Сканеры для различных задач, тесты на проникновения, взлома
OpenVAS - представляет собой структуру нескольких сервисов и инструментов, предлагающих комплексное и мощное решение для проверки уязвимостей и управления уязвимостями.
https://www.openvas.org/
Metasploit Framework - инструмент для разработки и выполнения кода эксплойта против удалённой целевой машиной. Другие важные подпроекты включают в себя базу данных Opcode, архив shellcode и соответствующие исследования.
https://github.com/rapid7/metasploit-framework
pig - инструмент для обработки пакетов Linux.
https://github.com/rafael-santiago/pig
Scapy - программа и библиотека интерактивных пакетных манипуляций на основе python.
https://github.com/secdev/scapy
Pompem - инструмент с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на основе Python, он имеет систему расширенного поиска, что облегчает работу пентестеров, а также этичных хакеров. В своей текущей версии выполняет поиск в базах данных: Exploit-db, 1337day, Packetstorm Security…
https://github.com/rfunix/Pompem
Nmap - является бесплатной и утилитой с открытым исходным кодом для исследования сети и проверки безопасности.
https://nmap.org
Сетевой мониторинг, сбор данных из открытых источников
Justniffer - это анализатор сетевых протоколов, который фиксирует сетевой трафик и создаёт журналы в индивидуальном порядке, может эмулировать лог файлы веб-сервера Apache, отслеживать время ответа и извлекать все «перехваченные» файлы из HTTP-трафика.
http://justniffer.sourceforge.net
ngrep - ngrep стремится предоставить большинство общих функций GNU grep, применяя их на сетевом уровне. ngrep- это инструмент, поддерживающий pcap, который позволит вам указывать расширенные регулярные или шестнадцатеричные выражения, чтобы они соответствовали пейлоадам данных пакетов. В настоящее время он распознает IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP и Raw через Ethernet, PPP, SLIP, FDDI, Token Ring и нулевые интерфейсы, а также понимает логику фильтра BPF так же, как и более распространенные инструменты вроде tcpdump и snoop.
https://github.com/jpr5/ngrep/
passivedns - инструмент для пассивного сбора записей DNS для того, чтобы помочь обработке различного рода инцидентов, мониторингу сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS исследует трафик с интерфейса или считывает файл pcap и выводит ответы DNS-сервера в файл журнала. PassiveDNS может кэшировать/объединять дубликаты DNS-ответов в памяти, ограничивая количество данных в лог-файле, без потери сути в ответе DNS.
https://github.com/gamelinux/passivedns
Sagan - использует движок «Snort like» и правила для анализа журналов (syslog/event log/snmptrap/netflow/etc).
http://sagan.quadrantsec.com/
Node Security Platform - Имеет подобный набор функций как Snyk, но является бесплатным в большинстве случаев и очень дешёвым для другого рода случаев.
https://www.npmjs.com/
Ntopng - это исследователь сетевого трафика, который показывает использование сети, подобно тому, что делает популярная команда в Unix.
https://www.ntop.org/products/traffic-analysis/ntop/
Fibratus - это инструмент для исследования и отслеживания ядра Windows. Он способен захватывать большую часть активности ядра Windows - процесс создания и завершения процессов/потоков, ввода/вывода файловой системы, реестра, сетевой активности, загрузки/выгрузки DLL и многого другого. Fibratus имеет очень простой CLI, который инкапсулирует механизмы для запуска коллектора событий ядра, устанавливает фильтры событий ядра или запускает легкие модули Python, называемые волокнами (filaments).
https://github.com/rabbitstack/fibratus
Системы противодействия вторжениям и защиты
Snort - это система предотвращения вторжений в сеть с открытым исходным кодом (NIPS) и система обнаружения сетевых вторжений (NIDS), созданная Мартином Рошем (Martin Roesch) в 1998 году. Snort теперь разрабатывается Sourcefire, где Рош является основателем и техническим директором. В 2009 году Snort вошла в Зал славы InfoWorld в качестве одного из «самых больших проектов программного обеспечения с открытым исходным кодом за всё время».
