wǎng)的NIC 和一個連接內(nèi)網(wǎng)的 NIC。而 Bifrozt 不同于其他標準 NAT 設備的地方是它可以在攻擊者和蜜罐之間扮演一個透明的 SSHv2 代理。

• HoneyDrive—— 這是最早的 Linux 版本蜜罐。它是一個安裝了 Xubuntu Desktop 12.04.4LTS 的虛擬裝置。它包含10個以上預裝和預配置好的蜜罐軟件包，如 Kippo SSH 蜜罐，Dionaea 和 Amum 惡意軟件蜜罐。

• CuckooSandbox —— Cuckoo沙箱是一個對可疑文件進行自動化分析的開源軟件。它會在獨立環(huán)境運行的同時，利用自定義組件監(jiān)控惡意進程的行為。

5、完整的數(shù)據(jù)包捕捉/取證

• tcpflow —— 此程序可捕捉 TCP 連接中的數(shù)據(jù)，并將數(shù)據(jù)以便于協(xié)議分析和修復的方式保存起來。

• Xplico ——其目的是從互聯(lián)網(wǎng)傳輸中提取數(shù)據(jù)并捕獲應用數(shù)據(jù)。例如，從一個 pcap 文件中，Xplico 可以提取每個郵件(POP，IMAP和SMTP協(xié)議)，所有的 HTTP 內(nèi)容，每個VoIP 通話，F(xiàn)TP，TFTP等。Xplico 部署網(wǎng)絡協(xié)議分析器。它是一個開源的網(wǎng)絡取證分析工具(NFAT)。

• Moloch ——是一款開源的大型 IPv4 抓包(PCAP)，檢索和數(shù)據(jù)庫系統(tǒng)。暴露的 API 接口可導致 PCAP 數(shù)據(jù)和JSON 格式的對話數(shù)據(jù)直接被下載。使用 HTTPS 和HTTP Digest 模式密碼支持或使用 apache 可實現(xiàn)簡單的安全部署。Moloch 并不能替代 IDS 引擎，相反它們指尖相輔相成可以一起使用，可以 PCAP 格式將保存和檢索所有網(wǎng)絡流量，提供快速訪問。Moloch可在多個系統(tǒng)上部署，可進行擴展以應對多種網(wǎng)速傳輸。

• OpenFPC —— 這套工具可提供一個輕量級的完整數(shù)據(jù)包網(wǎng)絡傳輸記錄器和緩存系統(tǒng)。其目的是允許非專業(yè)人士在 COTS 硬件上部署一個分布式網(wǎng)絡傳輸記錄器，同時還能集成原有警報和日志管理工具。

• Dshell ——是一個網(wǎng)絡取證分析框架，可快速開發(fā)插件以便對捕獲的網(wǎng)絡數(shù)據(jù)包進行剖析。

• stenographer—— 此數(shù)據(jù)包捕獲方案旨在快速地把所有數(shù)據(jù)包到放到磁盤中，然后對所有數(shù)據(jù)包的子集提供簡單快速的訪問。

6、嗅探器

• wireshark——是一款免費且開源的數(shù)據(jù)包分析器。用于網(wǎng)絡故障檢修，分析，軟件和通信協(xié)議開發(fā)以及教育。類似 tcpdump，但多了一個圖像前端，一些綜合篩選和過濾選項。

• netsniff-ng——是一款免費的 Linux 網(wǎng)絡工具包，是日常 Linux 版的網(wǎng)絡疏通利器。它依靠零復制機制保障性能，這樣一來在數(shù)據(jù)包的接收和傳輸上，內(nèi)核就無需把數(shù)據(jù)包從內(nèi)核空間復制到用戶空間，反之亦然。

