面向网络工程师的安全工具

做网络工程师或管理员久了，总会反复遇到这些名字：Nmap、Wireshark、tcpdump、Nessus、Greenbone、Burp Suite、Shodan、Suricata、Snort、Kali Linux、Metasploit、Hashcat、Cobalt Strike 等。

有些是基础工具，有些更适合 AppSec、forensics、blue team 或 red team。关键是：安全工具并不会自动变成“黑客工具”。真正决定性质的是授权、目标、文档和使用目的。

本文中的所有例子都只适用于自己的系统、实验室、staging 环境或明确授权的测试。安装示例面向使用 apt 的 Linux。

正确的工作环境

严肃的网络分析不应放在日常笔记本上。更专业的做法是使用专用 Linux 机器、隔离 VM、snapshots、独立实验室和加密的客户数据。

• 日常机器： 沟通、文档、tickets、password manager。
• Linux 分析机： 加密磁盘、packet capture、网络诊断、本地 lab、长时间扫描和足够运行多个 VM 的 RAM。
• 安全 VM： Kali/Parrot 用于 red team/AppSec，Debian/Ubuntu 用于 admin 和 blue team。
• 网络硬件： USB Ethernet、managed switch、VLAN、mirror/SPAN。
• Wi-Fi 硬件： 支持 monitor mode 和 packet injection 的 USB Wi-Fi adapter，仅用于授权测试。
• 隔离实验室： 测试目标、故意脆弱的系统、独立项目文件夹。
• 客户环境： 只有在 approval、scope、时间窗口和联系人明确时才使用。

先区分层级

Tool 完成具体任务。Framework 提供 modules 和 workflows。Platform 汇聚数据、用户和报告。Distribution 是完整工作环境。Concept 如 SIEM 或 IDS/IPS 是解决方案类别。

Visibility：基础

Nmap

sudo apt install nmap
nmap -sV scanme.nmap.org
nmap -Pn -p 22,80,443 scanme.nmap.org
mkdir -p scans
nmap -sV -oA scans/scanme-baseline scanme.nmap.org
nmap -sV 192.168.1.0/24

tcpdump

sudo apt install tcpdump
sudo tcpdump -D
sudo tcpdump -i eth0 -nn port 53
sudo tcpdump -i eth0 -nn host 192.0.2.10
sudo tcpdump -i eth0 -nn -w debug.pcap

Wireshark

sudo apt install wireshark

Wireshark 用于理解 DNS、TLS、TCP、VoIP、SMB、LDAP 和 pcap。

Shodan

Shodan 展示互联网上暴露的系统，帮助理解外部视角。

Censys

Censys 帮助把公开 hosts、certificates 和 services 与内部 inventory 对齐。

Maltego

Maltego 展示 domains、IP、人员、组织和基础设施之间的 OSINT 关系。

theHarvester

theHarvester -d example.com -b crtsh

Recon-ng

Recon-ng 是 OSINT framework。

Amass

amass enum -passive -d example.com

OSINT Framework

OSINT Framework 是 OSINT 来源地图。

Gobuster

sudo apt install gobuster
gobuster dir -u https://staging.example.test -w wordlists/small.txt
gobuster vhost -u https://example.test -w wordlists/vhosts.txt

漏洞与 hardening

CVSS 描述技术严重性，EPSS 估计利用概率，CISA KEV 列出已知被利用的漏洞。真正的优先级还必须结合自己的暴露面。

Greenbone / OpenVAS

Greenbone/OpenVAS 是 vulnerability scanning stack。

Nessus

Nessus 是 Tenable 的 commercial scanner。

Lynis

sudo apt install lynis
sudo lynis audit system

HCL AppScan

HCL AppScan 属于 AppSec 和 DevSecOps。

InsightVM / Nexpose

InsightVM/Nexpose 帮助风险优先级排序。

Retina

Retina 现在主要是 legacy context。

Web Application Security

Burp Suite

Burp Suite 是授权 web testing 的核心 proxy。

ZAP

ZAP 是自由的 web scanner/proxy。

Nikto

sudo apt install nikto
nikto -host https://staging.example.test

WPScan

wpscan --url https://wp-staging.example.test

SQLMap

SQLMap 太接近真实利用，不适合公开操作示例。

AppSpider

AppSpider 是 Rapid7 的 DAST product。

密码与认证

John the Ripper

sudo apt install john
john --wordlist=policy-test.txt hashes.txt
john --show hashes.txt

