安全工具研究

一、安全工具簡介

1. Wireshrak

• 簡介
  ??Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，並盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。
  ??網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網絡上，並將電線替換成網絡線。在過去，網絡封包分析軟件是非常昂貴的，或是專門屬於盈利用的軟件。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟件與其源代碼，並擁有針對其源代碼修改及客制化的權利。Ethereal是目前全世界最廣泛的網絡封包分析軟件之一。
• 應用
  ??網絡管理員使用Wireshark來檢測網絡問題，網絡安全工程師使用Wireshark來檢查資訊安全相關問題，開發者使用Wireshark來為新的通訊協定除錯，普通使用者使用Wireshark來學習網絡協定的相關知識。當然，有的人也會“居心叵測”的用它來尋找一些敏感信息。
  ??Wireshark不是入侵偵測系統（Intrusion Detection System,IDS）。對於網絡上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark擷取的封包能夠幫助使用者對於網絡行為有更清楚的了解。Wireshark不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上。
  
• 發展簡史
  ??1997年底，GeraldCombs需要一個能夠追蹤網絡流量的工具軟件作為其工作上的輔助。因此他開始撰寫Ethereal軟件。Ethereal在經過幾次中斷開發的事件過後，終於在1998年7月釋出其第一個版本v0.2.0。自此之後，Combs收到了來自全世界的修補程式、錯誤回報與鼓勵信件。Ethereal的發展就此開始。不久之後，GilbertRamirez看到了這套軟件的開發潛力並開始參予低階程式的開發。1998年10月，來自NetworkAppliance公司的GuyHarris在尋找一套比tcpview（另外一套網絡封包擷取程式）更好的軟件。於是他也開始參與Ethereal的開發工作。1998年底，一位在教授TCP/IP課程的講師RichardSharpe，看到了這套軟件的發展潛力，而後開始參與開發與加入新協定的功能。在當時，新的通訊協定的制定並不復雜，因此他開始在Ethereal上新增的封包擷取功能，幾乎包含了當時所有通訊協定。
  
  ??自此之後，數以千計的人開始參與Ethereal的開發，多半是因為希望能讓Ethereal擷取特定的，尚未包含在Ethereal默認的網絡協定的封包而參與新的開發。2006年6月，因為商標的問題，Ethereal更名為Wireshark。

2.Metasploit

• 簡介
  ??Metasploit是一個免費的、可下載的框架，通過它可以很容易地獲取、開發並對計算機軟件漏洞實施攻擊。它本身附帶數百個已知軟件漏洞的專業級漏洞攻擊工具。當H.D. Moore在2003年發布Metasploit時，計算機安全狀況也被永久性地改變了。仿佛一夜之間，任何人都可以成為黑客，每個人都可以使用攻擊工具來攻擊那些未打過補丁或者剛剛打過補丁的漏洞。軟件廠商再也不能推遲發布針對已公布漏洞的補丁了，這是因為Metasploit團隊一直都在努力開發各種攻擊工具，並將它們貢獻給所有Metasploit用戶。
  ??Metasploit的設計初衷是打造成一個攻擊工具開發平臺，本書稍後將講解如何開發攻擊工具。然而在目前情況下，安全專家以及業余安全愛好者更多地將其當作一種點幾下鼠標就可以利用其中附帶的攻擊工具進行成功攻擊的環境。
• 特點
  ??這種可以擴展的模型將負載控制，編碼器，無操作生成器和漏洞整合在一起，使 Metasploit Framework 成為一種研究高危漏洞的途徑。它集成了各平臺上常見的溢出漏洞和流行的 shellcode ，並且不斷更新。最新版本的 MSF 包含了750多種流行的操作系統及應用軟件的漏洞，以及224個 shellcode 。作為安全工具，它在安全檢測中用著不容忽視的作用，並為漏洞自動化探測和及時檢測系統漏洞提供了有力保障。
  ??Metasploit自帶上百種漏洞，還可以在online exploit building demo（在線漏洞生成演示）上看到如何生成漏洞。這使自己編寫漏洞變得更簡單，它勢必將提升非法shellcode的水平，並且擴大網絡陰暗面。與其相似的專業漏洞工具，如Core Impact和Canvas已經被許多專業領域用戶使用。Metasploit降低了使用的門檻，將其推廣給大眾。
  
