10款开源又好用的Linux安全工具

　　网络安全是永无止境的工作。从恶意软件到网络钓鱼攻击，再到高级持续威胁以及迅速增加的设备清单所带来的自身漏洞和更新要求，使得网络威胁无处不在。幸运的是，获得更好的安全性并不一定意味着烧穿你的钱包，有许多出色的免费安全工具可以帮助企业快速提升网络安全能力。

　　以下是国外媒体列出的一份Linux安全工具清单，列举了具有代表性的十个网络安全工具，其中大部分是免费开源安全工具，只有Burp Suite Pro和Metasploit Pro是付费工具，两者被认为在企业漏洞评估和渗透测试中可发挥重要作用。

　　1.Aircrack-ng（免费）：测试Wi-Fi网络安全

　　Aircrack-ng是一套用于测试无线网络和Wi-Fi协议安全的工具。安全人员使用这款无线扫描工具用于网络管理、黑客攻击和渗透测试。它侧重于监控（捕获数据包并将数据导出到文本文件，供第三方工具进一步处理）、攻击（通过数据包注入回放攻击、取消认证和伪造的接入点）、测试（检查Wi-Fi卡和驱动程序功能）以及破解（WEP和WPA PSK，WPA1和2）。

　　据Aircrack-ng官网显示，其所有工具都是命令行，允许编写大量脚本。该工具主要适用于Linux，但也适用于Windows、macOS、FreeBSD、OpenBSD、NetBSD以及Solaris甚至eComStation 2。

　　2.Burp Suite Pro（付费）：注重Web应用程序安全

　　Burp Suite Professional是一个Web应用程序测试套件，用于评估网站安全性。Burp Suite作为本地代理解决方案来运行，让安全人员可以解密、观察、处理和重现Web服务器与浏览器之间的Web请求（HTTP/websocket）和响应，该软件企业版可以支持应用程序开发团队使用的多路并行扫描。

　　该工具随带被动扫描器，让安全人员可以在手动勘查站点时绘制站点网络图，查找潜在漏洞。Pro版还提供了非常有用的主动Web漏洞扫描器，以便进一步检测漏洞。Burp Suite可以通过插件来扩展，因此安全人员可以自行开发增强功能。Pro版拥有较为可靠的插件，使Burp成为一款应对Web攻击的多工具套件。

　　3. Impacket（免费）：用于渗透测试网络协议

　　Impacket由SecureAuth开发，对于渗透测试网络协议和服务至关重要。Impacket作为用于渗透测试网络协议的Python类程序运行，致力于对数据包提供低级访问，针对SMB1-3和MSRPC等一些协议，提供实现协议本身服务。安全人员可以从头开始构建数据包，并且可以解析原始数据。该工具中面向对象的API使得用户很容易处理协议的深度层次结构。Impacket采用Apache软件许可证的修改版提供服务。

　　Impacket支持以下协议：

　　•以太网和Linux

　　•IP、TCP、UDP、ICMP、IGMP和ARP

　　•IPv4和IPv6；

　　•NMB、SMB1、SMB2和SMB3；

　　•MSRPC版本5；

　　•PLAIN验证、NTLM验证和Kerberos验证，使用密码/哈希/票据/密钥。

　　只要用户提供SecureAuth积分，就能免费使用该软件。

　　4. Metasploit（付费）：检测漏洞的超级工具

　　Rapid7的这款漏洞利用框架用于一般的渗透测试和漏洞评估，安全人员认为它是一款“超级工具”，可以检测几乎所有最新的客户端漏洞。Metasploit使安全人员能够扫描网络和端点（或导入NMAP扫描结果），以查找漏洞，然后自动执行任何可能的漏洞利用方法以接管系统。

　　在许多安全测试人员眼里，捕获登录信息一直是一个非常关键的环节。多年来，Metasploit 借助针对特定协议的模块为此提供便利，所有模块都放在auxiliary/server/capture下。安全人员可以单独启动和配置这每个模块，但现在有一个捕获插件可简化这个过程。

　　Metasploit Pro附带Rapid7提供的商业支持，起价为每年12000美元，但也有免费版本。

　　5. NCAT（免费）：探测网络连接性

　　NCAT由NMAP的开发商开发，是流行软件NETCAT的后继产品，是当前众多NETCAT版本的代表作，旨在充当一种可靠的后端工具，用于实现与其他应用程序和用户的网络连接。它便于从命令行通过网络读取和写入数据，但增添了SSL加密等功能。

