9012年,你會選哪些安全測試工具?
雖然說都已經 9012 年了,安全從業者的日常依舊離不開各種工具的輔助。在 2018 年安全工具盤點的基礎上 ,我們今年再增加一些免費或開源工具,供讀者參考。其中有很多都經過專業人士的試用與推薦。
網路安全監控
Argus其實是 Audit Record Generation and Utilization System(審計記錄生成與使用系統)的縮寫,能對網路流量與資料進行高效、深入的分析。Argus可以篩選大量流量並快速全面的生成報告。不論是單一使用還是與其他工具共同使用,這個工具都可以提供堅實的協助。
P0f的更新頻率很低,十幾年來變化不大,但仍然比較歡迎。這款工具使用時簡單、高效,不會產生額外的流量。主要用於標識與其互動的任何主機的作業系統。很多網路安全監控工具都可以建立探測、名稱查詢以及各種查詢功能。P0f則以其輕量級、高速以及簡潔執行的的特徵而著稱,對於高階使用者來說必不可少。但對於一些新手而言,可能學習起來沒那麼簡單。
Nagios可以監控主機、系統和網路,實時傳送警報。使用者可以準確指定他們想要通知的內容。 這個程式可以監控HTTP、NNTP、ICMP、POP3和SMTP等網路服務。很多人將Nagios用於流量監控,其實它也可以用作全面、基礎的網路管理方案,適用於網路安全專業人士和小型企業。
Splunk是一款高速、通用的網路監控工具,專為實時分析和歷史資料搜尋而設計。具有統一介面,對使用者比較友好。其強大的搜尋功能為應用程式監控提供了協助。Splunk可以處理非結構化資料,並輕鬆擴充套件。可以配合SIEM,達到更好的效果。
Splunk其實是付費應用,提供免費版本,但免費版本的功能有限。如果預算足夠的話,付費購買也是價效比比較高的選擇。
網路偵察與取證
TheHarvester基於Kali,有助於收集域名、電子郵件地址、員工姓名、以及來自SHODAN的資訊等。
Maltego是Paterva開發的用於開源智慧和取證的專有軟體,可以提供一個變換庫,用於從開源中發現數據,並以圖形格式顯示該資訊,適用於連結分析和資料探勘。Maltego有助於發現關於偵察目標的大量資料,包括IP地址、域名、DNS條目以及員工電子郵件地址等。
加密類
2018 的盤點中,主推的是Gnupg PGP和Keepass以及OpenVPN這三款加密工具。今年新增Tor和Openswan。
現在提到Tor大家似乎都會想起暗網。但事實上,Tor 本身只是個加密效能比較好的工具,可以保護網際網路隱私。一般來說,系統將請求傳送到代理web伺服器以保護隱私、讓使用者難以被追蹤。儘管會有一些惡意出口節點嗅探流量,但在使用過程中仔細留意,就不會有大的影響。在實際應用中,Tor對於網路安全的作用比在暗網中發揮的作用更大。
Openswan可以說是Linux下IPsec的最佳實現方式,可以設定支援IKWv2、X.509證書、NAT遍歷等的安全VPN。Openswan支援net-to-net和RoadWarrior兩種模式,前者可實現遠端子網 通訊後類似區域網的訪問,後者可以實現客戶端用IPSec 連線到內網後的安全通訊。
密碼管理與恢復
僅適用於Windows的密碼恢復工具。可以記錄VoIP對話,解碼加密密碼並分析路由協議。 可以獲取到快取密碼、顯示密碼框、暴力破解密碼並進行密碼分析等。可作為資料包嗅探的入門程式。
Secret Server是一種高階密碼管理器工具,適合IT團隊使用。其設定祕密伺服器,有助於IT團隊管理者瞭解團隊成員訪問密碼的情況並在必要時更改密碼。當然,Secret Server與其他密碼管理器一樣也可以生成強密碼且不需要使用者強行記憶。
此外, 1 password 、 LastPass 等也都是大家常用且好用的密碼管理工具。
漏洞掃描與入侵檢測
