安全行業(yè)更經(jīng)常使用滲透測試的網(wǎng)絡(luò)安全工具來測試網(wǎng)絡(luò)和應(yīng)用程序中的漏洞。

在這里您可以看到一個全面的網(wǎng)絡(luò)安全工具列表，其中涵蓋了在所有環(huán)境中執(zhí)行滲透測試的操作。

掃描/滲透測試

OpenVAS：一個由多個服務(wù)和工具組成的框架，提供了全面而強(qiáng)大的漏洞掃描和漏洞管理解決方案功能。

Metasploit Framework：優(yōu)秀的網(wǎng)絡(luò)安全工具之一，用于針對遠(yuǎn)程目標(biāo)計算機(jī)開發(fā)和執(zhí)行漏洞利用代碼。其他重要的子項(xiàng)目包括opcode，數(shù)據(jù)庫，shellcode存檔和相關(guān)研究。

Kali：Kali Linux是Debian衍生的Linux發(fā)行版，專為數(shù)字取證和滲透測試而設(shè)計。Kali Linux預(yù)先安裝了許多滲透測試程序，包括nmap(端口掃描程序)，Wireshark(數(shù)據(jù)包分析器)，John the Ripper(密碼破解程序)和Aircrack-ng(用于滲透測試無線局域網(wǎng)的軟件套件)。

pig： 一個Linux數(shù)據(jù)包制作工具。

Scapy：一款強(qiáng)大的交互式數(shù)據(jù)包處理工具、數(shù)據(jù)包生成器、網(wǎng)絡(luò)掃描器、網(wǎng)絡(luò)發(fā)現(xiàn)工具和包嗅探工具。它提供多種類別的交互式生成數(shù)據(jù)包或數(shù)據(jù)包集合、對 數(shù)據(jù)包進(jìn)行操作、發(fā)送數(shù)據(jù)包、包嗅探、應(yīng)答和反饋匹配等等功能。

Pompem：一個開源的網(wǎng)絡(luò)安全工具，旨在自動搜索主要數(shù)據(jù)庫中的漏洞。在Python中開發(fā)，有一個高級搜索系統(tǒng)，從而幫助滲透測試人員和白帽子的工作。在當(dāng)前版本中，在數(shù)據(jù)庫中執(zhí)行搜索：Exploit-db，1337day，Packetstorm Security…

Nmap：一個用于網(wǎng)絡(luò)開發(fā)和安全審計的免費(fèi)開源實(shí)用程序。

監(jiān)控/記錄

justniffer：是一種網(wǎng)絡(luò)協(xié)議分析工具，可以捕獲網(wǎng)絡(luò)流量并以自定義方式生成日志，可以模擬Apache Web服務(wù)器日志文件，跟蹤響應(yīng)時間并從HTTP流量中提取所有“被攔截”的文件。

httpry：是一種專用的數(shù)據(jù)包嗅探工具，用于捕獲HTTP數(shù)據(jù)包，并將HTTP協(xié)議層的數(shù)據(jù)內(nèi)容以可讀形式列舉出來。它的目的不是執(zhí)行分析，而是捕獲、解析和記錄流量，以便以后進(jìn)行分析。它可以實(shí)時運(yùn)行，顯示解析后的流量，也可以作為記錄到輸出文件的守護(hù)進(jìn)程運(yùn)行。

ngrep：是一個功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包分析工具，它是一種應(yīng)用于網(wǎng)絡(luò)層的類似grep的工具，它匹配通過網(wǎng)絡(luò)接口傳遞的流量。ngrep是一個pcap感知工具，可讓您指定擴(kuò)展的正則表達(dá)式或十六進(jìn)制表達(dá)式，以便與數(shù)據(jù)包的數(shù)據(jù)有效載荷匹配。它目前可識別以太網(wǎng)，PPP，SLIP，F(xiàn)DDI，令牌環(huán)、IPv4 / 6，TCP，UDP，ICMPv4 / 6，IGMP和Raw，并以常見的數(shù)據(jù)包嗅探工具(如tcpdump和snoop)相同的方式理解BPF過濾器邏輯。

Passivedns：比較好的網(wǎng)絡(luò)安全工具之一，可以被動地收集DNS記錄，以協(xié)助事件處理，網(wǎng)絡(luò)安全監(jiān)視(NSM)和常規(guī)數(shù)字取證。PassiveDNS會從接口嗅探流量或讀取pcap文件，然后將DNS服務(wù)器響應(yīng)輸出到日志文件。PassiveDNS可以在內(nèi)存中緩存/聚合重復(fù)的DNS應(yīng)答，從而限制日志文件中的數(shù)據(jù)量，而不會丟失DNS響應(yīng)中的信息。

sagan：是一個多線程、實(shí)時系統(tǒng)和事件日志監(jiān)視軟件。Sagan使用了類似于Snort的規(guī)則集檢測網(wǎng)絡(luò)或系統(tǒng)中的危險事件。