　　安全专家表示，NCAT已广泛用于托管TCP/UDP客户端和服务器，以发送/接收来自受害者和攻击系统的任意数据。它也是建立反向shell或窃取数据的流行工具。NCAT与IPv4和IPv6都兼容，提供了将NCAT串联起来，将TCP、UDP和SCTP等端口重定向到其他网站以及支持SSL的功能。

　　6. NMAP（免费）：扫描和映射网络

　　NMAP是一种命令行网络扫描工具，可发现远程设备上的可访问端口。许多专业人员认为，NMAP是最重要、最有效的工具——这款工具非常强大，已成为渗透测试人员的必备工具。

　　NMAP的旗舰功能是扫描网络以查找活动服务器；扫描服务器上的所有端口，以发现操作系统、服务和版本。通过NMAP的脚本引擎，它会针对发现的任何服务执行进一步的自动化漏洞检测，并自动利用漏洞。

　　NMAP支持数十种高级技术，用于映射有众多IP过滤器、防火墙、路由器及其他障碍的网络。这些技术包括许多TCP和UDP端口扫描机制、操作系统检测、版本检测和ping扫描。安全人员可以使用NMAP来扫描由成千上万台机器组成的大型网络。

　　7. ProxyChains（免费）：建立网络隧道

　　作为建立网络隧道的事实标准，ProxyChains让安全人员可以通过各种受感染的机器，从发动攻击的Linux机器发出代理命令，以穿越网络边界和防火墙，同时逃避检测。安全人员经常使用Linux操作系统在网络上隐藏身份。ProxyChains通过TOR、SOCKS和HTTP代理路由传输渗透测试人员的TCP流量。NMAP等TCP侦察工具与之兼容。安全人员还使用ProxyChains来规避防火墙和IDS/IPS检测。

　　8. Responder（免费）：模拟DNS系统受到的攻击

　　Responder可对NBT-NS（NetBIOS名称服务）、LLMNR（链路本地多播名称解析）和mDNS（多播DNS）发起中毒攻击，渗透测试人员用它来模拟攻击，如果在DNS服务器上没有找到记录时，就在名称解析过程中窃取登录信息及其他数据。

　　最新版的Responder（v. 3.1.1.0）默认提供完整的IPv6支持，这让安全人员可以对IPv4和IPv6网络执行更多的攻击。由于之前版本的Responder缺乏对IPv6的支持，因而漏过了几条攻击路径，这很重要。特别是考虑到IPv6已成为Windows上的首选网络栈，这一点在纯IPv6网络甚至IPv4/IPv6混合网络上尤为重要。

　　9. sqlmap（免费）：查找数据库服务器中的SQL注入漏洞

　　sqlmap是一款开源渗透测试工具，可自动检测和利用SQL注入漏洞，这种漏洞可用于接管数据库服务器。该工具附带功能强大的检测引擎，拥有许多用于渗透测试的功能，包括数据库指纹、访问底层文件系统以及通过带外连接在操作系统上执行命令。

　　安全人员表示，它可以帮助他们自动执行针对各大SQL后端的SQL发现和注入攻击。它支持广泛的数据库服务器，包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB和HSQLDB。还支持各种SQL注入攻击，包括基于布尔型的盲注、基于时间的盲注、基于错误的盲注、堆叠查询注入以及带外攻击。

　　10. Wireshark（免费）：流行的网络协议分析器

　　Wireshark于1998年问世，是一种网络协议分析器，通常名为网络接口嗅探器。最新版本是3.6.3。

　　Wireshark让安全人员可以观察设备的网络行为，了解它与哪些设备通信（IP 地址）以及原因。在一些较旧的网络拓扑结构中，来自其他设备的网络请求通过安全人员的设备网络接口传输，他们因而可以观察整个网络的流量，而不仅仅是自己的流量。

　　安全专家表示，这款出色的工具可用来查明DNS服务器及其他服务的位置，以便进一步利用网络的漏洞。Wireshark可在大多数计算平台上运行，包括Windows、MacOS、Linux和Unix。

　　https://www.networkworld.com/article/3656629/10-essential-linux-security-tools-for-network-professionals-and-security-practitioners.html