https://www.snort.org/
Bro - мощный фреймворк сетевого анализа, который сильно отличается от типичных IDS, которые вы можете знать.
https://zeek.org/
OSSEC - расшифровывается как Comprehensive Open Source HIDS. Не для слабонервных. Потребуется немало времени, чтобы понять, как он работает. Он способен выполнять анализ журнала, проверку целостности файлов, обнаружение руткитов, и предоставляет оповещение в реальном времени и активный ответ. Он работает на большинстве операционных систем, включая Linux, MacOS, Solaris, HP-UX, AIX и Windows. Имеется много полезной документации позволяющей вам ознакомиться с его принципами работы.
https://www.ossec.net/
Suricata - это высокопроизводительный сетевой IDS, IPS и механизм мониторинга сетевой безопасности. Имеет открытый исходный код и принадлежит некоммерческому фонду, основанному на сообществе под названием Open Information Security Foundation (OISF). Suricata разрабатывается OISF и поддерживающими ее поставщиками.
https://suricata-ids.org/
Security Onion - это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и содержит Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании. Мастер установки позволяет вам создать армию датчиков для вашего предприятия за считанные минуты!
https://blog.securityonion.net/
sshwatch - IPS для SSH, аналогичный DenyHosts, написанный на Python. Он также может собирать информацию о злоумышленнике в журнале во время атаки.
https://github.com/marshyski/sshwatch
Stealth - предоставляет вам проверку целостности файла, которая практически не оставляет следов. Контроллер запускается с другого компьютера, что затрудняет понимание злоумышленником того факта, что файловая система проверяется в определенных псевдослучайных интервалах через SSH.Очень рекомендуется для небольших и средних объемов работы.
https://github.com/marshyski/sshwatch
AIEngine - AIEngine является интерактивным/программируемым движком Python/Ruby/Java/Lua следующего поколения для отслеживания пакетов с возможностями обучения без вмешательства человека, функциональностью NIDS (Network Intrusion Detection System), классификацией доменов DNS, сборщиком сети (network collector), сетевой криминалистикой и многим другим.
https://bitbucket.org/camp0/aiengine
Denyhosts - успешно противостоит SSH атакам перебора по словарю, а также брутфорс атакам.
http://denyhosts.sourceforge.net/
Fail2Ban - сканирует лог файлы и принимает соответствующие меры относительно тех IP-адресов, которые подают определенные признаки вредоносного поведения.
http://www.fail2ban.org/wiki/index.php/Main_Page
SSHGuard - программное обеспечение для защиты служб в дополнении к SSH, написанное на C.
https://www.sshguard.net/
Lynis - инструмент проверки и контроля за безопасностью с открытым исходным кодом для Linux/Unix.
https://cisofy.com/lynis/
Инструменты сетевой разведки Honey Pot, Honey Net
HoneyPy - HoneyPy представляет собой honeypot с низким и средним взаимодействием. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций.
https://github.com/foospidy/HoneyPy
Conpot - ICS / SCADA Honeypot. Conpot представляет собой небольшую интерактивную серверную систему honeypot, предназначенную для простого развертывания, модификации и расширения. Предоставляя ряд общих протоколов управления производственным процессом, мы создали основы для создания вашей собственной системы, способной эмулировать сложные инфраструктуры, чтобы убедить злоумышленника в том, что он просто нашёл огромный промышленный комплекс
http://conpot.org/
Amun - Amun представляет собой Honeypot на основе Python с низким взаимодействием.
https://github.com/zeroq/amun
Glastopf - это Honeypot, который эмулирует тысячи уязвимостей для сбора данных об атаках, нацеленных на веб-приложения.