Burp Suite、Nikto等工具可檢視2018年盤點文章。新增工具請看下文。
Snort是一個企業級的開源IDS,可以與任何作業系統和硬體相容。系統執行協議分析、內容搜尋/匹配以及各種網路攻擊的檢測(如緩衝區溢位、隱形埠掃描程式、CGI攻擊、OS指紋識別等)。其優點是易於配置,規則靈活,可以分析原始資料包。
OWASP Zed Attack Proxy Project (ZAP)
開發人員需要測試Web應用程式的安全性時,常常使用ZAP。ZAP是完全開源的跨平臺工具,可以實現Web應用程式的主動和被動掃描、發現抓取程式內容的爬蟲,並生成相關報告。此外,ZAP還能新增元件。
ModSecurity堪稱We應用程式防火牆的“瑞士軍刀”,相當於Web應用程式開發者的必備工具。ModSecurity的主要功能包括實時監控和訪問控制、HTTP流量日誌記錄、持續被動安全防禦和Web應用程式加固等。
漏洞管理
Nessus 堪稱漏洞評估領域的行業標準,能幫助安全人員快速識別和修復問題(包括軟體漏洞、缺失補丁、惡意軟體和錯誤配置等問題)。藉助預先構建的策略和模板、群組暫停功能和實時更新等功能,可以輕鬆、直觀地進行漏洞評估。這款工具很活躍,最近剛釋出了最新版本。
Balbix能夠分析網路中每種易受攻擊的資產情況,包括相關資料、互動的使用者、是否面向公眾等,並確定資產對組織的重要性。Balbix 還可以將每個漏洞與活動的威脅源進行比較,並預測、評估未來發生漏洞的可能性以及漏洞可能對企業造成的損失。
無線安全
主要適用於Windows使用者,可以在無線網路中找到開放的接入點。NetStumbler既可以尋找WAP,又檢測其他安全掃描工遺漏的漏洞。但需要注意的是這個工具僅僅適用於Windows,且不提供原始碼。
Kismet是基於控制檯(ncurses)的802.11第2層無線網路檢測器、嗅探器和入侵檢測系統。 Kismet主要通過被動嗅探識別網路,還可以發現正在使用中的隱藏(非信標)網路。它可以通過嗅探TCP、UDP、ARP和DHCP資料包自動檢測網路IP塊,以Wireshark / tcpdump相容格式記錄流量,甚至可以在下載的地圖上繪製檢測到的網路和預估範圍。
KisMAC適用Mac,簡單易用,經驗不足的使用者也容易上手。KisMAC相當於Kismet的Mac OS X版本,但二者程式碼庫不同。利用KisMAC工具,可以通過結束鑑權(deauthentication)攻擊,實現對映和滲透測試。
嗅探與抓包
支援Mac、Windows和Linux,比Wireshark出現得更早。設定了資料包嗅探領域的標準,相當於這個領域的早期風向標。Tcpdump持續開發改進,力求簡潔,所使用的系統資源較少,並且幾乎沒有安全風險。
Wireshark是繼Tcpdump之後的免費開源的網路資料包分析軟體,擷取網路資料包,並儘可能顯示出最為詳細的網路資料包資料。同時,可提供實時網路分析,讓使用者看到重建的TCP會話流。 Wireshark的使用頻率較高, 很多安全從業者對此都不陌生。
郵件安全
垃圾郵件、釣魚郵件氾濫,讓很多人不堪其擾。很多安全研究員也專門針對這一現象研發了一些工具。
MailWasher (掃描郵件、確定安全之後再下載)、
SPAMfighter (可識別並過濾垃圾郵件,對家庭使用者100%免費)
Spamihilator (通過過濾器、學習演算法和概率計算來確定垃圾郵件,並設定使用者培訓區域,以便使用者能培訓系統更好地學習應當遮蔽的電子郵件)
以上為網路安全領域常用的一些工具摘錄與盤點作為上一篇工具盤點文章的後續與補充,在專業網路安全工具網站 Sectools 中,有更多工具和點評可以參考,感興趣的讀者可以去官網檢視。
*參考來源: CyberX 、 Phoenix NAP 等,轉載請註明來自 FreeBuf.COM