【有 空 看 看】

 

 

在nmap-hackers邮件列表中做出的评选，因此没有把nmap安全扫描器（http://www.insecure.org/nmap/）评选在内。这次评选出来的75个最佳安全工具在网络安全领域都是一些很有代表性的软件，对于那些在网络安全方面不知从何处开始的新手们来说，这对他们有相当的参考价值。

工具：Nessus（最好的开放源代码风险评估工具）

网址：http://www.nessus.org/

类别：开放源码

平台：Linux/BSD/Unix

简介：Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的GTK界面，能够完成超过1200项的远程安全检查，具有强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并且会为每一个发现的安全问题提出解决建议。

 

工具：Ethereal（网络协议检测工具）

网址：http://www.ethereal.com/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

工具：Snort（免费的入侵检测系统）

网址：http://www.snort.org/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Snort是一款轻量级的网络入侵检测系统，能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配，而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略，并且提供一个模块化的探测引擎。

工具：Netcat（网络瑞士军刀）

网址：http://www.atstake.com/research/tools/network_utilities/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能。

工具：TCPDump/WinDump（用于网络监测和数据收集的优秀嗅探器）

网址：http://www.tcpdump.org/，http://windump.polito.it/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。WinDump是Tcpdump在Windows平台上的移植版。

工具：Hping2（类似ping的网络探测工具）

网址：http://www.hping.org/

类别：开放源码

平台：Linux/BSD/Unix

简介：hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式，并且支持IP分片。这个工具在traceroute、ping和探测_blank">防火墙后的主机时特别有用。

工具：DSniff(一流的网络审计和渗透测试工具）

网址：http://naughty.monkey.org/~dugsong/dsniff/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：DSniff是由Dug Song开发的一套包含多个工具的软件套件。其中，dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和 webspy可以用于监视网络上我们感兴趣的数据（如口令、e-mail、文件等），arpspoof、dnsspoof和macof能很容易地载取到攻击者通常难以获取的网络信息（如二层交换数据），sshmitm和webmitm则能用于实现重写SSH和HTTPS会话达到monkey-in-the -middle攻击。在http://www.datanerds.net/~mike/dsniff.html可以找到Windows平台上的移植版。

工具：GFI LANguard（商业化的网络安全扫描软件）

网址：http://www.gfi.com/lannetscan/

类别：商业

平台：Windows

简介：LANguard扫描网络并且得出诸如每台机器的服务包等级、缺少的安全补丁、打开的共享、开放的端口、正在运行的服务和应用程序、注册表键值、弱口令、用户和组等扫描信息的报告。扫描结果输出为一个HTML格式的报告，报告能够自定义。

工具：Ettercap（为你的交换环境提供更多的安全）

网址：http://ettercap.sourceforge.net/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Ettercap是一款以太网环境下的网络监视、拦载和记录工具，支持多种主动或被动的协议分析（甚至跟加密相关的SSH、HTTPS等），有数据插入、过滤、保持连接同步等多种功能，也有一个能支持多种嗅探模式的、强大而完整的嗅探套件，支持插件，能够检查网络环境是否是交换局域网，并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况。

工具：Whisker/Libwhisker（CGI缺陷扫描软件和库）

网址：http://www.wiretrip.net/rfp/p/doc.asp/d21.htm

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Whisker是一款非常好的HTTP服务器缺陷扫描软件，能扫描出大量的已知安全漏洞，特别是些危险的CGI漏洞。Libwhisker是一个用perl编写的由Whiskerr使用的程序库，通过它你可以创建自己HTTP扫描器。

工具：John the Ripper（格外强大、灵活、快速的多平台哈希口令破解器）

网址：http://www.openwall.com/john/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：John the Ripper是一个快速的口令破解器，支持多种操作系统，如Unix、DOS、Win32、BeOS和OpenVMS等。它设计的主要目的是用于检查 Unix系统的弱口令，支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型，也支持Kerberos AFS和Windows NT/2000/XP LM哈希等。

工具：OpenSSH/SSH（访问远程计算机的一种安全方法）

网址：http://www.openssh.com/，http://www.ssh.com/commerce/index.html

类别：开放源码/商业

平台：Linux/BSD/Unix/Windows

简介：SSH（Secure Shell）是一款用来登录远程服务器并在远程服务器上执行命令的程序，在缺少安全防护的网络上它能给两台互不信任的主机间提供安全可靠的加密通讯。X11连接和其他任意的TCP/IP端口连接都可以通过SSH进行数据封装转发到一个安全的通道里。SSH开发的本意是用于代替rlogin、rsh和rcp这些不安全的程序，以及为rdist和rsync提供安全通道。需要注意的是，OpenSSH是SSH的替代软件，SSH对于某些用途是要收费的，但OpenSSH总是免费。

工具：Sam Spade（Windows平台上的免费网络查询工具）

网址：http://www.samspade.org/ssw/

类别：免费软件

平台：Windows

简介：SamSpade提供了一个友好的GUI界面，能方便地完成多种网络查询任务，它开发的本意是用于追查垃圾邮件制造者，但也能用于其它大量的网络探测、网络管理和与安全有关的任务，包括ping、nslookup、whois、dig、traceroute、finger、raw HTTP web browser、DNS zone transfer、SMTP relay check、website search等工具，在它的网站还有大多数查询工具的一个在线版本（http://www.samspade.org/t/）。

