扫描/渗透测试

· OpenVAS – OpenVAS是一个包含多种服务和工具的框架，可提供全面而强大的漏洞扫描和漏洞管理解决方案。

· Metasploit Framework – 针对远程目标计算机开发和执行漏洞攻击代码的最佳网络安全工具之一。其他重要的子项目包括操作码数据库、shellcode档案和相关研究。

· Kali – Kali Linux是基于Debian的Linux发行版，设计用于数字取证操作系统。每一季度更新一次。Kali Linux预装了许多渗透测试程序，包括nmap（端口扫描器）、Wireshark（数据包分析器）、John the Ripper（密码破解程序）和Aircrack-ng（用于渗透测试无线LAN的软件套件）。

· pig – Linux数据包制作工具。

· scapy – Scapy：基于 python 的交互式数据包操作程序和库。

· Pompem – Pompem是一种开源网络安全工具，旨在自动搜索主要数据库中的漏洞。用Python开发，具有高级搜索系统，从而促进渗透测试者和道德黑客的工作。在其当前版本中，在数据库中执行搜索：Exploit-db、1337day、Packetstorm Security…

· Nmap – Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。

监控/记录

· justniffer – Justniffer是一种网络协议分析器，它可以捕获网络流量并以自定义方式生成日志，可以模拟Apache Web服务器日志文件，跟踪响应时间并从HTTP流量中提取所有“拦截”文件。

· httpry – httpry是一个专门的数据包嗅探器，用于显示和记录HTTP流量。它的目的不是执行分析本身，而是捕获、解析和记录流量，以便以后进行分析。它可以在解析流量时实时显示流量，也可以作为记录到输出文件的守护进程运行。它被编写得尽可能轻量级和灵活，以便轻松适应不同的应用程序。

· ngrep – ngrep致力于提供GNU grep的大部分通用功能，并将其应用于网络层。ngrep是一个pcap-aware工具，它允许你指定扩展的正则或十六进制表达式来匹配数据包的数据payload。它目前通过以太网、PPP、SLIP、FDDI、令牌环和空接口识别IPv4/6、TCP、UDP、ICMPv4/6、IGMP和Raw，并以与更常见的数据包嗅探工具（如tcpdump和snoop）相同的方式理解BPF过滤器逻辑。

· Passivedns – 被动收集DNS记录的最佳网络安全工具之一，可帮助事件处理、网络安全监控（NSM）和一般数字取证。PassiveDNS嗅探来自接口的流量或读取pcap文件，并将DNS服务器响应输出到日志文件。PassiveDNS可以在内存中缓存/聚合重复的DNS应答，从而限制日志文件中的数据量，而不会丢失DNS应答中的essens。

· sagan – Sagan使用“类似Snort”的引擎和规则来分析日志（系统日志/事件日志/snmptrap/netflow等）。

· Node Security Platform – 与Snyk类似的功能集，但在大多数情况下是免费的。

· ntopng – Ntopng是一个网络流量探测器，显示网络使用情况，类似于流行的top Unix命令。

· Fibratus – Fibratus是一种用于探索和跟踪Windows内核的工具。它能够捕获大部分Windows内核活动——进程/线程创建和终止、文件系统I/O、注册表、网络活动、DLL加载/卸载等等。Fibratus有一个非常简单的CLI，它封装了启动内核事件流收集器、设置内核事件过滤器或运行轻量级Python模块（称为fills）的机制。

IDS / IPS / 主机 IDS / 主机 IPS

· Snort – Snort是Martin Roesch于1998年创建的免费开源网络入侵防御系统（NIPS）和网络入侵检测系统（NIDS）。Snort现在由Sourcefire开发，其中Roesch是其创始人兼CTO。2009年，Snort作为“有史以来最伟大的开源软件”之一进入了InfoWorld的开源名人堂。

· Bro – Bro是一个强大的网络分析框架，与您可能知道的典型IDS有很大不同。

· OSSEC – 全面的开源HIDS。您可能需要一点时间来了解它的工作原理。执行日志分析、文件完整性检查、策略监控、rootkit检测、实时警报和主动响应。它可以在大多数操作系统上运行，包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。最擅长大中型部署。

· Suricata – Suricata是一个高性能的网络IDS、IPS和网络安全监控引擎。它由社区运营的非营利基金会所有，即开放信息安全基金会（OISF）。Suricata由OISF及其支持供应商开发。

· Security Onion – Security Onion是一个Linux发行版，用于入侵检测、网络安全监控和日志管理。它基于Ubuntu，包含Snort、Suricata、Bro、OSSEC、Sguil、Squet、Snorby、ELSA、Xplico、NetworkMiner和许多其他安全工具。易于使用的设置向导可让您在几分钟内为您的企业构建大量分布式传感器！