http://mushmush.org/
Kippo - это honeypot с взаимодействием SSH среднего уровня, предназначенный для регистрации брутфорс атак и, самое главное, всего взаимодействия оболочки, выполняемого злоумышленником.
https://github.com/desaster/kippo
Kojoney - honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Демон написан на Python, используя библиотеки Twisted Conch.
http://kojoney.sourceforge.net/
HonSSH - представляет собой Honey Pot с высоким взаимодействием. HonSSH будет находиться между атакующим и «медовым горшком» (honey pot), создавая между ними два отдельных SSH-соединения.
https://github.com/tnich/honssh
Bifrozt - это устройство NAT с DHCP-сервером, который обычно развертывается с одним сетевым адаптером, подключенным непосредственно к Интернету, и одним сетевым адаптером, подключенным к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать как прозрачный прокси-сервер SSHv2 между злоумышленником и вашим honeypot.
https://sourceforge.net/projects/bifrozt/
HoneyDrive - главный дистрибутив Linux для honeypot. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предварительно установленных и предварительно сконфигурированных программных пакетов honeypot, таких как honeypot Kippo SSH, приманки для вредоносных программ Dionaea и Amun, honeypot с низким взаимодействием Honeyd, веб-honeypot Glastopf и Wordpot, honeypot SCPAD / ICS Conpot, honeyclients Thug и PhoneyC и другие.
https://bruteforce.gr/honeydrive/
Cuckoo Sandbox - это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого используются пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.
https://cuckoosandbox.org/
Захват сетевых пакетов. Системы форензики
tcpflow - это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков), и сохраняет данные таким образом, который удобен для анализа и отладки протокола.
https://github.com/simsong/tcpflow
Xplico - целью Xplico является извлечение из интернет-трафика данных приложений. Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), всё содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевых протоколов. Xplico - это инструмент криминалистического анализа с открытым исходным кодом (NFAT).
https://www.xplico.org/
Moloch - перехватчик пакетов IPv4 с открытым исходным кодом (packet capturing (PCAP)), с индексированием и системами баз данных. Простой веб-интерфейс предоставляется для просмотра, поиска и экспорта PCAP. Отображаются API-интерфейсы, которые позволяют напрямую загружать данные PCAP и JSON-данные сеанса. Простая безопасность реализована с помощью поддержки пароля HTTPS и HTTP-дайджеста или посредством использования apache. Moloch не предназначен для замены движка IDS, а вместо этого работает вместе с ними для хранения и индексирования всего сетевого трафика в стандартном формате PCAP, обеспечивая быстрый доступ. Moloch создан для развертывания во многих системах и может увеличивать свою производительность для обработки нескольких гигабит трафика в секунду.
https://github.com/aol/moloch
OpenFPC - это набор инструментов, которые объединяются для предоставления легкого полнополосного сетевого регистратора трафика и системы буферизации. Цель проекта – дать возможность пользователям, не являющимся экспертами, развернуть распределенный сетевой трафик-рекордер на оборудовании COTS при интеграции в существующие средства управления логами и предупреждениями.
http://www.openfpc.org/
Dshell - является сетью для криминалистического анализа. Позволяет быстро разрабатывать плагины для поддержки разбиения захватов сетевых пакетов.
https://github.com/USArmyResearchLab/Dshell
stenographer - предназначен для захвата пакетов, целью которого является быстрое свертывание всех их на диск, а затем обеспечение простого и быстрого доступа к различного рода подмножествам этих пакетов.
https://github.com/google/stenographer
OpenVAS - представляет собой структуру нескольких сервисов и инструментов, предлагающих комплексное и мощное решение для проверки уязвимостей и управления уязвимостями.
https://www.openvas.org/
Metasploit Framework - инструмент для разработки и выполнения кода эксплойта против удалённой целевой машиной. Другие важные подпроекты включают в себя базу данных Opcode, архив shellcode и соответствующие исследования.