工具：ISS Internet Scanner（应用层风险评估工具）

网址：http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php

类别：商业

平台：Windows

简介：互联网扫描器（Internet Scanner）始于1992年一个小小的开放源代码扫描器，它是相当不错的，但价格昂贵，使用开源软件Nessus来代替它也是一个不错的选择。

 

工具：Tripwire（功能强大的数据完整性检查工具）

网址：http://www.tripwire.com/

类别：商业

平台：Linux/BSD/Unix/Windows

简介：Tripwire是一款文件和目录完整性检查工具，它能帮助系统管理员和用户监视一些重要文件和目录发生的任何变化。通过制定一些基本的系统策略，在文件遭到破坏或篡改时由Tripwire通知系统管理员，从而能及时地做出处理。Tripwire的商业版本非常昂贵，在Tripwire.Org网站有一个免费的开放源代码的Linux版本，UNIX用户也可能需要考虑AIDE（http://www.cs.tut.fi/~rammer/aide.html），它是Tripwire的免费替代品。

工具：Nikto（一款非常全面的web扫描器）

网址：http://www.cirt.net/code/nikto.shtml

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Nikto是一款能对web服务器多种安全项目进行测试的扫描软件，能在200多种服务器上扫描出2000多种有潜在危险的文件、CGI及其他问题。它也使用LibWhiske库，但通常比Whisker更新的更为频繁。

工具：Kismet（强大的无线嗅探器）

网址：http://www.kismetwireless.net/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Kismet是一款802.11b网络嗅探和分析程序，功能有：支持大多数无线网卡，能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测，能通过Cisco Discovery协议列出Cisco设备，弱加密数据包记录，和Ethereal、tcpdump兼容的数据包dump文件，绘制探测到的网络图和估计网络范围。

工具：SuperScan（Windows平台上的TCP端口扫描器）

网址：http://www.foundstone.com/index.htm?subnav=resources/

navigation.htm&subcontent=/resources/proddesc/superscan.htm

类别：免费

平台：Windows

简介：SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具，能较容易地做到对指定范围内的IP地址进行ping和端口扫描。源代码不公开。

工具：L0phtCrack 4（Windows口令审计和恢复程序）

网址：http://www.atstake.com/research/lc/

类别：商业

平台：Linux/BSD/Unix/Windows

简介：L0phtCrack试图根据从独立的Windows NT/2000工作站、网络服务器、主域控制器或Active Directory上正当获取或者从线路上嗅探到的加密哈希值里破解出Windows口令，含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。

工具：Retina（eEye公司的风险评估扫描工具）

网址：http://www.eeye.com/html/Products/Retina/index.html

类别：商业

平台：Windows

简介：像上面提到的Nessus和ISS Internet Scanner一样，Retina的功能也是用于扫描网络内所有的主机并且报告发现的每一个缺陷。

工具：Netfilter（当前Linux内核采用的包过滤_blank">防火墙）

网址：http://www.netfilter.org/

类别：开放源码

平台：Linux

简介：Netfilter是一款功能强大的包过滤_blank">防火墙，在标准的Linux内核内得到实现，iptables是 _blank">防火墙配置工具。它现在支持有状态或无状态检测的包过滤，支持所有种类的NAT和包分片。相应的，对于非Linux平台上的 _blank">防火墙，OpenBSD平台上有pf，UNIX平台上有ipfilter，Windows平台上有Zone Alarm个人_blank">防火墙。

工具：traceroute/ping/telnet/whois（基本命令）

网址：

类别：免费

平台：Linux/BSD/Unix/Windows

简介：当我们使用大量的高水平的工具来辅助安全审计工作时，别忘了这几个最基本的工具。我们每个人都应非常熟悉这几个工具的用法，几乎所有的操作系统上都附带有这几个工具，不过Windows平台上没有whois工具，并且traceroute改名为tracert。

工具：Fport（增强的netstat）

网址：http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm

类别：免费

平台：Windows

简介：Fport能显示主机上当前所有打开的TCP/IP、UDP端口和端口所属的进程，因此通过使用它能即刻发现未知的开放端口和该端口所属的应用程序，是一款查找木马的好工具。不过，Fport仅支持Windows系统，在许多UNIX系统上有一个netstat命令实现类似功能，Linux系统上用“netstat -pan”命令。源代码不公开。

工具：SAINT（安全管理员的综合网络工具）

网址：http://www.saintcorporation.com/saint/

类别：商业

平台：Linux/BSD/Unix

简介：Saint是一款商业化的风险评估工具，但与那些仅支持Windows平台的工具不同，SAINT运行在UNIX类平台上，过去它是免费并且开放源代码的，但现在是一个商业化的产品。

工具：Network Stumbler（免费的Windows平台802.11嗅探器）

网址：http://www.stumbler.net/

类别：免费

平台：Windows

简介：Netstumbler是最有名的寻找无线接入点的工具，另一个支持PDA的WinCE平台版本叫Ministumbler。这个工具现在是免费的，仅仅支持Windows系统，并且源代码不公开，而且该软件的开发者还保留在适当的情况下对授权协议的修改权。UNIX系统上的用户可以使用Kismet来代替。

