幫助我們審核網(wǎng)絡(luò)安全的十個(gè)工具

lhc0088

一、Nessus：這是一款UNIX平臺(tái)的漏洞評(píng)估工具，可以說它是最好的、免費(fèi)的網(wǎng)絡(luò)漏洞掃描程序。其更新速度很快，有超過11000個(gè)插件。其關(guān)鍵特性包括安全和本地的安全檢查，擁有GTK圖形接口的客戶端/服務(wù)器體系結(jié)構(gòu)，還有一個(gè)嵌入式腳本語(yǔ)言（可以編寫我們自己的插件或理解現(xiàn)有的插件）。Nessus 3現(xiàn)在是閉源軟件，不過仍是免費(fèi)的，除非你需要最新的插件。  

二、Wireshark：這是一款奇特的開源網(wǎng)絡(luò)協(xié)議分析程序，它支持Unix和Windows兩種平臺(tái)。以前它也被稱為Ethereal，后因商標(biāo)問題的爭(zhēng)端而改名。它允許用戶從一個(gè)活動(dòng)的網(wǎng)絡(luò)或磁盤上的捕獲文件來檢查數(shù)據(jù)。用戶可以交互地瀏覽捕獲的數(shù)據(jù)，深入地探究你需要理解的數(shù)據(jù)包的祥細(xì)信息。此軟件擁有幾大特性，包括豐富的顯示過濾程序語(yǔ)言和查看一次TCP會(huì)話的結(jié)構(gòu)化數(shù)據(jù)流的能力。它還支持大量的協(xié)議和媒體類型，包括一個(gè)類似于tcpdump的控制臺(tái)版本，稱為tethereal。不過需要注意的是，它飽受大量的遠(yuǎn)程安全漏洞之苦，因此一定要保持及時(shí)更新，并提防在不信任或敵對(duì)的網(wǎng)絡(luò)上運(yùn)行之。  

三、Snort：這是一個(gè)很多人都十分喜愛的開源性質(zhì)的入侵檢測(cè)系統(tǒng)。這個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)和預(yù)防系統(tǒng)對(duì)IP網(wǎng)絡(luò)中的通信分析和數(shù)據(jù)包的日志記載都表現(xiàn)出色。通過協(xié)議分析、內(nèi)容搜索以及各種各樣的預(yù)處理程序，Snort可以檢測(cè)成千上萬的蠕蟲、漏洞利用企圖、端口掃描和其它的許多可疑行為。它使用一種十分靈活的基于規(guī)則的語(yǔ)言來描述通信。此外，它還檢查免費(fèi)的基本分析和安全引擎，即一個(gè)分析Snort警告的Web界面。  

開源的Snort對(duì)于許多個(gè)人、小型企業(yè)和部門布景言，運(yùn)行起來很出色。SourceFire公司免費(fèi)提供了一個(gè)產(chǎn)品線，可以使企業(yè)級(jí)的特性和實(shí)時(shí)的規(guī)則實(shí)現(xiàn)更新。當(dāng)然，用戶還可以在Bleeding Edge Snort找到許多功能強(qiáng)大的免費(fèi)規(guī)則。  

四、Netcat：這款被為網(wǎng)絡(luò)上的瑞士軍刀的實(shí)用程序能夠在TCP或UDP網(wǎng)絡(luò)連接上讀寫數(shù)據(jù)。它被設(shè)計(jì)為一種可靠的后端工具，能夠直接地、簡(jiǎn)單地被其它程序和腳本驅(qū)動(dòng)。同時(shí)，它還是一款網(wǎng)絡(luò)調(diào)試和探測(cè)工具，因?yàn)樗軌騽?chuàng)建你需要的幾乎任何類型的連接，包括端口綁定以便于接收進(jìn)入的連接。最早的Netcat由Hobbit在1995年發(fā)布，雖然非常流行，卻沒有得到真正的維護(hù)。有時(shí)甚至很難找到nc110.tgz。不過，這款工具的靈活性和實(shí)用性促使人們開發(fā)了大量的Netcat實(shí)現(xiàn)代碼，許多現(xiàn)代化的特性在原始的版本中并不存在。最為有趣的一個(gè)實(shí)現(xiàn)程序是Socat，它對(duì)Netcat進(jìn)行了擴(kuò)展，以支持許多其它的套接字類型，SSL加密，SOCKS代理等等。還有Chris Gibson’s Ncat，它提供了更多的特性，同時(shí)又保持靈活性和簡(jiǎn)潔性。現(xiàn)在有許多支持Netcat的軟件，如OpenBSD’s nc, Cryptcat, Netcat6, PNetcat, SBD, 和所謂的 GNU Netcat 等。  