Node Security Platform：與Snyk功能相似，但在大多數(shù)情況下是免費(fèi)的，而對于臨時使用的用戶來說非常劃算。

ntopng：是一個網(wǎng)絡(luò)流量探測工具，是原ntop的下一代版本，ntop是基于Libpcap和它被寫在一個可移植的方式來運(yùn)行在UNIX平臺上，MacOSX和Win32一樣。

Fibratus：是Windows內(nèi)核漏洞跟蹤和測試工具。它能夠捕獲大部分Windows內(nèi)核活動-進(jìn)程/線程創(chuàng)建和終止，文件系統(tǒng)I / O，注冊表，網(wǎng)絡(luò)活動，DLL加載/卸載等等。Fibratus有一個非常簡單的CLI，它封裝了用于啟動內(nèi)核流式事件處理收集器，設(shè)置內(nèi)核事件過濾器或運(yùn)行輕量級Python模塊filters的工具。

IDS / IPS /主機(jī)IDS /主機(jī)IPS

Snort：是Martin Roesch于1998年創(chuàng)建的免費(fèi)開放源代碼網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)和網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)。Snort現(xiàn)在由Sourcefire開發(fā)，而Roesch是Sourcefire的創(chuàng)始人兼CTO。2009年，Snort作為“有史以來最偉大的開源軟件之一”進(jìn)入InfoWorld的開源榜單。

Bro：是一個功能強(qiáng)大的網(wǎng)絡(luò)分析工具，與您可能知道的典型IDS有很大不同。

OSSEC：是一款開源的入侵檢測系統(tǒng)。使用前需要花點(diǎn)時間了解它的工作原理。執(zhí)行日志分析，文件完整性檢查，策略監(jiān)視，rootkit檢測，實(shí)時警報和主動響應(yīng)。它可以在大多數(shù)操作系統(tǒng)上運(yùn)行，包括Linux，MacOS，Solaris，HP-UX，AIX和Windows。

Suricata：是高性能的網(wǎng)絡(luò)IDS，IPS和網(wǎng)絡(luò)安全監(jiān)視引擎。Suricata項(xiàng)目和代碼由開放信息安全基金會(OISF)擁有和支持，OISF是一個非盈利基金會，致力于確保Suricata作為一個開源項(xiàng)目的開發(fā)和持續(xù)成功。

Security Onion：是入侵檢測系統(tǒng)，網(wǎng)絡(luò)安全監(jiān)視和日志管理的Linux發(fā)行版。它基于Ubuntu，包含Snort，Suricata，Bro，OSSEC，Sguil，Squit，Snorby，ELSA，Xplico，NetworkMiner和許多其他安全工具。鏡像可以作為傳感器分布在網(wǎng)絡(luò)中，以監(jiān)控多個VLAN和子網(wǎng)。

sshwatch – SSH的IPS類似于用Python編寫的DenyHosts。它還可以在日志中收集攻擊期間攻擊者的信息。

Stealth：文件完整性檢查程序?？刂破鲝牧硪慌_計算機(jī)上運(yùn)行，這使攻擊者很難知道正在通過SSH以定義的偽隨機(jī)間隔檢查文件系統(tǒng)。強(qiáng)烈建議用于中小型部署。

AIEngine：下一代交互式/可編程Python / Ruby / Java / Lua和Go網(wǎng)絡(luò)入侵檢測系統(tǒng)引擎，具有學(xué)習(xí)功能，無需人工干預(yù)，DNS域分類，垃圾郵件檢測，網(wǎng)絡(luò)收集器，網(wǎng)絡(luò)取證等等。

Denyhosts：DenyHosts是Python語言寫的一個程序，它會分析sshd的日志文件(/var/log/Secure)，當(dāng)發(fā)現(xiàn)重 復(fù)的攻擊時就會記錄IP到/etc/hosts.deny文件，從而達(dá)到自動屏IP的功能。

Fail2Ban：掃描系統(tǒng)日志文件并對顯示惡意行為的IP采取措施。

SSHGuard：用C語言編寫的用于保護(hù)除SSH之外的服務(wù)的軟件

Lynis：是一個為系統(tǒng)管理員提供的 Linux和Unix的審計工具 。

蜜罐

HoneyPy ：是一種中低互動的蜜罐。它易于實(shí)現(xiàn)：部署，使用插件擴(kuò)展功能以及應(yīng)用自定義配置。

Dionaea：是nepenthes的繼承者，將python作為腳本語言嵌入，使用libemu檢測shellcode，支持ipv6和tls。

Conpot：是一個部署在服務(wù)端的低交互ICS蜜罐，易于部署、修改和擴(kuò)展。開發(fā)者通過提供一系列的通用工控協(xié)議，使得我們能夠非?？焖俚卦谖覀兊南到y(tǒng)上構(gòu)建一套復(fù)雜的工控基礎(chǔ)設(shè)施用于欺騙未知的攻擊者。

