防火墙类
1. Netfilter (免费)
Netfilter 是一款经典的防火墙渗透测试工具,其核心用途是在 Linux 2.4.x 及更高版本内核中过滤数据包、网络地址、端口、(NA [P] T协议内的)转译内容和其他数据包审计。Netfilter 相当于 Linux 内核中的一系列 hook,可以让内核模块在网络堆栈中执行回调函数。然后回调网络堆栈内遍历相应 hook 的每个包内注册的回调函数。
Netfilter 涉及到 iptables,iptables 是一个用于定义规则集的通用表结构。 IP 表中的每个规则由多个分类器(iptables matches)和一个连接的动作(iptables target)组成。 Netfilter、ip_tables、连接跟踪(ip_conntrack,nf_conntrack)和 NAT 子系统共同构建起 Netfilter 框架。
Netfilter 可免费试用,但是只适用于 Linux 系统。
2. OpenBSD PF (免费)
OpenBSD PF 可用于过滤 TCP/IP 流量并运行 Network Address Translation,还能对 TCP/IP 流量进行规范化和调整,并提供带宽控制和数据包优化。OpenBSD PF 还可实现被动操作系统检测等功能。
OpenBSD 3.0 版本之后,包过滤已经成为“GENERIC OpenBSD 内核”的一部分。以前的 OpenBSD 内核版本附带不同的防火墙/ NAT,但现在的版本已经不再支持这个功能。
OpenBSD PF 完全免费,只适用于Linux操作系统。
入侵检测类
1. OSSIM(免费)
OSSIM 有助于安全从业者处理 SIEM 相关的问题:事件收集、规范化和事件关联等。OSSIM 主要用于对一系列工具进行汇编。这些工具如果联合使用,可以让安全管理员和网络管理员详细了解主机、物理访问设备、网络和服务器的各个方面。事实上,OSSIM 包含 OSSEC HIDS 和 Nagios 等多个工具的功能。由于 OSSIM 由安全工程师开发,所以也融入了安全专业人员的实际经验:如果没有采取安全可视化所必须的基本安全控制,SIEM 就是无效的。在这种理念的指导下,OSSIM 更加有用、有效。
OSSIM 可免费使用,仅适用于Linux操作系统。
2. OSSEC HIDS (免费)
OSSEC HIDS 基于可扩展且开源的主机,是一个多平台入侵检测系统,具有强大的关联能力和分析引擎功能,可以实现完整性检查、日志分析、基于时间的警报、日志分析和主动响应。OSSEC HIDS 通常用作 SEM/SIM 解决方案,且由于其强大的日志分析引擎功能,许多大学、ISP 提供商和公司都在使用 OSSEC HIDS 监视和分析其 IDS、防火墙、身份验证日志和 Web 服务器。
OSSEC HIDS 可免费使用,适用于大多数操作系统,包括 Linux、MacOS、Solaris、HP-UX、AIX 和 Windows。
Debugger 类
1. GDB:GNU Project Debugger (免费)
GDB(GNU project Debugger)允许用户审核并发现运行中的 web 应用或程序(软件)所执行的内容。GDB 可以帮助开发人员或程序员查找他们所开发的应用或程序崩溃的原因,也有助于检测代码中是否存在漏洞。GDB 主要有四大用途:检测程序启动时的状况,详细检测可能影响程序运行的任何事情;检测在特定的阶段或特定的时间停止程序时的状况;研究并解释程序停止正常工作的原因;改变程序中的内容,便于修复 bug。
GDB 是符合 GNU 通用公共许可证的免费工具,且在 DBX 调试器之后建模,可在许多类 Unix 系统上运行,适用于包括 C、C ++、Ada、Free Pascal、Fortan、Java 等在内的多种编程语言。
2. IDA Pro (免费)
IDA 是一个多平台(包括 Linux)多处理器反汇编程序及调试工具,经常被程序员和开发人员用于调试应用程序、评估不正常运行的代码。此外,IDA Pro 可帮助用户分析可能存在的漏洞。IDA Pro 相当于多目标反汇编器和多目标调试器。其中,多目标反汇编器是一个针对大量处理器的反汇编模块,具有完整的可扩展性和交互性,并且尽可能接近高级源代码。而多目标调试器是一个调试器,可以针对反汇编器收集的数据进行动态分析,还具备调试器的完整功能。IDA Pro 的开发者表示,“IDA 反汇编程序尽可能地接近原始源代码”,因此广受欢迎。
IDA Pro 最新完整版本是商业版本,需要收费,不过其早期的低配版本(版本 5.0 及以下)可以免费下载,所有版本适用于 Windows,Linux 和 macOS X 操作系统。
3. Immunity Debugger (免费)
Immunity CANVAS 测试工具可用于测试系统是否安全。这个工具附带特意设计的漏洞利用模块,可用于发现 exploit。Immunity CANVAS 可帮助企业具体了解其系统安全概况。
具体来说,Immunity Debugger 可用于分析恶意软件,编写 exploit 和逆向工程的二进制文件。这个工具建立在一个包括函数图形的可靠用户界面上,是业界第一个只用于堆创建的分析工具。此外,Immunity Debugger 还是 Python API,易于扩展。
Immunity Debugger 支持所有 Windows 操作系统。
4. OllyDbg (免费)
OllyDbg 是一个可以分析调试器的 32 位汇编器。由于采用二进制代码分析,因此在源不可用的情况下,使用 OllyDbg 分析就很有用。OllyDbg 拥有良好的用户界面,具有追踪寄存器、循环、进程、API 调用以及高级代码分析功能,能够识别程序、开关语句、表格、常量和字符串等,还能用于调试 DLL。 OllyDbg 还能调试多线程应用程序,并可以添加到正在运行的程序中。OllyDbg 完全支持 Unicode,并动态识别 ASCII 和 Unicode 字符串。
OllyDbg 的所有官方版本都是免费的,但源代码并未公开。它只适用于 Windows 系统,且不可在 Win32s 上运行。
5. WinDbg (免费)
WinDbg 与 OllyDbg 类似,是微软发布的 Windows 多用途调试器。WinDbg 基于 GUI 应用程序运行,主要可在 Windows 操作系统遇到崩溃或其他“蓝屏死机”的情况下调试内存转储,也可用于调试用户模式的应用程序、驱动程序和操作系统本身(内核模式下调试),还能够通过匹配各种条件(例如,时间戳、CRC、单个甚至多处理器版本),从服务器自动加载调试符号文件(例如 PDB 文件)。
WinDbg 所有官方版本都是免费的,只适用于 Windows 操作系统。值得注意的是,许多 WinDbg 用户也倾向于使用 Visual Studio 调试器。
应用扫描工具
1. NTBScan (免费)
NTBScan 需要命令行控制运行,扫描本地或远程 TCP/IP 网络上打开的 NETBIOS 域名服务器。 NBTScan 基于标准 Windows 工具 nbtstat 的功能和处理结构,但是可以在大部分 IP 地址上运行。NTBScan 的作者表示,由于以前的类似工具只能在 Windows 平台上运行,所以就开发了 NBTScan,便于在多个主流平台上运行。
NTBScan 用简便的 C 语言编写,大小不足 40 KB,也不需要特殊的库或 DLL,在 MS-DOS 命令窗口中运行。此外,NTBScan 也适用于Linux!
2. THC Amap (免费)
THC Amap 的主要作者和开发人员表示,THC Amap 是第一个可以进行应用程序协议检测的工具。但是相比之下,nmap -sV 命令更适合进行应用程序指纹识别。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