工具：SARA（安全管理员的辅助工具）

网址：http://www-arc.com/sara/

类别：开放源码

平台：Linux/BSD/Unix

简介：SARA是一款基于SATAN安全扫描工具开发而来的风险评估工具，每月更新两次。

工具：N-Stealth（web服务器扫描工具）

网址：http://www.nstalker.com/nstealth/

类别：商业

平台：Windows

简介：N-Stealth是一款商业化的Web服务器安全扫描软件，通常它比whisker、nikto等免费的web扫描器升级的更为频繁。N-Stealth开发商宣称的“超过20,000条的缺陷和 exploit数据”和“每天新增大量的缺陷检查”是非常可疑的。我们也要注意到，在nessus、ISS、Retina、SAINT和SARA等所有常见的风险评估工具里已含有web扫描组件，不过它们可能没有N-Stealth这样灵活易用和更新频繁。n-stealth不公开源代码。

工具：AirSnort（802.11 WEP密码破解工具）

网址：http://airsnort.shmoo.com/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：AirSnort是一款无线局域网密钥恢复工具，由Shmoo小组开发。它监视无线网络中的传输数据，当收集到足够多的数据包时就能计算出密钥。

工具：NBTScan（从Windows网络上收集NetBIOS信息）

网址：http://www.inetcat.org/software/nbtscan.html

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：NBTscan是一个用于扫描网络上NetBIOS名字信息的程序。这个程序对给出范围内的每一个地址发送NetBIOS状态查询，并且以易读的表格列出接收到的信息，对于每个响应的主机，它列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。

工具：GnuPG/PGP（保护你的文件和通信数据的先进加密程序）

网址：http://www.gnupg.org/，http://www.pgp.com/

类别：开放源码/商业

平台：Linux/BSD/Unix/Windows

简介：PGP是由Phil Zimmerman开发的著名加密程序，它使用公钥加密算法和常规的加密技术相结合，能将加密后的文件安全地从一地传递到另一地，从而保护用户的数据免于窃听或其他的安全风险。GnuPG是遵照PGP标准开发的开源程序，不同的是，GnuPG是永远免费的，而PGP对于某些用途要收费。

工具：Firewalk（高级的traceroute）

网址：http://www.packetfactory.net/projects/firewalk/

类别：开放源码

平台：Linux/BSD/Unix

简介：Firewalk使用类似traceroute的技术来分析IP包的响应，从而测定网关的访问控制列表和绘制网络图。2002年10月，这个一流的工具在原来的基础上进行了重新开发。需要注意到的是，Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。

工具：Cain & Abel（穷人的L0phtcrack）

网址：http://www.oxid.it/cain.html

类别：免费

平台：Windows

简介：Cain & Abel是一个针对Microsoft操作系统的免费口令恢复工具。它通过如下多种方式轻松地实现口令恢复：网络嗅探、破解加密口令（使用字典或强行攻击）、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。

工具：XProbe2（主动操作系统指纹识别工具）

网址：http://www.sys-security.com/html/projects/X.html

类别：开放源码

平台：Linux/BSD/Unix

简介：XProbe是一款测定远程主机操作系统类型的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来确定远程操作系统的类型，利用ICMP协议进行操作系统指纹识别是它的独到之处。

工具：SolarWinds Toolsets（大量的网络发现、监视、攻击工具）

网址：http://www.solarwinds.net/

类别：商业

平台：Windows

简介：SolarWinds包含大量适合系统管理员做特殊用途的工具，与安全相关的工具包括许多的网络发现扫描器（network discovery scanner）和一个SNMP强力破解器。

工具：NGrep（方便的包匹配和显示工具）

网址：http://www.packetfactory.net/projects/ngrep/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：NGrep在网络层实现了GNU grep的大多数功能，基于pcap，可以使你通过指定扩展的正则表达式或十六进制表达式去匹配网络上的数据流量。它当前能够识别流经以太网、PPP、SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包，并且和其他常见的嗅探工具（如tcpdump和snoop）一样，理解bpf过滤机制。

工具：Perl/Python（脚本语言）

网址：http://www.perl.org，http://www.python.org/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：当我们使用那些已经开发好的安全工具来处理任务时，别忘了能自己写出（或修改）安全程序也是一件非常重要的事情。利用Perl和Python能非常容易地写出用于系统测试、exploit和修补的脚本程序，使用包含Net::RawIP和协议实现等模块的CPAN（Comprehensive Perl Archive Network：http://www.cpan.org/）或类似的档案能帮助我们比较容易地进行相关的开发。

工具：THC-Amap（应用程序指纹识别扫描器）

网址：http://www.thc.org/releases.php

类别：开放源码

平台：Linux/BSD/Unix

简介：由THC开发的Amap是一个功能强大的扫描器，它通过探测端口响应的应用程序指纹数据来识别应用程序和服务，远甚于通过缺省端口号来判断应用程序和服务的方法。

工具：OpenSSL（最为重要的SSL/TLS加密库）

网址：http://www.openssl.org/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：OpenSSL项目是共同努力开发出来的一个健全的、商业级的、全开放的和开放源代码的工具包，用于实现安全套接层协议(SSL v2/v3)和传输层安全协议(TLS v1)以及形成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一起管理，他们使用Internet去交流、设计和开发这个OpenSSL工具和相关的文档。

工具：NTop（网络使用状况监测软件）

网址：http://www.ntop.org/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Ntop是一款显示网络使用状况的流量监测软件，类似于UNIX平台上监视系统进程的top命令。在交互模式下，ntop会将网络的使用状况显示在用户的终端上；在Web模式下，ntop会做为一个web服务器，创建包含网络状况的HTML网页返回给用户。