Hashcat

sudo apt install hashcat
hashcat -m 0 hashes.txt policy-test.txt

Ophcrack

Ophcrack 主要具有历史意义。

Hydra / THC-Hydra

Hydra 测试 online logins，需要非常明确的 scope。

Medusa

Medusa 与 Hydra 类似。

Cain & Abel

Cain & Abel 是旧 Windows tool。

Wireless Security

Aircrack-ng

sudo apt install aircrack-ng

Wifite

Wifite 自动化 Wi-Fi audit。

Kismet

Kismet 用于 Wi-Fi monitoring。

AirSnort

AirSnort 属于 WEP 历史。

NetStumbler

NetStumbler 是 legacy。

Reaver

Reaver 提醒我们 WPS 的风险。

Blue team、monitoring 与 detection

SIEM

SIEM 收集、标准化、关联 logs 并产生 alerts。

Splunk

Splunk 是常见 security data platform。

Elastic Stack

Elastic Stack 提供 logs、search 和 dashboards。

IDS/IPS

IDS 检测，IPS 可以阻断。

Suricata

sudo apt install suricata
mkdir -p suricata-logs
suricata -r sample.pcap -k none -l ./suricata-logs

Snort

snort -r sample.pcap
snort -c /usr/local/etc/snort/snort.lua -r sample.pcap -A alert_fast
snort -R local.rules -r sample.pcap -A alert_fast

Zeek

zeek -r sample.pcap
ls *.log

NetFlow / IPFIX

NetFlow/IPFIX 是 flow metadata，不是 payload。

Full Packet Capture

Full Packet Capture 保存完整 traffic，需要谨慎处理。

OSSEC

OSSEC 是 host-based IDS。

简短说明：OSCO、OSSEC 还是 OSSIM？

OSCO 在这里不是成熟名称；我会检查是否指 OSSEC 或 OSSIM。

Forensics 与 incident response

The Sleuth Kit

sudo apt install sleuthkit

Autopsy

Autopsy 是图形化 forensic platform。

Volatility

vol -f memory.raw windows.info
vol -f memory.raw windows.pslist

Guymager

Guymager 创建 forensic images。

Foremost

sudo apt install foremost
foremost -i disk-image.raw -o recovered-files

Binwalk

sudo apt install binwalk
binwalk firmware.bin
binwalk -e firmware.bin

Red team 与高风险 dual-use

Metasploit Framework

msfconsole

ExploitDB

ExploitDB 帮助理解风险。

Core Impact

Core Impact 是 commercial pentest platform。

Cobalt Strike

Cobalt Strike 只属于 licensed 和 authorized engagements。

GoPhish

GoPhish 用于 phishing simulations。

HiddenEye

HiddenEye 接近滥用场景。

SocialFish

SocialFish 类似。

EvilURL

EvilURL 处理 lookalike domains。

Evilginx

Evilginx 展示传统 MFA 的边界。

作为工作环境的发行版

Kali Linux

Kali 是 security distribution。

Parrot OS

Parrot OS 是 security/privacy distribution。

Security Onion

Security Onion 聚焦 NSM、threat hunting、logs 和 incident response。

作为网络工程师我会保留什么

Visibility: Nmap, tcpdump, Wireshark.

External surface: Shodan, Censys, Amass, theHarvester.

Hardening: Lynis, Greenbone/OpenVAS, Nessus.

Web: Burp Suite, ZAP, Nikto, WPScan.

Detection: Suricata, Snort, OSSEC, SIEM.

NSM: Zeek, Security Onion, NetFlow/IPFIX, Full Packet Capture.

Forensics: Autopsy, The Sleuth Kit, Volatility, Guymager, Foremost, Binwalk.

Red team: Metasploit, Cobalt Strike, Core Impact, SQLMap, GoPhish, Evilginx 仅在 mandate 和 scope 明确时。

结论

最好的安全工具箱不是最长的，而是你知道每个工具为什么存在。

下次见，
Joe