9012年，你會選哪些安全測試工具？

新聞 01-28

雖然說都已經9012年了，安全從業者的日常依舊離不開各種工具的輔助。在2018年安全工具盤點的基礎上，我們今年再增加一些免費或開源工具，供讀者參考。其中有很多都經過專業人士的試用與推薦。

網路安全監控

Argus

Argus其實是 Audit Record Generation and Utilization System（審計記錄生成與使用系統）的縮寫，能對網路流量與數據進行高效、深入的分析。Argus可以篩選大量流量並快速全面的生成報告。不論是單一使用還是與其他工具共同使用，這個工具都可以提供堅實的協助。

P0f

P0f的更新頻率很低，十幾年來變化不大，但仍然比較歡迎。這款工具使用時簡單、高效，不會產生額外的流量。主要用於標識與其交互的任何主機的操作系統。很多網路安全監控工具都可以創建探測、名稱查找以及各種查詢功能。P0f則以其輕量級、高速以及簡潔運行的的特徵而著稱，對於高級用戶來說必不可少。但對於一些新手而言，可能學習起來沒那麼簡單。

Nagios

Nagios可以監控主機、系統和網路，實時發送警報。用戶可以準確指定他們想要通知的內容。這個程序可以監控HTTP、NNTP、ICMP、POP3和SMTP等網路服務。很多人將Nagios用於流量監控，其實它也可以用作全面、基礎的網路管理方案，適用於網路安全專業人士和小型企業。

Splunk

Splunk是一款高速、通用的網路監控工具，專為實時分析和歷史數據搜索而設計。具有統一界面，對用戶比較友好。其強大的搜索功能為應用程序監控提供了協助。Splunk可以處理非結構化數據，並輕鬆擴展。可以配合SIEM，達到更好的效果。

Splunk其實是付費應用，提供免費版本，但免費版本的功能有限。如果預算足夠的話，付費購買也是性價比比較高的選擇。

網路偵察與取證

TheHarvester

TheHarvester基於Kali，有助於收集域名、電子郵件地址、員工姓名、以及來自SHODAN的信息等。

Maltego

Maltego是Paterva開發的用於開源智能和取證的專有軟體，可以提供一個變換庫，用於從開源中發現數據，並以圖形格式顯示該信息，適用於鏈接分析和數據挖掘。Maltego有助於發現關於偵察目標的大量數據，包括IP地址、域名、DNS條目以及員工電子郵件地址等。

加密類

2018 的盤點中，主推的是Gnupg PGP和Keepass以及OpenVPN這三款加密工具。今年新增Tor和Openswan。

Tor

現在提到Tor大家似乎都會想起暗網。但事實上，Tor 本身只是個加密性能比較好的工具，可以保護互聯網隱私。一般來說，系統將請求發送到代理web伺服器以保護隱私、讓用戶難以被追蹤。儘管會有一些惡意出口節點嗅探流量，但在使用過程中仔細留意，就不會有大的影響。在實際應用中，Tor對於網路安全的作用比在暗網中發揮的作用更大。

Openswan

Openswan可以說是Linux下IPsec的最佳實現方式，可以設置支持IKWv2、X.509證書、NAT遍歷等的安全VPN。Openswan支持net-to-net和RoadWarrior兩種模式，前者可實現遠程子網通訊後類似區域網的訪問，後者可以實現客戶端用IPSec 連接到內網後的安全通訊。

密碼管理與恢復

Cain and Abel

僅適用於Windows的密碼恢復工具。可以記錄VoIP對話，解碼加密密碼並分析路由協議。可以獲取到緩存密碼、顯示密碼框、暴力破解密碼並進行密碼分析等。可作為數據包嗅探的入門程序。

Thycotic Secret Server

Secret Server是一種高級密碼管理器工具，適合IT團隊使用。其設置秘密伺服器，有助於IT團隊管理者了解團隊成員訪問密碼的情況並在必要時更改密碼。當然，Secret Server與其他密碼管理器一樣也可以生成強密碼且不需要用戶強行記憶。

此外，1 password、LastPass等也都是大家常用且好用的密碼管理工具。

漏洞掃描與入侵檢測

Burp Suite、Nikto等工具可查看2018年盤點文章。新增工具請看下文。

Snort

Snort是一個企業級的開源IDS，可以與任何操作系統和硬體兼容。系統執行協議分析、內容搜索/匹配以及各種網路攻擊的檢測（如緩衝區溢出、隱形埠掃描程序、CGI攻擊、OS指紋識別等）。其優點是易於配置，規則靈活，可以分析原始數據包。

OWASP Zed Attack Proxy Project (ZAP)

開發人員需要測試Web應用程序的安全性時，常常使用ZAP。ZAP是完全開源的跨平台工具，可以實現Web應用程序的主動和被動掃描、發現抓取程序內容的爬蟲，並生成相關報告。此外，ZAP還能添加組件。

ModSecurity

ModSecurity堪稱We應用程序防火牆的「瑞士軍刀」，相當於Web應用程序開發者的必備工具。ModSecurity的主要功能包括實時監控和訪問控制、HTTP流量日誌記錄、持續被動安全防禦和Web應用程序加固等。

漏洞管理

Nessus

Nessus 堪稱漏洞評估領域的行業標準，能幫助安全人員快速識別和修復問題（包括軟體漏洞、缺失補丁、惡意軟體和錯誤配置等問題）。藉助預先構建的策略和模板、群組暫停功能和實時更新等功能，可以輕鬆、直觀地進行漏洞評估。這款工具很活躍，最近剛發布了最新版本。

Balbix

Balbix能夠分析網路中每種易受攻擊的資產情況，包括相關數據、交互的用戶、是否面向公眾等，並確定資產對組織的重要性。Balbix 還可以將每個漏洞與活動的威脅源進行比較，並預測、評估未來發生漏洞的可能性以及漏洞可能對企業造成的損失。

無線安全

NetStumbler

主要適用於Windows用戶，可以在無線網路中找到開放的接入點。NetStumbler既可以尋找WAP，又檢測其他安全掃描工遺漏的漏洞。但需要注意的是這個工具僅僅適用於Windows，且不提供源代碼。

Kismet

Kismet是基於控制台（ncurses）的802.11第2層無線網路檢測器、嗅探器和入侵檢測系統。 Kismet主要通過被動嗅探識別網路，還可以發現正在使用中的隱藏（非信標）網路。它可以通過嗅探TCP、UDP、ARP和DHCP數據包自動檢測網路IP塊，以Wireshark / tcpdump兼容格式記錄流量，甚至可以在下載的地圖上繪製檢測到的網路和預估範圍。