https://github.com/rapid7/metasploit-framework
pig - инструмент для обработки пакетов Linux.
https://github.com/rafael-santiago/pig
Scapy - программа и библиотека интерактивных пакетных манипуляций на основе python.
https://github.com/secdev/scapy
Pompem - инструмент с открытым исходным кодом, который предназначен для автоматизации поиска эксплойтов в основных базах данных. Разработанный на основе Python, он имеет систему расширенного поиска, что облегчает работу пентестеров, а также этичных хакеров. В своей текущей версии выполняет поиск в базах данных: Exploit-db, 1337day, Packetstorm Security…
https://github.com/rfunix/Pompem
Nmap - является бесплатной и утилитой с открытым исходным кодом для исследования сети и проверки безопасности.
https://nmap.org
Сетевой мониторинг, сбор данных из открытых источников
Justniffer - это анализатор сетевых протоколов, который фиксирует сетевой трафик и создаёт журналы в индивидуальном порядке, может эмулировать лог файлы веб-сервера Apache, отслеживать время ответа и извлекать все «перехваченные» файлы из HTTP-трафика.
http://justniffer.sourceforge.net
ngrep - ngrep стремится предоставить большинство общих функций GNU grep, применяя их на сетевом уровне. ngrep- это инструмент, поддерживающий pcap, который позволит вам указывать расширенные регулярные или шестнадцатеричные выражения, чтобы они соответствовали пейлоадам данных пакетов. В настоящее время он распознает IPv4 / 6, TCP, UDP, ICMPv4 / 6, IGMP и Raw через Ethernet, PPP, SLIP, FDDI, Token Ring и нулевые интерфейсы, а также понимает логику фильтра BPF так же, как и более распространенные инструменты вроде tcpdump и snoop.
https://github.com/jpr5/ngrep/
passivedns - инструмент для пассивного сбора записей DNS для того, чтобы помочь обработке различного рода инцидентов, мониторингу сетевой безопасности (NSM) и общей цифровой криминалистике. PassiveDNS исследует трафик с интерфейса или считывает файл pcap и выводит ответы DNS-сервера в файл журнала. PassiveDNS может кэшировать/объединять дубликаты DNS-ответов в памяти, ограничивая количество данных в лог-файле, без потери сути в ответе DNS.
https://github.com/gamelinux/passivedns
Sagan - использует движок «Snort like» и правила для анализа журналов (syslog/event log/snmptrap/netflow/etc).
http://sagan.quadrantsec.com/
Node Security Platform - Имеет подобный набор функций как Snyk, но является бесплатным в большинстве случаев и очень дешёвым для другого рода случаев.
https://www.npmjs.com/
Ntopng - это исследователь сетевого трафика, который показывает использование сети, подобно тому, что делает популярная команда в Unix.
https://www.ntop.org/products/traffic-analysis/ntop/
Fibratus - это инструмент для исследования и отслеживания ядра Windows. Он способен захватывать большую часть активности ядра Windows - процесс создания и завершения процессов/потоков, ввода/вывода файловой системы, реестра, сетевой активности, загрузки/выгрузки DLL и многого другого. Fibratus имеет очень простой CLI, который инкапсулирует механизмы для запуска коллектора событий ядра, устанавливает фильтры событий ядра или запускает легкие модули Python, называемые волокнами (filaments).
https://github.com/rabbitstack/fibratus
Системы противодействия вторжениям и защиты
Snort - это система предотвращения вторжений в сеть с открытым исходным кодом (NIPS) и система обнаружения сетевых вторжений (NIDS), созданная Мартином Рошем (Martin Roesch) в 1998 году. Snort теперь разрабатывается Sourcefire, где Рош является основателем и техническим директором. В 2009 году Snort вошла в Зал славы InfoWorld в качестве одного из «самых больших проектов программного обеспечения с открытым исходным кодом за всё время».
https://www.snort.org/
Bro - мощный фреймворк сетевого анализа, который сильно отличается от типичных IDS, которые вы можете знать.