Amun：基于Amun Python的低交互蜜罐。

Glastopf：是一個Web應(yīng)用漏洞蜜罐軟件，以從針對Web應(yīng)用程序的攻擊中收集數(shù)據(jù)。它可以對例如，結(jié)構(gòu)化查詢語言注入(SQLI)，遠(yuǎn)程代碼執(zhí)行(RCE)，本地文件包含(LFI )，遠(yuǎn)程文件包含(RFI)等攻擊行為進(jìn)行記錄。

Kippo：是一種中等交互性SSH蜜罐，旨在記錄暴力攻擊，最重要的是，記錄攻擊者執(zhí)行的整個shell交互。

Kojoney：是一個模擬SSH服務(wù)器的低交互蜜罐。守護(hù)進(jìn)程是用Python編寫的，使用Twisted Conch庫。

HonSSH：是一種高交互的蜜罐解決方案。HonSSH將位于攻擊者和蜜罐之間，從而可以創(chuàng)建兩個獨(dú)立的SSH鏈接

Bifrozt：是一個帶有DHCP服務(wù)器的NAT設(shè)備，通常部署一個NIC直接連接到Internet，一個NIC連接到內(nèi)部網(wǎng)絡(luò)。Bifrozt與其他標(biāo)準(zhǔn)NAT設(shè)備的區(qū)別在于它能夠在攻擊者和蜜罐之間作為透明的SSHv2代理工作。

HoneyDrive：是一款Linux蜜罐系統(tǒng)。它是以虛擬設(shè)備(OVA)的方式安裝在Xubuntu 12.04.4版本上面。它包含10多個預(yù)安裝和預(yù)配置的蜜罐軟件，例如Kippo SSH honeypot，Dionaea、Amun malware honeypots，Honeyd low-interaction honeypot，Glastopf web honeypot，Wordpot，Conpot SCADA/ICS honeypot，Thug，PhoneyC honeyclients等。

Cuckoo Sandbox：是一個開源軟件，用于自動分析可疑文件。 為此，它使用自定義組件來監(jiān)視惡意進(jìn)程在隔離環(huán)境中運(yùn)行時的行為。

抓包工具

tcpflow：是一個免費(fèi)的，開源的，功能強(qiáng)大的基于命令行的工具，它捕獲作為TCP連接(流)的一部分傳輸?shù)臄?shù)據(jù)，并以便于協(xié)議分析和調(diào)試的方式存儲數(shù)據(jù)。

Xplico：是一個從 pcap 文件中解析出IP流量數(shù)據(jù)的工具。可解析每個郵箱 (POP, IMAP, 和 SMTP 協(xié)議)，所有 HTTP 內(nèi)容，VoIP calls (SIP) 等等。Xplico并不是網(wǎng)絡(luò)協(xié)議分析器。Xplico是一個開源的網(wǎng)絡(luò)取證分析工具(NFAT)。

Moloch：是一個開源的大規(guī)模IPv4數(shù)據(jù)包捕獲(PCAP)，索引和數(shù)據(jù)庫系統(tǒng)。為PCAP瀏覽、搜索和導(dǎo)出提供了一個簡單的web界面。公開了允許直接下載PCAP數(shù)據(jù)和JSON格式會話數(shù)據(jù)的api。簡單的安全性是通過使用HTTPS和HTTP摘要密碼支持來實(shí)現(xiàn)的，或者是通過在前面使用apache來實(shí)現(xiàn)的。Moloch并不打算取代IDS引擎，而是與它們一起工作，以標(biāo)準(zhǔn)PCAP格式存儲和索引所有網(wǎng)絡(luò)流量，提供快速訪問。Moloch被構(gòu)建成可以跨多個系統(tǒng)部署，并且可以擴(kuò)展到處理多個千兆位/秒的流量。

OpenFPC：是一組工具，它們結(jié)合在一起提供一個輕量級的全包網(wǎng)絡(luò)流量記錄器和緩沖系統(tǒng)。它的設(shè)計目標(biāo)是允許非專業(yè)用戶在COTS硬件上部署分布式網(wǎng)絡(luò)流量記錄器，同時集成到現(xiàn)有的警報和日志管理工具中。