• Live HTTPheaders ——是一個免費的火狐插件，可以實時查看瀏覽器請求。它會顯示所有請求的完整標頭，可用來尋找部署過程中的安全漏洞。

7、安全信息和事件管理

• Prelude ——是一個通用型安全信息和事件管理(SIEM)系統(tǒng)，它會獨立收集，規(guī)范化，篩選，匯總，關(guān)聯(lián)和報告所有與產(chǎn)品品牌安全相關(guān)的事件或?qū)е逻@類事件發(fā)生的許可證;Prelude 無客戶端。

• OSSIM —— 提供一切安全專家需要的性能，從 SIEM 產(chǎn)品到事件收集，規(guī)范化以及關(guān)聯(lián)，一應俱全。

• FIR ——是一個快速應急響應，網(wǎng)絡安全應急管理平臺。

8、VPN

OpenVPN —— 這是一個開源軟件應用，部署了虛擬專用網(wǎng)絡(VPN)，可在路由配置或橋接，以及遠程訪問設備間創(chuàng)建安全的“點對點”連接。它使用的自定義安全協(xié)議可利用SSL/TLS進行密鑰交換。

9、數(shù)據(jù)包快速處理

• DPDK —— 包含多個庫和驅(qū)動，可進行數(shù)據(jù)包的快速處理。

• PFQ —— 這是一個功能型的網(wǎng)絡框架，用于 Linux 操作系統(tǒng)，在端口(socket)/端點間提供高效的數(shù)據(jù)包捕獲/傳輸(不小于10G)，內(nèi)核功能處理和數(shù)據(jù)包引導。

• PF_RING —— 這是一種新型網(wǎng)絡端口，可顯著提升數(shù)據(jù)包捕獲的速度。

• PF_RING ZC(Zero Copy) ——是一個靈活的數(shù)據(jù)包處理框架，數(shù)據(jù)處理(RX和TX)的線路速率可達1/10 G。它部署的零復制操作包括內(nèi)部處理和內(nèi)部-VM(KVM)通信的樣本。

• PACKET_MMAP/TPACKET/AF_PACKET—— 可利用其提升 Linux 數(shù)據(jù)捕獲和傳輸?shù)男阅堋?/p>

• netmap ——是一個用于高速數(shù)據(jù)包輸入/輸出的框架，可配合 VALE 軟交換一起使用，它以獨立內(nèi)核模塊的形式部署，可用于FreeBSD，Linux 和Windows 系統(tǒng)。

10、防火墻

• pfSense ——是FreeBSD 版本的防火墻和路由。

• OPNsense ——此產(chǎn)品開源且易于操作，基于 FreeBSD 的防火墻和路由平臺，其包括昂貴的商用防火墻的大部分功能。它具備收費產(chǎn)品的豐富性能，但卻是一款開源且可靠的產(chǎn)品。

• fwknop —— 通過防火墻中單獨的數(shù)據(jù)包授權(quán)保護端口。

11、反垃圾郵件

SpamAssassin– 是一款采用多種檢測技巧，強大且受歡迎的垃圾郵件過濾器。

12、用于滲透測試的 Docker 鏡像

• docker pullkalilinux/kali-linux-docker official Kali Linux

• docker pullowasp/zap2docker-stable – official OWASP ZAP

• docker pullwpscanteam/wpscan – official WPScan

• docker pullremnux/metasploit – docker-metasploit

• docker pullcitizenstig/dvwa – Damn Vulnerable Web Application (DVWA)

• docker pullwpscanteam/vulnerablewordpress – Vulnerable WordPress Installation

• docker pullhmlio/vaas-cve-2014-6271 – Vulnerability as a service: Shellshock

• docker pullhmlio/vaas-cve-2014-0160 – Vulnerability as a service: Heartbleed

• docker pullopendns/security-ninjas – Security Ninjas

• docker pulldiogomonica/docker-bench-security – Docker Bench for Security

• docker pullismisepaul/securityshepherd – OWASP Security Shepherd

• docker pulldanmx/docker-owasp-webgoat – OWASP WebGoat Project docker image

• docker-composebuild && docker-compose up – OWASP NodeGoat

• docker pullcitizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application