https://zeek.org/
OSSEC - расшифровывается как Comprehensive Open Source HIDS. Не для слабонервных. Потребуется немало времени, чтобы понять, как он работает. Он способен выполнять анализ журнала, проверку целостности файлов, обнаружение руткитов, и предоставляет оповещение в реальном времени и активный ответ. Он работает на большинстве операционных систем, включая Linux, MacOS, Solaris, HP-UX, AIX и Windows. Имеется много полезной документации позволяющей вам ознакомиться с его принципами работы.
https://www.ossec.net/
Suricata - это высокопроизводительный сетевой IDS, IPS и механизм мониторинга сетевой безопасности. Имеет открытый исходный код и принадлежит некоммерческому фонду, основанному на сообществе под названием Open Information Security Foundation (OISF). Suricata разрабатывается OISF и поддерживающими ее поставщиками.
https://suricata-ids.org/
Security Onion - это дистрибутив Linux для обнаружения вторжений, мониторинга сетевой безопасности и управления журналами. Он основан на Ubuntu и содержит Snort, Suricata, Bro, OSSEC, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner и многие другие инструменты безопасности. Простой в использовании. Мастер установки позволяет вам создать армию датчиков для вашего предприятия за считанные минуты!
https://blog.securityonion.net/
sshwatch - IPS для SSH, аналогичный DenyHosts, написанный на Python. Он также может собирать информацию о злоумышленнике в журнале во время атаки.
https://github.com/marshyski/sshwatch
Stealth - предоставляет вам проверку целостности файла, которая практически не оставляет следов. Контроллер запускается с другого компьютера, что затрудняет понимание злоумышленником того факта, что файловая система проверяется в определенных псевдослучайных интервалах через SSH.Очень рекомендуется для небольших и средних объемов работы.
https://github.com/marshyski/sshwatch
AIEngine - AIEngine является интерактивным/программируемым движком Python/Ruby/Java/Lua следующего поколения для отслеживания пакетов с возможностями обучения без вмешательства человека, функциональностью NIDS (Network Intrusion Detection System), классификацией доменов DNS, сборщиком сети (network collector), сетевой криминалистикой и многим другим.
https://bitbucket.org/camp0/aiengine
Denyhosts - успешно противостоит SSH атакам перебора по словарю, а также брутфорс атакам.
http://denyhosts.sourceforge.net/
Fail2Ban - сканирует лог файлы и принимает соответствующие меры относительно тех IP-адресов, которые подают определенные признаки вредоносного поведения.
http://www.fail2ban.org/wiki/index.php/Main_Page
SSHGuard - программное обеспечение для защиты служб в дополнении к SSH, написанное на C.
https://www.sshguard.net/
Lynis - инструмент проверки и контроля за безопасностью с открытым исходным кодом для Linux/Unix.
https://cisofy.com/lynis/
Инструменты сетевой разведки Honey Pot, Honey Net
HoneyPy - HoneyPy представляет собой honeypot с низким и средним взаимодействием. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций.
https://github.com/foospidy/HoneyPy
Conpot - ICS / SCADA Honeypot. Conpot представляет собой небольшую интерактивную серверную систему honeypot, предназначенную для простого развертывания, модификации и расширения. Предоставляя ряд общих протоколов управления производственным процессом, мы создали основы для создания вашей собственной системы, способной эмулировать сложные инфраструктуры, чтобы убедить злоумышленника в том, что он просто нашёл огромный промышленный комплекс
http://conpot.org/
Amun - Amun представляет собой Honeypot на основе Python с низким взаимодействием.
https://github.com/zeroq/amun
Glastopf - это Honeypot, который эмулирует тысячи уязвимостей для сбора данных об атаках, нацеленных на веб-приложения.
