我們一直在路上,隻爲更優質的(de)服務
SMART SERVICE
SMART SERVICE
TIME: 2019-01-25
雖然說都已經2019年了(le),安全從業者的(de)日常依舊(jiù)離不開各種工具的(de)輔助。在 2018 年安全工具盤點的(de)基礎上,我們今年再增加一些免費或開源工具,供讀者參考。其中有很多(duō)都經過專業人(rén)士的(de)試用(yòng)與推薦。
網絡安全監控
Argus其實是 Audit Record Generation and Utilization System(審計記錄生成與使用(yòng)系統)的(de)縮寫,能對(duì)網絡流量與數據進行高(gāo)效、深入的(de)分(fēn)析。Argus可(kě)以篩選大(dà)量流量并快(kuài)速全面的(de)生成報告。不論是單一使用(yòng)還(hái)是與其他(tā)工具共同使用(yòng),這(zhè)個(gè)工具都可(kě)以提供堅實的(de)協助。
P0f的(de)更新頻(pín)率很低,十幾年來(lái)變化(huà)不大(dà),但仍然比較歡迎。這(zhè)款工具使用(yòng)時(shí)簡單、高(gāo)效,不會産生額外的(de)流量。主要用(yòng)于标識與其交互的(de)任何主機的(de)操作系統。很多(duō)網絡安全監控工具都可(kě)以創建探測、名稱查找以及各種查詢功能。P0f則以其輕量級、高(gāo)速以及簡潔運行的(de)的(de)特征而著稱,對(duì)于高(gāo)級用(yòng)戶來(lái)說必不可(kě)少。但對(duì)于一些新手而言,可(kě)能學習(xí)起來(lái)沒那麽簡單。
Nagios可(kě)以監控主機、系統和(hé)網絡,實時(shí)發送警報。用(yòng)戶可(kě)以準确指定他(tā)們想要通(tōng)知的(de)内容。 這(zhè)個(gè)程序可(kě)以監控HTTP、NNTP、ICMP、POP3和(hé)SMTP等網絡服務。很多(duō)人(rén)将Nagios用(yòng)于流量監控,其實它也(yě)可(kě)以用(yòng)作全面、基礎的(de)網絡管理(lǐ)方案,适用(yòng)于網絡安全專業人(rén)士和(hé)小型企業。
Splunk是一款高(gāo)速、通(tōng)用(yòng)的(de)網絡監控工具,專爲實時(shí)分(fēn)析和(hé)曆史數據搜索而設計。具有統一界面,對(duì)用(yòng)戶比較友好。其強大(dà)的(de)搜索功能爲應用(yòng)程序監控提供了(le)協助。Splunk可(kě)以處理(lǐ)非結構化(huà)數據,并輕松擴展。可(kě)以配合SIEM,達到更好的(de)效果。
Splunk其實是付費應用(yòng),提供免費版本,但免費版本的(de)功能有限。如果預算(suàn)足夠的(de)話(huà),付費購(gòu)買也(yě)是性價比比較高(gāo)的(de)選擇。
網絡偵察與取證
TheHarvester基于Kali,有助于收集域名、電子郵件地址、員(yuán)工姓名、以及來(lái)自SHODAN的(de)信息等。
Maltego是Paterva開發的(de)用(yòng)于開源智能和(hé)取證的(de)專有軟件,可(kě)以提供一個(gè)變換庫,用(yòng)于從開源中發現數據,并以圖形格式顯示該信息,适用(yòng)于鏈接分(fēn)析和(hé)數據挖掘。Maltego有助于發現關于偵察目标的(de)大(dà)量數據,包括IP地址、域名、DNS條目以及員(yuán)工電子郵件地址等。
加密類
2018 的(de)盤點中,主推的(de)是Gnupg PGP和(hé)Keepass以及OpenVPN這(zhè)三款加密工具。今年新增Tor和(hé)Openswan。
現在提到Tor大(dà)家似乎都會想起暗網。但事實上,Tor 本身隻是個(gè)加密性能比較好的(de)工具,可(kě)以保護互聯網隐私。一般來(lái)說,系統将請求發送到代理(lǐ)web服務器以保護隐私、讓用(yòng)戶難以被追蹤。盡管會有一些惡意出口節點嗅探流量,但在使用(yòng)過程中仔細留意,就不會有大(dà)的(de)影(yǐng)響。在實際應用(yòng)中,Tor對(duì)于網絡安全的(de)作用(yòng)比在暗網中發揮的(de)作用(yòng)更大(dà)。
Openswan可(kě)以說是Linux下(xià)IPsec的(de)最佳實現方式,可(kě)以設置支持IKWv2、X.509證書(shū)、NAT遍曆等的(de)安全VPN。Openswan支持net-to-net和(hé)RoadWarrior兩種模式,前者可(kě)實現遠(yuǎn)程子網 通(tōng)訊後類似局域網的(de)訪問,後者可(kě)以實現客戶端用(yòng)IPSec 連接到内網後的(de)安全通(tōng)訊。
密碼管理(lǐ)與恢複
僅适用(yòng)于Windows的(de)密碼恢複工具。可(kě)以記錄VoIP對(duì)話(huà),解碼加密密碼并分(fēn)析路由協議(yì)。 可(kě)以獲取到緩存密碼、顯示密碼框、暴力破解密碼并進行密碼分(fēn)析等。可(kě)作爲數據包嗅探的(de)入門程序。