五、Hping2：這個(gè)小巧實(shí)用的應(yīng)用程序能夠組裝并發(fā)送定制的ICMP、UDP、TCP的數(shù)據(jù)包，并可以顯示任何的應(yīng)答。它的開發(fā)產(chǎn)生于ping命令，不過卻提供了對(duì)發(fā)出去的探測(cè)信息的更多控制。它還擁有一個(gè)方便的路由跟蹤模式，并支持IP數(shù)據(jù)包的分塊。在試圖跟蹤/ping/探測(cè)防火墻背后的主機(jī)時(shí)，這個(gè)工具就相當(dāng)有用，因?yàn)榉阑饓δ軌蜃柚蛊渌鼧?biāo)準(zhǔn)的應(yīng)用程序的連接請(qǐng)求，對(duì)此工具則不然。這通常允許我們形成防火墻的規(guī)則集。如果你要學(xué)習(xí)更多的TCP/IP以及用IP協(xié)議做試驗(yàn)，Hping2也是不錯(cuò)的選擇。  

六、Kismet：這是一款非常強(qiáng)大的無線網(wǎng)絡(luò)嗅探工具。Kimset是一個(gè)基于802.11第二層的無線網(wǎng)絡(luò)檢測(cè)程序、嗅探器和入侵檢測(cè)系統(tǒng)。它可以通過被動(dòng)地嗅探（這與主動(dòng)的嗅探工具如NetStumbler正相反），甚至可以發(fā)現(xiàn)那些在用的隱藏網(wǎng)絡(luò)。它能夠通過嗅探TCP、UDP、ARP、和DHCP數(shù)據(jù)包來自動(dòng)地檢測(cè)網(wǎng)絡(luò)IP塊，并能夠以Wireshark/TCPDump的兼容格式記錄通信。這個(gè)工具還可以用于warwalking，warflying，warskating等。  

七、Tcpdump：這是一款經(jīng)典的網(wǎng)絡(luò)監(jiān)視和數(shù)據(jù)獲取嗅探程序。在Ethereal (Wireshark)登上歷史舞臺(tái)之前，Tcpdump是被廣泛采用的IP嗅探程序，網(wǎng)管員中的許多人還有繼續(xù)使用它。它可能沒有豪華的外表（如沒有一個(gè)非常漂亮的圖形用戶界面），不過它幾乎沒有什么安全漏洞，并且需要很少的系統(tǒng)資源。雖然它很少有什么新的特性，不過卻能經(jīng)常修正補(bǔ)丁和可移動(dòng)性問題。它對(duì)于跟蹤網(wǎng)絡(luò)問題或監(jiān)視網(wǎng)絡(luò)活動(dòng)是極有價(jià)值的工具。  

八、Ettercap：Ettercap是一個(gè)基于終端的以太網(wǎng)網(wǎng)絡(luò)嗅探程序/截獲程序/記錄程序。它支持對(duì)許多協(xié)議（即使加密的協(xié)議，如SSH和HTTPS）的主動(dòng)和被動(dòng)的分解。也能夠?qū)σ呀⑦B接的網(wǎng)絡(luò)實(shí)施數(shù)據(jù)截獲，以及對(duì)動(dòng)態(tài)的數(shù)據(jù)進(jìn)行過濾，保持連接的同步。它提供許多嗅探式，這可以給我們一個(gè)強(qiáng)有力的、完整的嗅探程序組件包，并支持插件。它能夠檢查用戶的網(wǎng)絡(luò)是否位于一個(gè)交換網(wǎng)絡(luò)中，并使用系統(tǒng)指紋碼（以主動(dòng)模式或被動(dòng)模式）讓用戶知道LAN的幾何結(jié)構(gòu)。  

九、Nikto：這是一個(gè)綜合性的開源的Web掃描程序，它可以對(duì)Web服務(wù)器的多種項(xiàng)目執(zhí)行掃描，包括超過3200多個(gè)潛在的危險(xiǎn)文件/CGI，包括在230種服務(wù)器上的特定問題。掃描項(xiàng)目和插件能夠時(shí)常更新，并能夠自動(dòng)進(jìn)行。它采用Whisker/libwhisker支持其底層的功能。  

十、THC Hydra：這是一個(gè)快速的網(wǎng)絡(luò)身份驗(yàn)證破解程序，它支持許多不同的服務(wù)。在我們需要強(qiáng)力攻擊一個(gè)遠(yuǎn)程的身份驗(yàn)證服務(wù)時(shí)，Hydra有可能是最佳的選擇。它可以對(duì)30多種協(xié)議執(zhí)行快速的目錄攻擊，包括telnet、 ftp、 http、 https、smb、多種數(shù)據(jù)庫(kù)等。