• 發展簡史
  ??2004年8月，在拉斯維加斯開了一次世界黑客交流會---黑帽簡報（Black Hat Briefings). 在這個會議上，一款叫Metasploit 的攻擊和滲透工具備受眾黑客關註，出盡了風頭。
  ??Metasploit 是同 HD Moore 和 Spoonm 等4名年輕人開發的，這款免費軟件可以幫助黑客攻擊和控制計算機，安全人員也可以利用 Metasploit 來加強系統對此類工具的攻擊。Metasploit 的演示吸引了來自“美國國防部”和“國家安全局”等政府機構的眾多安全顧問和個人，正如 Spoonm 在演講中所說的, Metasploit 很簡單，只需要求“找到目標，單擊和控制”即可。
  ??2004年 Metasploit 的發布在安全界引發了強烈的“地震”。沒有一款新工具能夠一發布就能擠進此列表的15 強（也就是說，2000年和2003年的調查沒有這種情況），更何況此工具在5強之列，超過很多廣為流傳的誕生了幾十年的老牌工具。
  ??2005年6月，西雅圖效區的微軟公司總部園區內的管理情報中心，如開了一次“藍帽”會議。幾百名微軟公司的工程師和眾多外界專家及黑客都被邀請進入微軟帝國的中心。在會議中的黑客攻擊演示中，當 Moore 向系統程序員們說明使用 Metasploit 測試系統對抗入侵時的可靠程度時，Metasploit 讓微軟公司的開發人員再次感到不安。在程序員們看來，Metasploit 將會使系統安全面臨嚴重的考驗。
  ??Metasploit Framework (MSF) 在2003年以開放源碼方式發布，是可以自由獲取的開發框架。它是一個強大的開源平臺，供開發，測試和使用惡意代碼，這個環境為滲透測試，shellcode 編寫和漏洞研究提供了一個可靠平臺。
  ??Metasploit框架直到2006年發布的2.7版本都用Perl腳本語言編寫，由於Perl的一些缺陷，開發者於2007年底使用Ruby語言重寫了該框架。到2007年年底，Spoonm和馬特·米勒已經離開了項目。從2008年發布的3.2版本開始，該項目采用新的3段式BSD許可證。
  ??2009年10月21號，漏洞管理解決公司Rapid7收購Metasploit項目。Rapid7承諾成立專職開發團隊，仍然將源代碼置於3段式BSD許可證下。

3.Nessus

• 簡介
  ??Nessus 是目前全世界最多人使用的系統漏洞掃描與分析軟件。總共有超過75,000個機構使用Nessus 作為掃描該機構電腦系統的軟件。
  ??1998年, Nessus 的創辦人 Renaud Deraison 展開了一項名為 "Nessus"的計劃，其計劃目的是希望能為因特網社群提供一個免費、威力強大、更新頻繁並簡易使用的遠端系統安全掃描程序。經過了數年的發展, 包括 CERT 與 SANS 等著名的網絡安全相關機構皆認同此工具軟件的功能與可用性。
  ??2002年時, Renaud 與 Ron Gula, Jack Huffard 創辦了一個名為 Tenable Network Security 的機構。在第三版的Nessus 發布之時, 該機構收回了 Nessus 的版權與程序源代碼 (原本為開放源代碼), 並註冊成為該機構的網站。 目前此機構位於美國馬裏蘭州的哥倫比亞。
• 特色
  ??1.提供完整的電腦漏洞掃描服務, 並隨時更新其漏洞數據庫。
  ??2.不同於傳統的漏洞掃描軟件, Nessus 可同時在本機或遠端上搖控, 進行系統的漏洞分析掃描。
  ??3.其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高。
  ??4.可自行定義插件(Plug-in)
  ??5.NASL(Nessus Attack Scripting Language) 是由 Tenable 所開發出的語言，用來寫入Nessus的安全測試選項。
  ??6.完整支持SSL (Secure Socket Layer)。
  ??7.自從1998年開發至今已諭十年, 故為一架構成熟的軟件。
  ??采用客戶/服務器體系結構，客戶端提供了運行在X window 下的圖形界面，接受用戶的命令與服務器通信，傳送用戶的掃描請求給服務器端，由服務器啟動掃描並將掃描結果呈現給用戶；掃描代碼與漏洞數據相互獨立，Nessus 針對每一個漏洞有一個對應的插件，漏洞插件是用NASL(NESSUS Attack Scripting Language)編寫的一小段模擬攻擊漏洞的代碼，這種利用漏洞插件的掃描技術極大的方便了漏洞數據的維護、更新；Nessus 具有掃描任意端口任意服務的能力；以用戶指定的格式（ASCII 文本、html 等）產生詳細的輸出報告，包括目標的脆弱點、怎樣修補漏洞以防止黑客入侵及危險級別。