· sshwatch – SSH的IP类似于用Python编写的DenyHost。它还可以在日志中收集攻击过程中攻击者的信息。

· Stealth – 文件完整性检查工具。控制器在另一台机器上运行，这使得攻击者很难知道文件系统正在通过SSH以定义的伪随机间隔进行检查。强烈推荐用于中小型部署。

· AIEngine – AIEngine是下一代交互式/可编程Python/Ruby/Java/Lua数据包检查引擎，具有无需任何人工干预的学习能力、NIDS（网络入侵检测系统）功能、DNS域分类、网络收集器、网络取证等其他。

· Denyhosts – 阻止基于SSH字典的攻击和蛮力攻击。

· Fail2Ban – 扫描日志文件并对显示恶意行为的IP采取措施。

· SSHGuard – 除SSH外还用于保护服务的软件，用C编写。

· Lynis – 一个用于Linux/Unix的开源安全审计工具。

蜜罐/蜜网

· HoneyPy – HoneyPy是一个中低交互蜜罐。它旨在易于部署、使用插件扩展功能以及应用自定义配置。

· Dionaea – Dionaea是nepenthes的继承者，它嵌入python作为脚本语言，使用libemu检测shellcode，支持ipv6和tls。

· Conpot – ICS/SCADA蜜罐。Conpot是一个低交互服务器端工业控制系统蜜罐，旨在易于部署、修改和扩展。通过提供一系列通用工业控制协议，我们为构建您自己的系统奠定了基础，能够模拟复杂的基础设施，让对手相信他刚刚发现了一个巨大的工业综合体

· Amun – 基于Amun Python的低交互蜜罐。

· Glastopf – Glastopf模拟数千个漏洞，从针对Web应用程序的攻击中收集数据。其背后的原理非常简单：对利用Web应用程序的攻击者做出正确的响应。

· Kippo – Kippo是一个中等交互SSH蜜罐，旨在记录暴力攻击，最重要的是，记录攻击者执行的整个shell交互。

· Kojoney – Kojoney是一个模拟SSH服务器的低级交互蜜罐。该守护进程是使用Twisted Conch库以Python编写的。

· HonSSH – HonSSH是一种高交互蜜罐解决方案。HonSSH将位于攻击者和蜜罐之间，在它们之间创建两个单独的SSH连接。

· Bifrozt – Bifrozt是一种带有DHCP服务器的NAT设备，通常部署有一个直接连接到Internet的NIC和一个连接到内部网络的NIC。Bifrozt与其他标准NAT设备的不同之处在于它能够在攻击者和您的蜜罐之间充当透明的SSHv2代理。

· HoneyDrive – HoneyDrive是一款基于Xubuntu的开源和首选蜜罐捆绑Linux操作系统。它是一个安装了Xubuntu Desktop 12.04.4 LTS版本的虚拟设备（OVA）。它包含10多个预安装和预配置的蜜罐软件包，例如Kippo SSH蜜罐、Dionaea和Amun恶意软件蜜罐、Honeyd低交互蜜罐、Glastopf网络蜜罐和Wordpot、Conpot SCADA/ICS蜜罐、Thug和PhoneyC蜜罐等等。

· Cuckoo Sandbox – Cuckoo Sandbox是一个开源软件，用于自动分析可疑文件。为此，它使用自定义组件来监视在隔离环境中运行时恶意进程的行为。

完整的数据包捕获/取证

· tcpflow – tcpflow是一个程序，它捕获作为TCP连接（流）的一部分传输的数据，并以方便协议分析和调试的方式存储数据。

· Xplico – Xplico的目标是从互联网流量中提取包含的应用程序数据。例如，Xplico从pcap文件中提取每封电子邮件（POP、IMAP和SMTP协议）、所有HTTP内容、每个VoIP呼叫（SIP）、FTP、TFTP等。Xplico不是网络协议分析器。Xplico是一种开源网络取证分析工具（NFAT）。

· Moloch – Moloch是一个开源、大规模的IPv4数据包捕获（PCAP）、索引和数据库系统。为PCAP浏览、搜索和导出提供了一个简单的Web界面。公开的API允许直接下载PCAP数据和JSON格式的会话数据。通过使用HTTPS和HTTP摘要密码支持或在前端使用apache来实现简单的安全性。Moloch并不是要取代IDS引擎，而是与它们一起工作，以标准PCAP格式存储和索引所有网络流量，提供快速访问。Moloch可跨多个系统部署，并且可以扩展以处理多千兆位/秒的流量。

