仅包含十个 Linux 开源安全解决方案并不容易,尤其是网络专家和安全分析师可以访问其中的数十个(尽管不是数百个)。几乎每项工作都可以使用不同的工具集,包括隧道、嗅探、监控和绘图。针对各种情况——WiFi 网络、Web 应用程序、数据库系统等。为了编制必备的 Linux 安全工具列表,我们采访了一个委员会(Vincent Danen,RedHat 产品安全副总裁;Andrew Schmitt,代表BluBracket 安全咨询小组的负责人;Blu Brackets 市场扩展负责人 Casey Bisson;以及 Huntress 的高级安全研究员 John Hammond)。它们中的大多数似乎是开源软件并且是免费的。Burp Suite Pro 和 Metasploit Pro 确实是两个花了不少钱的。这些是几乎所有组织漏洞分析和渗透测试程序的重要组成部分。通过 (–linkC)]Linux 培训,我们将研究用于渗透测试、分析、逆向工程等的基于 Linux 的安全设备和软件包。
1. 互联网协议渗透测试的 Impacket渗透测试互联网协议相关服务需要此工具包。Impacket 是一套 Python 模块,用于使用 SecureAuth 创建的互联网协议进行交互。Impacket 旨在为某些协议(例如 MSRPC 和 SMB1-3)提供对数据包和协议执行的有限访问。安全专业人员可以从一开始就创建数据包并分析原始数据。基于对象的 API 使得处理复杂的协议拓扑变得相对简单。Impacket 支持的各种协议有:
- IPv4 和 IPv6;
- 以太网,Linux;
- IP、UDP、TCP、IGMP、ICMP、ARP;
- SMB2、NMB、SMB1、SMB3;
- MSRPC 版本 5,不同类型的传输:HTTP、TCP、SMB/NetBIOS 和 SMB/TCP;
- NTLM、Plain、Kerberos,利用哈希/密码/密钥/票证;
- LDAP 协议执行和 TDS (MSSQL) 的一部分。
费用:如果用户授予 SecureAuth 信用,则免费。Apache 软件许可已显着更新以启用 Impacket。安全专家可以对其进行检查并将其与此处的官方版本进行对比。
2. Aircrack-ng,特别是WiFi网络安全Aircrack-ng 是一组用于分析无线连接和协议安全性的工具。网络安全专家可以使用无线扫描仪进行网络管理和黑客攻击,包括渗透测试。它专注于:
- 监控:数据包访问和数据导出为文本文档,供第三方程序后续操作。
- 目标:重放攻击、取消身份验证和数据包注入以创建虚假入口点。
- 检查:测试 WiFi 适配器和驱动程序的特性。
- WEP 和 WPA PSK 破解(WPA 1 和 2)。
根据 Aircrack-ng 网站,所有产品都是命令行界面,允许进行大量编程。该程序在 Linux 上运行,它还可以在 Windows、OpenBSD、macOS、NetBSD、Solaris、FreeBSD 和 eComStation 2 上运行。
费用:免费开源软件
3. Metasploit:漏洞检测超级工具 Rapid7 的攻击框架可用于广泛的漏洞扫描和渗透评估,被安全专家视为“绝妙的工具”,因为它包含几乎所有记录在案的攻击的功能再现。Metasploit 允许安全专家检查网络和端点的漏洞(或导入的 NMAP 结果数据),然后自动执行任何可能的攻击以捕获计算机。
根据最新的 Rapid7 博客文章,获取证书似乎是许多安全分析师战略中至关重要的一部分。长期以来,Metasploit 使用特定于协议的插件使这成为可能,所有这些插件都属于 server/auxiliary/capture 功能。安全专家可以单独开始并安装这些组件中的每一个,但现在有一个捕获插件可以使整个过程更容易。
成本: Metasploit Pro 每年花费 12,000 美元,包括通过 Rapid7 提供的供应商支持;但是,有一个免费程序。
4. NMAP 映射和扫描网络 NMAP 是一个网络监控程序,它使用命令行来查找远程机器上的开放端口。NMAP 被广泛认为是我们列表中最关键和最优秀的方法之一,许多安全专业人士认为它是渗透测试人员的必备工具。NMAP 的标志性功能是监视活动服务器的网络域,然后扫描操作系统、服务和版本检测。然后,它使用 NMAP 的脚本引擎对它检测到的另一个服务进行进一步的系统漏洞识别和攻击。NMAP 可以使用各种技术方法绘制带有过滤器、IP 过滤器、路由器和其他障碍的网络。包括许多 Tcp / Udp 端口扫描机制和操作系统识别、版本检测和 ping 扫描。
费用:免费的开源工具。