工具：Nemesis（命令行式的UNIX网络信息包插入套件）

网址：http://www.packetfactory.net/projects/nemesis/

类别：开放源码

平台：Linux/BSD/Unix

简介：Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈，它可以自定义数据包、插入数据包、进行协议攻击等，是一个很好的测试_blank">防火墙、入侵检测系统、路由器和其他网络设备的工具。如果你对Nemesis感兴趣，那么你也可能需要看看hping2，这两者补相互之不足。

工具：LSOF（列出打开的文件）

网址：ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/

类别：开放源码

平台：Linux/BSD/Unix

简介：LSOF是针对Unix的诊断和分析工具，它能显示出由系统里正在运行的进程所打开的文件，也能显示出每一个进程的通讯socket。

工具：Hunt（Linux平台上高级的包嗅探和会话劫持工具）

网址：http://lin.fsid.cvut.cz/~kra/index.html#HUNT

类别：开放源码

平台：Linux

简介：Hunt能监视、劫持、重设网络上的TCP连接，在以太网上使用才有作用，并且含有监视交换连接的主动机制，以及包括可选的ARP转播和劫持成功后的连接同步等高级特征。

工具：Honeyd（你个人的honeynet，http://www.honeynet.org/）

网址：http://www.citi.umich.edu/u/provos/honeyd/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Honeyd是一个能在网络上创建虚拟主机的小小后台程序，虚拟主机能被配置成运行任意的服务，并且洽当的服务TCP特性以致他们看起来就像是运行在某个特定版本的操作系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址，并且可以对虚似主机进行 ping、traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd也可以对一台主机做代理服务，而不是模拟它。

工具：Achilles（可以修改http会话包的代理程序）

网址：http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html

类别：开放源码

平台：Windows

简介：Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器，在一个HTTP会话中扮演着“中间人”（man-in-the-middle）的角色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包，但Achilles却载取发向任一方的HTTP会话数据，并且在转发数据前可以让用户修改这些数据。

工具：Brutus（网络认证的强行破解工具）

网址：http://www.hoobie.net/brutus/

类别：免费

平台：Windows

简介：Brutus是一款对远程服务器的网络服务进行口令猜解的工具，支持字典攻击和组合攻击，支持的网络应用包括HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。UNIX系统上的THC-Hydra有类似的功能。

工具：Stunnel（一个多种用途的SSL加密外壳）

网址：http://www.stunnel.org/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Stunnel程序被设计用来做为本地客户端和远程服务器间的SSL加密外壳。它能在POP2、POP3、IMAP等使用inetd后台进程的服务器上增加SSL功能，并且不会影响到程序源代码。它使用OpenSSL或SSLeay库建立SSL会话连接。

工具：Paketto Keiretsu（极端的TCP/IP）

网址：http://www.doxpara.com/paketto

类别：开放源码

平台：Linux/BSD/Unix

简介：Paketto Keiretsu是一组使用新式的不常见的策略去操作TCP/IP网络的工具集合，开发的最初本意是为了在现有TCP/IP架构里去实现一些功能，但现在已经远远超出了最初的本意。包含的工具有：Scanrand，一个罕见的快速的网络服务和拓朴发现系统；Minewt，一个NAT/MAT路由器；linkcat，把以太网链路做为标准的输入输出；Paratrace，不产生新的连接就能追踪网络路径；Phentropy，使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。

工具：Fragroute（破坏入侵检测系统最强大的工具）

网址：http://www.monkey.org/~dugsong/fragroute/

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Fragroute能够截取、修改和重写向外发送的报文，实现了大部分的IDS攻击功能。Fragroute起重要作用的是一个简单的规则设置语言，以它去实现延迟、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其他一些向目标主机发送数据包的攻击。这个工具开发的本意是去测试入侵检测系统、 _blank">防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet一样，这个优秀的工具也是由Dug Song开发的。

工具：SPIKE Proxy

网址：http://www.immunitysec.com/spikeproxy.html

类别：开放源码

平台：Linux/BSD/Unix/Windows

简介：Spike Proxy是一个开放源代码的HTTP代理程序，用于发现web站点的安全缺陷。它是Spike应用程序测试套件（http://www.immunitysec.com/spike.html）的一部份，支持SQL插入检测、web站点检测、登录表单暴力破解、溢出检测和字典穷举攻击检测等。

工具：THC-Hydra（网络认证的破解工具）

网址：http://www.thc.org/releases.php

类别：开放源码

平台：Linux/BSD/Unix

简介：这个工具能对需要网络登录的系统进行快速的字典攻击，包括FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS等，支持SSL，并且现在是Nessus风险评估工具的一部份。

其他的25个最佳安全工具：

OpenBSD，http://www.openbsd.org/：安全可靠的操作系统。

TCP Wrappers，ftp://ftp.porcupine.org/pub/security/index.html：一流的IP访问控制和日志的实现机制。

pwdump3，http://www.polivec.com/pwdump3.html：获取本地或远程Windows主机的口令哈希，而不管是否安装了syskey。

LibNet，http://www.packetfactory.net/libnet/: 允许程序员去构造和插入网络数据包的高水平开发函数库.