· OpenFPC – OpenFPC是一组结合起来提供轻量级的全数据包网络流量记录器和缓冲系统的工具。它的设计目标是允许非专家用户在COTS硬件上部署分布式网络流量记录器，同时集成到现有的警报和日志管理工具中。

· Dshell – Dshell是一个网络取证分析框架。它使得插件能够快速开发，以支持网络数据包捕获的剖析。

· 速记员 – 速记员是一种数据包捕获解决方案，旨在快速将所有数据包假脱机到磁盘，然后提供对这些数据包子集的简单、快速访问。

基于嗅探器的网络安全工具

· Wireshark – Wireshark是一个免费和开源数据包分析器。它用于网络故障排除、分析、软件和通信协议开发以及教育。Wireshark与tcpdump非常相似，但它有一个图形化的前端，以及一些集成的排序和过滤选项。

· netsniff-ng – 是一个免费的高性能网络嗅探器，支持数据的捕获、重放、过滤等，是一个linux平台系统级的应用程序。它的性能增益是通过零复制机制实现的，因此在数据包接收和传输时，内核不需要将数据包从内核空间复制到用户空间，反之亦然。

· Live HTTP headers – Live HTTP headers是一个免费的Firefox插件，可实时查看您的浏览器请求。它显示了请求的整个header，可用于查找实现中的安全漏洞。

SIEM – 网络安全工具

· Prelude – Prelude是一个通用的“安全信息和事件管理”（SIEM）系统。Prelude收集、规范、分类、汇总、关联和报告所有与安全相关的事件，独立于导致此类事件的产品品牌或许可；Prelude是“无代理的”。

· OSSIM – OSSIM提供安全专业人员从SIEM产品中需要的所有功能 – 事件收集、规范化和关联。

· FIR – 快速事件响应，一个网络安全事件管理平台。

虚拟专用网

· OpenVPN – OpenVPN是一种开源软件应用程序，它实现了虚拟专用网络（VPN）技术，用于在路由或桥接配置和远程访问设施中创建安全的点对点或站点到站点连接。它使用一个利用SSL/TLS进行密钥交换的自定义安全协议。

快速数据包处理

· DPDK – DPDK 是一组用于快速数据包处理的库和驱动程序。

· PFQ – PFQ是为Linux操作系统设计的功能性网络框架，它允许高效的数据包捕获/传输（10G及以上）、内核功能处理和跨套接字/端点的数据包控制。

· PF_RING – PF_RING是一种新型网络套接字，可显著提高数据包捕获速度。

· PF_RING ZC（零拷贝） – PF_RING ZC（零拷贝）是一种灵活的数据包处理框架，允许您在任何大小的数据包下实现1/10 Gbit线速数据包处理（RX和TX）。它实现了零复制操作，包括用于进程间和VM间（KVM）通信的模式。

· PACKET_MMAP/TPACKET/AF_PACKET – 在Linux中使用PACKET_MMAP可以提高捕获和传输过程的性能。

· netmap – netmap 是一个用于高速数据包I/O的框架。与其配套的VALE软件开关一起，它作为单个内核模块实现，可用于FreeBSD、Linux，现在也可用于Windows。

基于防火墙的网络安全工具

· pfSense – 防火墙和路由器FreeBSD发行版。

· OPNsense – pfSense是一个基于FreeBSD，专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在，并以可靠性著称，且提供往往只存在于昂贵商业防火墙才具有的特性。

· fwknop – fwknop实现了被称作为单包认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。

反垃圾邮件

· SpamAssassin – 强大且流行的垃圾邮件过滤器，采用多种检测技术。

用于渗透测试和安全的Docker镜像

· docker pull kalilinux/kali-linux – docker官方Kali Linux

· docker pull owasp/zap2docker-stable – 官方OWASP ZAP

· docker pull wpscanteam/wpscan – 官方WPScan

· docker pull remnux/metasploit – docker-metasploit

· docker pull citizenstig/dvwa – Damn Vulnerable Web Application (DVWA)

· docker pull wpscanteam/vulnerablewordpress – Vulnerable WordPress Installation

· docker pull hmlio/vaas-cve-2014-6271 – 漏洞即服务：Shellshock

· docker pull hmlio/vaas-cve-2014-0160 – 漏洞即服务：Heartbleed

· docker pull opendns/security-ninjas – Security Ninjas

· docker pull diogomonica/docker-bench-security – Docker Bench for Security

· docker pull ismisepaul/securityshepherd – OWASP Security Shepherd

· docker pull danmx/docker-owasp-webgoat – OWASP WebGoat Project docker镜像

· docker-compose build && docker-compose up – OWASP NodeGoat

· docker pull citizenstig/nowasp – OWASP Mutillidae II Web Pen-Test Practice Application