5. Burp Suite Pro 专注于在线应用程序的安全性。 Burp Suite Professional 确实是一个用于确定数据网站完整性的 Web 应用评估套件。Burp Suite 是安全专业人员的本地代理系统,允许他们在 Web 浏览器和服务器之间解码、查看、更改和复制 Web 请求 (HTTP/WebSockets) 和响应。
该应用程序包括被动扫描,允许安全专家物理扫描网站并计划或识别安全漏洞。专业版中包含一个非常方便的动态 Web 漏洞扫描程序,可以发现更多漏洞。Burp Suite 是可插拔的,允许安全专业人员创建他们的添加。Burp 是一个包含真正有效工具的多工具包,专业版具有最复杂的插件。
成本:专业版将花费您 399 美元。即使是应用程序开发人员的工业版也允许同时进行多次扫描。
6. Wireshark 是著名的网络监控工具。 Wireshark 是一种网络监控工具,有时也称为网络接口嗅探器,自 1998 年以来一直在使用。3.6.3 版是最新的升级版本。Wireshark 允许安全专业人员检查设备的网络行为,以确定与之交互的机器(IP 地址)。在某些较早的网络拓扑中,来自其他机器的 Internet 查询流经某些安全专业人员的设备的网络连接,使其能够监控整个网络的活动。安全专家认为,它是定位 DNS 服务器和其他通信网络以进行更多网络攻击的有效工具。Wireshark 与各种操作系统兼容,如 Linux、Windows、Unix 和 macOS。
成本:免费的开源软件。
7、Sqlmap在数据库服务器中搜索SQL注入错误SQLmap 确实是一个开源渗透测试设备,它可以自动查找和利用用于控制数据库系统的 SQL 注入问题。该程序具有复杂的检测引擎和安全测试功能,例如数据库指纹识别和对核心系统文件的访问,包括使用带外连接在文件系统上运行指令。据说它可以帮助安全专业人员自动化 SQL 检测和注入操作,甚至针对主要的 SQL 后端。它提供的数据库系统包括 Microsoft Access、MySQL、PostgreSQL、Oracle、Microsoft SQL Server、IBM DB2、Firebird、SAP MaxDB、Sybase、SAP MaxDB、HSQLDB 和 SQLite。还支持基于时间的盲注、基于故障、堆栈查询和带外等 SQL 注入攻击。
费用:免费的开源软件。
8. NCAT 查询网络连通性NCAT 是 NMAP 开发人员成功发布的 NETCAT 的后续产品。它允许您从任一命令行通过网络读取和写入信息,同时包括 SSL 加密等安全机制。据安全分析师称,NCAT 已经成为支持 TCP/UDP 客户和服务器从受害者和攻击系统接收和发送任意数据的关键。这也经常用于创建反向外壳和数据泄露。NCAT 是目前分裂的各种 NETCAT 版本的巅峰之作,它是为 NMAP 程序开发的。它旨在用作将其他程序和客户连接到互联网的可靠后端解决方案。NCAT 支持 IPv4 和 IPv6,并允许您将 NCAT 链接在一起,甚至将 TCP、SCTP 和 UDP 端口重新路由到其他 NCAT。
费用:免费的开源工具。
9. 使用 ProxyChains 的网络隧道 代理链是网络隧道的事实规范,它允许安全专业人员通过攻击 Linux 工作站向多个受感染设备发送代理命令,从而使他们能够绕过网络边界和防火墙,同时避免发现。每当他们想在使用 Linux 操作系统的系统上屏蔽身份时,他们都会使用它。渗透测试人员的 TCP 流量由 ProxyChains 通过 TOR、HTTP 和 SOCKS 代理进行引导。NMAP 和其他 TCP 间谍应用程序是兼容的,以及默认使用的 TOR 系统。安全专家也使用代理链绕过防火墙和识别 IDS/IPS。
费用:免费的开源软件。
10. 响应者模仿 DNS 系统攻击。 Responder 使用 NBT-NS(NetBIOS 名称服务)、LLMNR(链路本地多播名称解析)以及 mDNS(多播 DNS)来模拟攻击,以在域协商过程中捕获帐户以及其他信息,只要DNS 服务器找不到引用。Responder 的当前版本(v. 3.1.1.0)默认具有完整的 IPv6 功能,允许安全专业人员在 IPv4 和 IPv6 系统上进行更多操作。这很重要,因为 Responder 不启用 IPv6,因此忽略了各种攻击媒介。在纯 IPv6 连接甚至可能是混合 IPv4/IPv6 系统上尤其如此,特别是因为 IPv6 已经超过 IPv4,成为 Windows 上的主要网络堆栈。
成本:开源软件是免费的。
结论网络分析仪和分析仪是系统管理员清单中用于监控公司当前网络活动的重要工具。安全性不必非常昂贵。系统管理员会喜欢基于 Linux 的安全解决方案来持续监控安全性。
|
没有回复内容