IpTraf，http://cebu.mozcom.com/riker/iptraf/: IP网络监控软件。

Fping，http://www.fping.com/：一次可以ping多个IP地址的扫描程序。

Bastille，linux.org/">http://www.bastille-linux.org/：增强系统安全性的脚本程序，支持Linux, Mac OS X和HP-UX操作系统。

Winfingerprint，http://winfingerprint.sourceforge.net/: 一款基于Win32的高级远程系统扫描器。

TCPTraceroute，http://michael.toren.net/code/tcptraceroute/:使用TCP SYN包实现traceroute的工具。

Shadow Security Scanner，http://www.safety-lab.com/en2/products/1.htm：一款商业化的风险评估工具。

pf，http://www.benzedrine.cx/pf.html：OpenBSD系统内很有特色的包过滤_blank">防火墙。

LIDS，http://www.lids.org/：Linux内核上的入侵检测和入侵防御系统。

hfnetchk，http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/tools/tools/hfnetchk.asp：微软发布的用于检查网络上Windows主机补丁安装情况的工具。

etherape，http://etherape.sourceforge.net/：继流量监测软件etherman之后又一个支持unix的图形化网络状况监测软件。

dig，http://www.isc.org/products/BIND/：Bind附带的DNS查询工具。

Crack/Cracklib，http://www.users.dircon.co.uk/~crypto/：一流的本地口令破解器。

cheops/cheops-ng，http://www.marko.net/cheops/，http://cheops-ng.sourceforge.net/：绘制本地或远程网络的网络图，并且也能识别主机的操作系统类型。

zone alarm，http://www.zonelabs.com/：Windows平台上的个人_blank">防火墙软件。

Visual Route，http://www.visualware.com/visualroute/index.html：获取traceroute/whois数据，并且绘制出数据包经过的网络路线在世界地图上的位置。

The Coroner"s Toolkit (TCT)，http://www.fish.com/tct/：运行于Unix系统上的文件系统检查及紧急修复工具集。

tcpreplay，http://tcpreplay.sourceforge.net/：能把tcpdump或snoop保存下来的流量监测文件在任意点进行回放的工具。

snoop，http://www.spitzner.net/snoop.html：Solaris系统附带的网络嗅探工具。

putty，http://www.chiark.greenend.org.uk/~sgtatham/putty/：Windows平台上优秀的SSH客户端。

pstools，http://www.sysinternals.com/ntw2k/freeware/pstools.shtml：一套用于管理Windows系统的免费命令行工具。

arpwatch，http://www-nrg.ee.lbl.gov/：主要用来检测mac地址和ip地址对应关系的工具.

FreeBSD默认的是C Shell ，不支持函数很痛苦。干脆用perl好了。

 

 

Bourne Shell 最初的UNIX shell是由Stephen R. Bourne于20世纪70年代中期在新泽西的AT&T贝尔实验室编写的，这就是Bourne shell。Bourne shell 是一个交换式的命令解释器和命令编程语言。Bourne shell 可以运行为login shell或者login shell的子shell(subshell)。只有login命令可以调用Bourne shell作为一个login shell。此时，shell先读取/etc/profile文件和$HOME/.profile文件。/etc/profile文件为所有的用户定制环境,$HOME/.profile文件为本用户定制环境。最后，shell会等待读取你的输入。

C Shell Bill Joy于20世纪80年代早期，在Berkeley的加利福尼亚大学开发了C shell。它主要是为了让用户更容易的使用交互式功能，并把ALGOL风格的语法结构变成了C语言风格。它新增了命令历史、别名、文件名替换、作业控制等功能。

有很长一段时间，只有两类shell供人们选择，Bourne shell用来编程，C shell用来交互。为了改变这种状况，AT&T的bell实验室David Korn开发了Korn shell。ksh结合了所有的C shell的交互式特性，并融入了Bourne shell的语法。因此，Korn shell广受用户的欢迎。它还新增了数学计算,进程协作(coprocess)、行内编辑(inline editing)等功能。Korn Shell 是一个交互式的命令解释器和命令编程语言.它符合POSIX——一个操作系统的国际标准.POSIX不是一个操作系统,而是一个目标在于应用程序的移植性的标准——在源程序一级跨越多种平台。

bash是GNU计划的一部分，用来替代Bourne shell。它用于基于GNU的系统如Linux.大多数的Linux(Red Hat, Slackware, Caldera)都以bash作为缺省的shell，并且运行sh时，其实调用的是bash。

POSIX shell 是Korn shell的一个变种. 当前提供POSIX shell的最大卖主是Hewlett-Packard。在HP-UX 11.0 , POSIX shell 就是/bin/sh,而bsh是/usr/old/bin/sh.