Dshell：是一個網(wǎng)絡(luò)取證分析框架。支持插件的快速開發(fā)，以支持對網(wǎng)絡(luò)數(shù)據(jù)包捕獲的分析。

stenographer：是一個全包捕獲實(shí)用程序，用于將數(shù)據(jù)包緩沖到磁盤，以便進(jìn)行入侵檢測和事件響應(yīng)。

嗅探工具

wirehark：是一個免費(fèi)的開源數(shù)據(jù)包分析器。它用于網(wǎng)絡(luò)故障排除，分析，軟件和通信協(xié)議開發(fā)以及培訓(xùn)。Wireshark與tcpdump非常相似，但是具有圖形化的前端，以及一些排序和過濾功能。

netsniff-ng：是一個免費(fèi)的Linux網(wǎng)絡(luò)工具包，如果你愿意的話，它是你日常Linux網(wǎng)絡(luò)管道的瑞士軍刀。通過零復(fù)制機(jī)制實(shí)現(xiàn)其性能提升，因此在數(shù)據(jù)包接收和傳輸時，內(nèi)核不需要將數(shù)據(jù)包從內(nèi)核空間復(fù)制到用戶空間，反之亦然。

Live HTTP headers：是一個免費(fèi)的firefox插件，可實(shí)時檢測您的瀏覽器請求。它顯示了請求的整個頭部，并可用于查找實(shí)現(xiàn)中的安全漏洞。

SIEM工具

Prelude：是一個通用的“安全信息和事件管理”(SIEM)系統(tǒng)。Prelude收集、規(guī)范、分類、聚合、關(guān)聯(lián)和報告所有與安全相關(guān)的事件，而不依賴于導(dǎo)致此類事件的產(chǎn)品品牌或許可證;Prelude是“無代理”。

OSSIM：是一個非常流行和完整的開源安全架構(gòu)體系。OSSIM通過將開源產(chǎn)品進(jìn)行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。 它的目的是提供一種集中式、有組織的、能夠更好地進(jìn)行監(jiān)測和顯示的框架式系統(tǒng)。

FIR：快速事件響應(yīng)，一種網(wǎng)絡(luò)安全事件管理平臺。

快速數(shù)據(jù)包處理

DPDK：是一組用于快速數(shù)據(jù)包處理的庫和驅(qū)動程序。

PFQ：是一款針對Linux操作系統(tǒng)的功能性框架，可幫助研究人員捕捉網(wǎng)絡(luò)傳輸數(shù)據(jù)包(10G、40G及以上)，內(nèi)核功能處理，內(nèi)核繞過，以及獲取多節(jié)點(diǎn)間的套接字/數(shù)據(jù)包。

PF_RING：是一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度。

PF_RING ZC：是一個靈活的數(shù)據(jù)包處理框架，它允許您在任何數(shù)據(jù)包大小下實(shí)現(xiàn)1/10 Gbit線速數(shù)據(jù)包處理(RX和TX)。它實(shí)現(xiàn)了零復(fù)制操作，包括用于進(jìn)程間和VM間(KVM)通信的模式。

PACKET_MMAP / TPACKET / AF_PACKET：在Linux中使用PACKET-MMAP可以提高捕獲和傳輸過程的性能。

Netmap：高性能網(wǎng)絡(luò)I/O框架。連同其配套的VALE軟件開關(guān)，它被實(shí)現(xiàn)為單個內(nèi)核模塊，并且可用于FreeBSD，Linux以及現(xiàn)在的Windows。

防火墻

pfSense：是一個基于FreeBSD，專為防火墻和路由器功能定制的開源版本。它被安裝在計算機(jī)上作為網(wǎng)絡(luò)中的防火墻和路由器存在，并以可靠性著稱，且提供往往只存在于昂貴商業(yè)防火墻才具有的特性。它可以通過WEB頁面進(jìn)行配置，升級和管理而不需要使用者具備FreeBSD底層知識。pfSense通常被部署作為邊界防火墻，路由器，無線接入點(diǎn)，DHCP服務(wù)器，DNS服務(wù)器和VPN端點(diǎn)。

OPNsense：是一個開源易用，而且易于構(gòu)建的基于 FreeBSD 的防火墻和路由平臺。包括大多數(shù)商業(yè)防火墻的特性。提供功能完整卻易用的 GUI 管理界面。

fwknop：通過防火墻中的單數(shù)據(jù)包授權(quán)保護(hù)端口。

反垃圾郵件

SpamAssassin：一種強(qiáng)大且流行的電子郵件垃圾郵件過濾器，采用了多種檢測技術(shù)。這款反垃圾工具是許多商業(yè)產(chǎn)品背后的"秘密武器(secret sauce)",同時,很多的電子郵件服務(wù)商和垃圾過濾(工具)提供商都在使用它。