http://mushmush.org/
Kippo - это honeypot с взаимодействием SSH среднего уровня, предназначенный для регистрации брутфорс атак и, самое главное, всего взаимодействия оболочки, выполняемого злоумышленником.
https://github.com/desaster/kippo
Kojoney - honeypot с низким уровнем взаимодействия, который эмулирует SSH-сервер. Демон написан на Python, используя библиотеки Twisted Conch.
http://kojoney.sourceforge.net/
HonSSH - представляет собой Honey Pot с высоким взаимодействием. HonSSH будет находиться между атакующим и «медовым горшком» (honey pot), создавая между ними два отдельных SSH-соединения.
https://github.com/tnich/honssh
Bifrozt - это устройство NAT с DHCP-сервером, который обычно развертывается с одним сетевым адаптером, подключенным непосредственно к Интернету, и одним сетевым адаптером, подключенным к внутренней сети. Что отличает Bifrozt от других стандартных устройств NAT, так это его способность работать как прозрачный прокси-сервер SSHv2 между злоумышленником и вашим honeypot.
https://sourceforge.net/projects/bifrozt/
HoneyDrive - главный дистрибутив Linux для honeypot. Это виртуальное устройство (OVA) с установленной версией Xubuntu Desktop 12.04.4 LTS. Он содержит более 10 предварительно установленных и предварительно сконфигурированных программных пакетов honeypot, таких как honeypot Kippo SSH, приманки для вредоносных программ Dionaea и Amun, honeypot с низким взаимодействием Honeyd, веб-honeypot Glastopf и Wordpot, honeypot SCPAD / ICS Conpot, honeyclients Thug и PhoneyC и другие.
https://bruteforce.gr/honeydrive/
Cuckoo Sandbox - это программное обеспечение с открытым исходным кодом для автоматизации анализа подозрительных файлов. Для этого используются пользовательские компоненты, которые отслеживают поведение вредоносных процессов во время работы в изолированной среде.
https://cuckoosandbox.org/
Захват сетевых пакетов. Системы форензики
tcpflow - это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков), и сохраняет данные таким образом, который удобен для анализа и отладки протокола.
https://github.com/simsong/tcpflow
Xplico - целью Xplico является извлечение из интернет-трафика данных приложений. Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), всё содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевых протоколов. Xplico - это инструмент криминалистического анализа с открытым исходным кодом (NFAT).
https://www.xplico.org/
Moloch - перехватчик пакетов IPv4 с открытым исходным кодом (packet capturing (PCAP)), с индексированием и системами баз данных. Простой веб-интерфейс предоставляется для просмотра, поиска и экспорта PCAP. Отображаются API-интерфейсы, которые позволяют напрямую загружать данные PCAP и JSON-данные сеанса. Простая безопасность реализована с помощью поддержки пароля HTTPS и HTTP-дайджеста или посредством использования apache. Moloch не предназначен для замены движка IDS, а вместо этого работает вместе с ними для хранения и индексирования всего сетевого трафика в стандартном формате PCAP, обеспечивая быстрый доступ. Moloch создан для развертывания во многих системах и может увеличивать свою производительность для обработки нескольких гигабит трафика в секунду.
https://github.com/aol/moloch
OpenFPC - это набор инструментов, которые объединяются для предоставления легкого полнополосного сетевого регистратора трафика и системы буферизации. Цель проекта – дать возможность пользователям, не являющимся экспертами, развернуть распределенный сетевой трафик-рекордер на оборудовании COTS при интеграции в существующие средства управления логами и предупреждениями.
http://www.openfpc.org/
Dshell - является сетью для криминалистического анализа. Позволяет быстро разрабатывать плагины для поддержки разбиения захватов сетевых пакетов.
https://github.com/USArmyResearchLab/Dshell
stenographer - предназначен для захвата пакетов, целью которого является быстрое свертывание всех их на диск, а затем обеспечение простого и быстрого доступа к различного рода подмножествам этих пакетов.
https://github.com/google/stenographer