各主要操作系统下缺省的shell: AIX 下是Korn Shell. Solaris和FreeBSD缺省的是Bourne shell. HP-UX缺省的是POSIX shell. Linux是Bourne Again shell

 

快速矩阵二维条码―QR码

 

QR Code码是由日本Denso公司于1994年9月研制的一种矩阵二维码符号，它除具有一维条码及其它二维条码所具有的信息容量大、可靠性高、可表示汉字及图象多种文字信息、保密防伪性强等优点外，还具有如下主要特点：

普通的一维条码只能在横向位置表示大约20为的字母或数字信息，无纠错功能，使用时候需要后台数据库的支持，而二维条码是横向纵向都存有信息，可以放入字母、数字、汉字、照片、指纹等大量信息，相当一个可移动的数据库。如果用一维条码与二维条码表示同样的信息，QR二维码占用的空间只是条码1／11的面积。

QR 码 (2D 符号) 在横向和纵向上都包含有信息，而 条码只有一个方向上包含有信息。QR 码能够包含的信息比条码多得多

---

　　QR二维码比其他二维码相比，具有识读速度快、数据密度大、占用空间小的优势。QR码的三个角上有三个寻象图形，使用CCD识读设备来探测码的位置、大小、倾斜角度、并加以解码，实现360读高速识读。每秒可以识读30个含有100个字符QR码。QR码容量密度大，可以放入1817个汉字、7089个数字、4200个英文字母。QR码用数据压缩方式表示汉字，仅用13bit即可表示一个汉字，比其他二维条码表示汉字的效率提高了20%。QR具有4个等级的纠错功能，即使破损或破损也能够正确识读。QR码抗弯曲的性能强，通过QR码中的每隔一定的间隔配置有校正图形，从码的外形来求得推测校正图形中心点与实际校正图形中心点的误差来修正各个模快的中心距离，即使将QR码贴在弯曲的物品上也能够快速识读。QR码可以分割成16个QR码，可以一次性识读数个分割码，适应于印刷面积有限及细长空间印刷的需要。此外微型QR码可以在1厘米的空间内放入35个数字或9个汉字或21个英文字母，适合对小型电路板对ID号码进行采集的需要。

多到 7,089 数字可以被编码（下图为300 个字符或数字被编进这样大小的QR码里面）

---

同样的数据只有条码的十分之一大小

---

超高速识读：
从QR Code码的英文名称Quick Response Code可以看出，超高速识读特点是QR Code码区别于四一七条码、Data Matrix等二维码的主要特性。由于在用CCD识读QR Code码时，整个QR Code码符号中信息的读取是通过QR Code码符号的位置探测图形，用硬件来实现，因此，信息识读过程所需时间很短，它具有超高速识读特点。用CCD二维条码识读设备，每秒可识读30个含有100个字符的QR Code码符号；对于含有相同数据信息的四一七条码符号，每秒仅能识读3个符号；对于Data Martix矩阵码，每秒仅能识读2～3个符号。QR Code码的超高速识读特性是它能够广泛应用于工业自动化生产线管理等领域。

全方位识读：
QR Code码具有全方位（360°）识读特点,这是QR Code码优于行排式二维条码如四一七条码的另一主要特点,由于四一七条码是将一维条码符号在行排高度上的截短来实现的,因此,它很难实现全方位识读,其识读方位角仅为±10°.

能够有效地表示中国汉字、日本汉字：
由于QR Code码用特定的数据压缩模式表示中国汉字和日本汉字，它仅用13bit可表示一个汉字，而四一七条码、Data Martix等二维码没有特定的汉字表示模式，因此仅用字节表示模式来表示汉字，在用字节模式表示汉字时，需用16bit（二个字节）表示一个汉字，因此QR Code码比其它的二维条码表示汉字的效率提高了20%。

编码字符集：
1、数字型数据（数字0～9）；
2、字母数字型数据（数字0～9；大写字母A～Z；9个其他字符：space ，$, %, *, +, -, ., /, ：）；
3、8位字节型数据；
4、日本汉字字符；
5、中国汉字字符（GB 2312对应的汉字和非汉字字符）。

QR Code码符号的基本特性

符号规格 21×21模块（版本1）-177×177 模块（版本40） (每一规格：每边增加4个模块)

数据类型与容量（指最大规格符号版本40-L级）
· 数字数据 :7,089个字符
· 字母数据 :4,296个字符
· 8位字节数据 :2,953个字符
· 中国汉字、日本汉字数据 :1,817个字符

数据表示方法 深色模块表示二进制“1”，浅色模块表示二进制“0”。

纠错能力
· L级：约可纠错7%的数据码字
· M级：约可纠错15%的数据码字
· Q级：约可纠错25%的数据码字
· H级：约可纠错30%的数据码字

结构链接（可选） 可用1-16个QR Code码符号表示一组信息

掩模（固有） 可以使符号中深色与浅色模块的比例接近1：1，使因相邻模块的排列造成译码困难的可能性降为最小。

扩充解释（可选） 这种方式使符号可以表示缺省字符集以外的数据（如阿拉伯字符、古斯拉夫字符、希腊字母等），以及其他解释（如用一定的压缩方式表示的数据）或者对行业特点的需要进行编码。 独立定位功能

QR Code码可高效地表示汉字，相同内容，其尺寸小于相同密度的PDF417条码。目前市场上的大部分条码打印机都支持QR code条码，其专有的汉字模式更加适合我国应用。因此，QR code在我国具有良好的应用前景。

 

 

相关链接

 

smartcl http://smartmontools.sourceforge.net/

fsck

mount

 