Secret Server是一種高(gāo)級密碼管理(lǐ)器工具,适合IT團隊使用(yòng)。其設置秘密服務器,有助于IT團隊管理(lǐ)者了(le)解團隊成員(yuán)訪問密碼的(de)情況并在必要時(shí)更改密碼。當然,Secret Server與其他(tā)密碼管理(lǐ)器一樣也(yě)可(kě)以生成強密碼且不需要用(yòng)戶強行記憶。
此外,1 password、LastPass等也(yě)都是大(dà)家常用(yòng)且好用(yòng)的(de)密碼管理(lǐ)工具。
漏洞掃描與入侵檢測
Burp Suite、Nikto等工具可(kě)查看2018年盤點文章(zhāng)。新增工具請看下(xià)文。
Snort是一個(gè)企業級的(de)開源IDS,可(kě)以與任何操作系統和(hé)硬件兼容。系統執行協議(yì)分(fēn)析、内容搜索/匹配以及各種網絡攻擊的(de)檢測(如緩沖區(qū)溢出、隐形端口掃描程序、CGI攻擊、OS指紋識别等)。其優點是易于配置,規則靈活,可(kě)以分(fēn)析原始數據包。
OWASP Zed Attack Proxy Project (ZAP)
開發人(rén)員(yuán)需要測試Web應用(yòng)程序的(de)安全性時(shí),常常使用(yòng)ZAP。ZAP是完全開源的(de)跨平台工具,可(kě)以實現Web應用(yòng)程序的(de)主動和(hé)被動掃描、發現抓取程序内容的(de)爬蟲,并生成相關報告。此外,ZAP還(hái)能添加組件。
ModSecurity堪稱We應用(yòng)程序防火牆的(de)“瑞士軍刀(dāo)”,相當于Web應用(yòng)程序開發者的(de)必備工具。ModSecurity的(de)主要功能包括實時(shí)監控和(hé)訪問控制、HTTP流量日志記錄、持續被動安全防禦和(hé)Web應用(yòng)程序加固等。
漏洞管理(lǐ)
Nessus 堪稱漏洞評估領域的(de)行業标準,能幫助安全人(rén)員(yuán)快(kuài)速識别和(hé)修複問題(包括軟件漏洞、缺失補丁、惡意軟件和(hé)錯誤配置等問題)。借助預先構建的(de)策略和(hé)模闆、群組暫停功能和(hé)實時(shí)更新等功能,可(kě)以輕松、直觀地進行漏洞評估。這(zhè)款工具很活躍,最近剛發布了(le)最新版本。
Balbix能夠分(fēn)析網絡中每種易受攻擊的(de)資産情況,包括相關數據、交互的(de)用(yòng)戶、是否面向公衆等,并确定資産對(duì)組織的(de)重要性。Balbix 還(hái)可(kě)以将每個(gè)漏洞與活動的(de)威脅源進行比較,并預測、評估未來(lái)發生漏洞的(de)可(kě)能性以及漏洞可(kě)能對(duì)企業造成的(de)損失。
無線安全
主要适用(yòng)于Windows用(yòng)戶,可(kě)以在無線網絡中找到開放的(de)接入點。NetStumbler既可(kě)以尋找WAP,又檢測其他(tā)安全掃描工遺漏的(de)漏洞。但需要注意的(de)是這(zhè)個(gè)工具僅僅适用(yòng)于Windows,且不提供源代碼。
Kismet是基于控制台(ncurses)的(de)802.11第2層無線網絡檢測器、嗅探器和(hé)入侵檢測系統。 Kismet主要通(tōng)過被動嗅探識别網絡,還(hái)可(kě)以發現正在使用(yòng)中的(de)隐藏(非信标)網絡。它可(kě)以通(tōng)過嗅探TCP、UDP、ARP和(hé)DHCP數據包自動檢測網絡IP塊,以Wireshark / tcpdump兼容格式記錄流量,甚至可(kě)以在下(xià)載的(de)地圖上繪制檢測到的(de)網絡和(hé)預估範圍。
KisMAC适用(yòng)Mac,簡單易用(yòng),經驗不足的(de)用(yòng)戶也(yě)容易上手。KisMAC相當于Kismet的(de)Mac OS X版本,但二者代碼庫不同。利用(yòng)KisMAC工具,可(kě)以通(tōng)過結束鑒權(deauthentication)攻擊,實現映射和(hé)滲透測試。
嗅探與抓包
支持Mac、Windows和(hé)Linux,比Wireshark出現得(de)更早。設置了(le)數據包嗅探領域的(de)标準,相當于這(zhè)個(gè)領域的(de)早期風向标。Tcpdump持續開發改進,力求簡潔,所使用(yòng)的(de)系統資源較少,并且幾乎沒有安全風險。
Wireshark是繼Tcpdump之後的(de)免費開源的(de)網絡數據包分(fēn)析軟件,截取網絡數據包,并盡可(kě)能顯示出最爲詳細的(de)網絡數據包數據。同時(shí),可(kě)提供實時(shí)網絡分(fēn)析,讓用(yòng)戶看到重建的(de)TCP會話(huà)流。Wireshark的(de)使用(yòng)頻(pín)率較高(gāo),很多(duō)安全從業者對(duì)此都不陌生。
郵件安全
垃圾郵件、釣魚郵件泛濫,讓很多(duō)人(rén)不堪其擾。很多(duō)安全研究員(yuán)也(yě)專門針對(duì)這(zhè)一現象研發了(le)一些工具。
以上爲網絡安全領域常用(yòng)的(de)一些工具摘錄與盤點作爲上一篇工具盤點文章(zhāng)的(de)後續與補充,在專業網絡安全工具網站Sectools中,有更多(duō)工具和(hé)點評可(kě)以參考,感興趣的(de)讀者可(kě)以去官網查看。