linux主机防御ids 常用开源工具

 

系统防御方面的开源软件

主机防御工具

验证系统

Pam：几乎在所有的发行版上默认安装

Opie

内核安全

Grsecurity：专注于内核的安全，给内核提供了很多安全补丁

ExecShield：设置不可执行的标志位（现代的x64硬件携带的，就可以不用软件了，x86是不带的）

Linux Intrusion Detection System (LIDS)：使用mac做的内核安全补丁集

 

网络防御

TCP wrappers：可以配置哪些远端的ip允许访问，哪些不允许

Iptables（还有流量控制的tc）：综合性的网络安全工具（Vuumuur，Turtle Firewall，Firestarter，FireHOL，Shorewall可以作为配置接口），还可以直接使用shelter等基于iptables的防火墙工具

Arpon：专门防arp欺骗（arpwatch可以用来记录arp日志）

Clearos：防火墙（内容过滤，入侵检测，带宽控制等，提供常见的服务器），这是一个单独的操作系统，并不是软件。类似的还有IPCop，openwall（用的比较多），Network Security Toolkit (NST)专门用作网络监控的live cd。

Bro：静态监听并且网络数据流量，发现入侵

 

综合性系统安全分析

Tiger：功能比较弱，全部是shell写的，只是检查一些文件和配置

Lynis：可以用来取代tiger，功能也是一般，但是能输出一些对于系统整体的审计报告

Nessus（OpenVAS ：超强功能的综合性主机扫描。Nessus后来闭源，开源的由openvas继续

OSSIM：集合和各种开源软件

ACARM-ng：hids系统

 selinux，apparmor

 

系统弱密码检测

Crack

John：结合/etc/passwd和/etc/shadow，直接用彩虹表爆系统密码

病毒查杀

Clamav：扫描本机上的病毒

p3scan：扫描email中的病毒

文件完整性检查

Tripwire：最常用的文件完整性检查工具，有变动通知

AIDE：目标是取代tripwire的

OSSEC：不是专门做文件完整的工具，是个通用工具

AFICK

Aide

Rootkit和webshell检测

 

shell-detector：python脚本，专门检测机器中的web shell

Chkrootkit：检测机器中的rootkit

OSSEC：检测机器中的rootkit（还有其他功能）

Rkhunter：检测rootkit，后门，恶意软件（rootkit和chkrootkit两个都挺好，可以两个一起用）

系统监控

Nagios：强大的主机资源监控报警系统

Ntop（iptraf,iftop,tcpdump等）：网络流量监控，下一代监控是ntopng

服务分析

 

Denyhosts：分析ssh的日志来发现有没有人试图入侵和入侵成功

 

数据加密

CipherShed：磁盘加密工具

Peazip：文件压缩和加密工具

Steghide：信息隐写工具

Stunnel：在ssl中隐藏tcp连接

TrueCrypt：磁盘加密工具

辅助工具

高级网络工具

Dsniff：可以嗅探插入数据包，用于获得用户机的口令和密码

Ettercap：局域网嗅探与入侵工具，以太网攻击神器

Nping：全方位的ping（包含了arping，fping，ping,hping的全部功能和其他扩展），是nmap程序包的

Socat/ncat：nc的升级版，但是普通用法不如nc好用的.ncat是nmap程序包的

Ngrep/tcpdump：两者各有所长ngrep业务调试更方便，tcpdump适合更复杂的分析

Iptraf：看当前的网络数据流

Ssh：远程登录，端口转发

Scapy：网络探测神器。号称可以取代 hping,和部分的nmap, arpspoof, arp-sk, arping, tcpdump, tshark, p0f。与ethcap的功能还有一定的重合。

Rsync：文件一致性保持本分工具

Tc/tcng：流量控制神器。Tcng是一个编译器，专门用于流量控制领域的，但是在哦ubuntu16中已经没有了这个软件包。可能是问题太多了吧。但是tc永远都是在的。

Ethtool：查看详细的网卡信息

Nemesis：数据包伪造，可以用来生成攻击数据包

Mtr：ping和traceroute的结合体

Snort：侦测网络通信协议，发现威胁

 

漏洞和网络扫描工具

Angry IP Scanner：快速扫描中的神器（masscan也挺神），用来全网扫描

Nmap：最通用的端口扫描工具，扫描能力很多

Hping：另外一个常用的扫描和探测网络的神奇

Sara：扫描网络发现漏洞

Nikto：web服务器漏洞和弱密码扫描

W3af：web漏洞扫描

 

商业的

Core Impact：可能是最屌的漏洞扫描工具了，价格也是（30000美元）

Nexpose：著名的开源漏洞扫描工具msf的商业版本（2000美元）

GFI LanGuard：不少用户从nexpose迁移过来

Saint：曾经的开源神器，现在闭源。扫描网络发现漏洞

Canvas：漏洞扫描与利用。买的时候可以直接买到源代码，甚至0day漏洞

暴利破解

MedusaL:各种常见服务的暴利破解

Hydra：远端服务密码破解

RainbowCrack：提前计算常用密码的彩虹表，然后直接查找破解

渗透系统

Backbox：基于ubuntu的发行版

Kali：神器，基于debian。工具比backbox多，而且有bug  boundy（发现bug可以拿钱）

Pentoo：另外一个渗透测试系统