1.dmesg出现

(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 1f 0 0 80 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f143 csi:2a,c4,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 43 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f143 csi:2a,c4,23,8e asc:16,0
(da2:mpt0:0:3:0): Data synchronization mark error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 44 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f144 csi:2a,c8,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 45 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f145 csi:2a,cc,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 46 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f146 csi:2a,d0,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 47 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f147 csi:2a,d4,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 48 0 0 1 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f148 csi:2a,d8,23,8e asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 fe 1f 0 0 80 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131fe7e csi:2e,f0,23,91 asc:11,0
(da2:mpt0:0:3:0): Unrecovered read error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 1f 0 0 80 0
(da2:mpt0:0:3:0): MEDIUM ERROR info:131f143 csi:2a,c4,23,8e asc:16,0
(da2:mpt0:0:3:0): Data synchronization mark error sks:80,1e3
(da2:mpt0:0:3:0): READ(10). CDB: 28 0 1 31 f1 43 0 0 1 0

磁盘故障，有坏道。

 

#fsck -p /dev/da2s1a

#fsck -y /dev/da2s1a

#mount -f /dev/da2s1a /broot

 

 

 

fsck 命令

用途

检查文件系统的一致性并且以交互方式修复文件系统。

语法

fsck [ -n ] [ -p ] [ -y ] [ -dBlockNumber ] [ -f ] [ -ii-NodeNumber ] [ -o Options ] [ -tFile ] [ -V VfsName ] [ FileSystem1 - FileSystem2 ... ]

描述

1. 对于一个已经安装好了的文件系统，fsck 命令不会做出矫正。
2. fsck 命令出于某些原因可以在一个已经安装好了的文件系统中运行，但不是进行修复。但是当文件系统安装完毕之后，也许会返回不准确的错误消息。

fsck 命令检查并以交互方式修复不连贯的文件系统。在安装文件系统之前，应该运行这个命令。您必须能够读设备文件，在这个设备上驻留着文件系统（例如/dev/hd0 设备）。通常，文件系统是连贯的，fsck 命令仅仅是报告文件系统中文件的数量、被使用的块和空闲的块。如果文件系统是不连贯的，fsck 命令显示关于那些找到的不连贯性的信息并且提示您修复它们的许可。

fsck 命令在修复中是有保留的并且会尽力避免那些可能导致有效数据丢失的动作。在特定的情况下，fsck 命令会建议破坏已经损坏的文件。如果您不允许 fsck 命令进行必要的修复，那么或许会产生一个不连贯的文件系统。安装一个不连贯的文件系统也许会导致系统的崩溃。

如果 JFS2 文件系统有快照，fsck 命令将试图保留这些快照。如果此操作失败，则无法保证快照包含来自捕捉到的文件系统的全部先前就存在的映像。fsck 命令将删除这些快照和快照逻辑卷。

如果您不用 FileSystem 参数指定文件系统，fsck 命令将会检查在/etc/filesystems中列出的所有文件系统，文件的check属性将全部设为 True。您可以通过在每一节中加入一行启用这种检查，如下所示：

check=true

fsck 命令可以在多文件系统中进行同步的检查动作。这个过程可以减少检查大量文件系统所需的时间。当文件系统被指定为参数的一部分的时候，采用负号“-”来分隔这些文件系统。

您也可以通过在 /etc/filesystems 文件中将文件系统分组来进行多文件系统的同步检查工作。为了做这项工作，在/etc/filesystems 文件中修改 check属性，如下所示：

check=Number

Number参数告诉 fsck 命令哪一组包含特定的文件系统。使用公共记录设备的文件系统应该被放置在同一个组中。每一个组在分隔的平行进程中被检查。文件系统被检查的时候，一次检查一个，以便它们能够在/etc/filesystems文件中被列出。所有的 check=true 的文件系统被分到 1 组。fsck 命令在其它文件系统之前会试着检查根文件系统而不管在命令行中或者 /etc/filesystems 文件中指定的顺序。

fsck 命令检查下列的不连贯性：

• 分配给多个文件的块或者段。
• 包含交叠块或者段数目的索引节点。
• 包含超出范围的块或者段数目的索引节点。
• 在对文件的目录引用数量和文件链接计数之间的差异。
• 非法分配的块或者段。
• 包含在磁盘映射中标记为空闲的块或者段数量的索引节点。
• 包含被破坏的块或者段数目的索引节点。
• 在索引节点中不是最后磁盘地址的段。检查不会被用于压缩文件系统。
• 包含一个段的超过 32KB 段的文件。检查不会被用于压缩文件系统。
• 尺寸检查：
  • 块的不正确数量。
  • 目录的大小不是 512 字节的整数倍。
  这些检查不被用于压缩的文件系统。
• 目录检查：
  • 目录条目包含一个在索引节点映射中被标记为空闲的索引节点号。
  • 超出范围的索引节点号。
  • 点（.）链接丢失或未指向其本身。
  • 点点（..）链接丢失或未指向父目录。
  • 没有引用的文件或者不可到达的目录。
• 不连贯的磁盘映射。
• 不连贯的索引节点映射。

如果您允许，那些孤立的文件和目录（那些无法到达的）可以通过将它们加到在文件系统根目录下的 lost+found 子目录下面使它们重新连接起来。指定的名称是索引节点号。如果您不允许 fsck 命令重新配属一个孤立的文件，它会请求破坏这个文件的许可。

除了它的消息之外，fsck 命令会通过它的出口值来记录检查和修复的结果。这个出口值可能是下列情况的任意和:

0	所有被检查的文件系统现在都好了。
2	fsck 命令在结束检查或修复之前被中断了。
4	fsck 命令改变了文件系统；用户必须立即重新启动系统。
8	文件系统包含没有修复的损坏部分。