4. Snort

• 簡介
  ??在1998年，Marty Roesch先生用C語言開發了開放源代碼(Open Source)的入侵檢測系統Snort.直至今天，Snort已發展成為一個多平臺(Multi-Platform),實時(Real-Time)流量分析，網絡IP數據包(Pocket)記錄等特性的強大的網絡入侵檢測/防禦系統(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共許可(GPL——GNU General Pubic License),在網上可以通過免費下載獲得Snort,並且只需要幾分鐘就可以安裝並開始使用它。snort基於libpcap。
  ??Snort有三種工作模式：嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式僅僅是從網絡上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網絡入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網絡數據流以匹配用戶定義的一些規則，並根據檢測結果采取一定的動作。
• 原理及工作過程
  ??Snort能夠對網絡上的數據包進行抓包分析，但區別於其它嗅探器的是，它能根據所定義的規則進行響應及處理。Snort 通過對獲取的數據包，進行各規則的分析後，根據規則鏈，可采取Activation（報警並啟動另外一個動態規則鏈）、Dynamic（由其它的規則包調用）、Alert（報警），Pass（忽略），Log（不報警但記錄網絡流量）五種響應的機制。
  ??Snort有數據包嗅探，數據包分析，數據包檢測，響應處理等多種功能，每個模塊實現不同的功能，各模塊都是用插件的方式和Snort相結合，功能擴展方便。例如，預處理插件的功能就是在規則匹配誤用檢測之前運行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協議各字段，關閉連接，攻擊響應等功能，輸出插件將得理後的各種情況以日誌或警告的方式輸出。
  ??Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包，抓包時需將網卡設置為混雜模式，根據操作系統的不同采用libpcap或winpcap函數從網絡中捕獲數據包；然後將捕獲的數據包送到包解碼器進行解碼。網絡中的數據包有可能是以太網包、令牌環包、TCP/IP包、802.11包等格式。在這一過程包解碼器將其解碼成Snort認識的統一的格式；之後就將數據包送到預處理器進行處理，預處理包括能分片的數據包進行重新組裝，處理一些明顯的錯誤等問題。預處理的過程主要是通過插件來完成，比如Http預處理器完成對Http請求解碼的規格化，Frag2事務處理器完成數據包的組裝，Stream4預處理器用來使Snort狀態化，端口掃描預處理器能檢測端口掃描的能力等；對數據包進行了解碼，過濾，預處理後，進入了Snort的最重要一環，進行規則的建立及根據規則進行檢測。規則檢測是Snort中最重要的部分，作用是檢測數據包中是否包含有入侵行為。例如規則alert tcp any any ->202.12.1.0/24 80（msg：”misc large tcp packet”；dsize：>3000；）這條規則的意思是，當一個流入202.12.1.0這個網段的TCP包長度超過3000B時就發出警報。規則語法涉及到協議的類型、內容、長度、報頭等各種要素。處理規則文件的時候，用三維鏈表來存規則信息以便和後面的數據包進行匹配，三維鏈表一旦構建好了，就通過某種方法查找三維鏈表並進行匹配和發生響應。規則檢測的處理能力需要根據規則的數量，運行Snort機器的性能，網絡負載等因素決定；最後一步就是輸出模塊，經過檢測後的數據包需要以各種形式將結果進行輸出，輸出形式可以是輸出到alert文件、其它日誌文件、數據庫UNIX域或Socket等。

5. BackTrack

• 簡介
  ??BackTrack是一套專業的計算機安全檢測的Linux操作系統，簡稱BT。BackTrack不僅僅是用來戰爭駕駛，還集成了包括Metasploit等200多種安全檢查工具；此外眾多的RFID工具和對ARM平臺的支持也是一個亮點。BackTrack經過了多年發展，滲透測試並接受來自安全社區前所未有的幫助，BackTrack開始於早期live linux的發行版Whoppix，IWHAX以及auditor，BackTrack被設計成一體化的旨在安全審計用的live cd，現今它是被最廣泛采用的滲透測試框架並被世界各地的安全社區所使用。現在，BackTrack已被Kali Linux所代替，BT將不再維護。
• 發展歷史
  ??BackTrack 4使用了ubuntu8.10 的系統，而且只能裝Debian的軟件包。
  ??BackTrack 5使用了ubuntu10.04的系統。
  ??2011年8月18日，BackTrack發布了BackTrack5 R1，基於ubuntu10.04 LTS(Long-Term Support) 內核為Kernel 2.6.39.4，目前BackTrack的最新版本為2012年8月13日發布的BackTrack5 R3 黑帽子版，內核為Kernel 3.2.6。 [1]
  ??BackTrack經過了多年發展，滲透測試並接受來自安全社區的幫助。
  ??BackTrack開始於早期live linux的發行版Whoppix，IWHAX以及auditor。
  ??BackTrack被設計成一體化的live cd。
• 主要功能
  ??BackTrack是一套專業的計算機安全檢測的Linux操作系統，簡稱BT。目前最新與最好用版本是BT5R3 [2] 。
  ??它能破解WEP，WPA/WPA2加密方式的無線網絡，前提是需要有足夠強大的密碼字典文件。
  ??BT對於基於無線射頻技術的硬件系統有很強的檢測能力。
  密碼破解方面，在以往版本工具的基礎上又加入了基於GPU的破解工具oclhashcat，分別為oclhashcat+(ATI)，oclhashcat+(Nvidia)，破解速度理論上可以達到傳統CPU破解的百倍。
  ??Apache和MySQL都被集成到了系統中，方便使用者搭建LAMP環境進行測試，包含有Injection，XSS，Snort等IDS（入侵檢測系統）工具。

二、詳解Wireshark

三、詳解Metasploit

20189209 《網絡攻防實踐》安全工具研究 （未完）