当系统从磁盘进行引导，引导过程会很明确的运行 fsck 命令，以 //usrx、/var、/tmp 文件系统中的 -f 和 -p 标志指定。如果没有成功的在这些文件系统之一执行 fsck 命令，系统不会引导。在这样的系统引导之前，从可删除的介质引导并进行维护工作将会被需要。

如果 fsck 命令成功的在/、/usr、/var 和 /tmp中运行, 正常的系统初始化将会继续进行。在正常的系统初始化过程中，fsck 命令同 -f 和 -p 标志一同指定，从/ etc/rc 文件中运行。这个命令序列检查所有的文件系统，在其中check属性设成了 True（ check=true）。如果 fsck 命令从 /etc/rc 文件中执行，命令不能保证文件系统的连贯性，系统初始化继续进行。任何不连贯文件系统的安装也许会失败。安装失败也许会导致系统不完全的初始化。

您可以使用在基于 Web 的系统管理器 (wsm) 中的文件系统 应用程序来改变文件系统的特征。您也可以系统管理界面程序（SMIT）smit fsck 快速路径来运行这个命令。

标志

-d BlockNumber	搜索指定磁盘块的参考。无论 fsck 命令遇到包含特定块的文件，它将会显示索引节点号和所有指向它的路径名称。对于 JFS2 文件系统，引用指定模块的索引节点号将会被显示，但是不是它们的路径名称。
-f	进行快速检查。在正常情况下，通过非正确方式关闭系统来停机仅有的文件系统很可能被影响，这个文件系统就是当系统停止时在安装的那些。 -f 标志会提示 fsck 命令不要检查没有成功安装的文件系统。fsck 命令通过检查文件系统超级块中的 s_fmod 标志来决定这件事。 当文件系统没有成功安装的时候，无论何时文件系统被安装和被清除，这个标志都将被设定。如果文件系统被成功的卸载，这不大可能会存在什么问题。因为多数文件系统没有成功安装，不检查这些文件系统能减少检查时间。
-i i-NodeNumber	搜索指定索引节点的参考。无论何时 fsck 命令遇到一个指向指定索引节点的目录，它都会显示这个参考的完整路径名称。
-n	对 fsck 命令所提出的所有问题给出一个no的回应；不打开指定的文件系统来写。
-o 选项	向 fsck 命令传递逗号分隔的选项。这些选项被认为是文件系统的实现细节，除了下面目前为了所有文件系统而当前被支持的选项： mountable 如果有问题的文件系统可安装（清除），促使 fsck 命令成功的退出，返回一个“0”值。如果文件系统不可安装，fsck 命令退出并返回一个值“8”。 mytype 如果存在问题的文件系统与在 /etc/filesystems 文件中或者在命令行中通过 -V 标志指定的具有相同的类型，那么促使 fsck 命令退出并给出一个成功的“0”值。否则，返回一个值“8”。例如，如果/（引导文件系统）是一个分类文件系统，那么 fsck 命令 -o mytype -V jfs / 会退出给出一个“0”值。
-p	不显示次要问题的消息但是自动修复问题。这个标志并不是象-y 标志那样授予大规模许可，当系统正常启动的时候对自动进行检查工作有用。无论系统在何时自动运行，您应该将这个标志作为系统启动过程的一部分来使用。也允许并行分组检查。如果主要的超级块损坏了，次要的超级块就被验证，并且复制到主要的高级块中。
-t文件	如果 fsck 命令得不到足够的内存来保存它的表的话，在文件系统中作为一个临时文件而不是被检查的文件来指定File参数。如果没有指定 -t 标志，那么 fsck 命令需要一个临时文件，它会提示您给这个临时文件起名字。但是，如果指定了 -p 标志，fsck 命令是不成功的。如果临时文件不是一个特定的文件，当 fsck 命令结束的时候，它就会被删除。
-V VfsName	使用为文件系统由VFSName变量指定的虚拟文件系统的描述，而不是用 /etc/filesystems 文件决定描述。如果-V VfsName 标志没有在命令行中指定，就会检查 /etc/filesystems 文件并且 vfs= 匹配节的特性被认为是正确的文件系统类型。
-y	对所有 fsck命令提出的所有问题假定一个“yes”的响应。这个标志使 fsck 命令采取它认为必要的行动。仅在损坏严重的文件系统中使用这个标志。

示例

1. 为了检查所有的缺省文件系统，请输入：

   fsck

   这个命令检查在 /etc/filesystems 文件中所有标记 check=true 的文件系统。fsck 命令这种形式在对文件系统做出任何更改之前会向您请求许可。

2. 为了利用缺省的文件系统自动修复较次要的问题，请输入：

   fsck -p

3. 为了检查一个特定的文件系统，请输入：

   fsck /dev/hd1

   这个命令检查位于 /dev/hd1 设备上的未安装的文件系统。

文件

/usr/sbin/fsck	包含 fsck 命令。
/etc/filesystems	列出已知的文件系统并且定义它们的特征。
/var/spool/mail/*	包含虚拟文件系统类型的描述。
/usr/bin/from	包含当系统启动的时候运行的命令（包括 fsck 命令）。

相关信息

dfsck 命令、fsdb 命令、istat 命令、mkfs 命令、ncheck 命令、rc 命令和 shutdown 命令。

filesystems文件、filsys.h 文件。