黑客常用信息收集工具-02

信息收集是突破网络系统的第一步。黑客在进入目标主机之前,通常会使用一些专门的黑客工具对目标主机进行扫描,从扫描结果中分析这些计算机的弱点,从而确定进入目标主机的方法和手段。
接上文：黑客常用信息收集工具-01

tcpdump，tcpdump 可以抓所有层的数据，功能十分强大，tcpdump Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。

-a: (all) 显示所有活动中的网络连接和机器正在监听的 TCP/UDP 端口
-r: (route): 显示路由表
-n: 以数字方式显示，禁用反向域名解析，加快查询速度
（默认是不带-n参数的，如果带了-n 输出将会很快，但是只有数字类型的ip,域名是没法看到的，如果不带-n将会看到域名(如有域名的话)）
-t: (tcp) 显示tcp连接
-u: (udp) 显示udp连接
-l: (Listen) 只显示监听状态的套接字
-p: 输出中显示 PID 和进程名称
-s: 显示所有端口的统计信息
-i: 查看网卡接口信息

Wireshark，Wireshark 在Windows、mac、linux都有自己的版本，可谓图形化抓包软件的最为流行的一种，针对白帽子黑客，网络管理员和安全工作者都是必备之物。网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……
httpwatch，HttpWatch是强大的网页数据分析工具.集成在Internet Explorer工具栏.包括网页摘要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST 数据和目录管理功能.报告输出.HttpWatch 是一款能够收集并显示深层信息的软件。它不用代理服务器或一些复杂的网络监控工具，就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息。集成在Internet Explorer工具栏。
Fiddler，白帽子目前最常用的web 报文渗透工具，功能十分强大，可以最为本地代理，报文重放等等。Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件，这些都可以让你胡乱修改的意思）。 Fiddler 要比其他的网络调试器要更加简单，因为它不仅仅暴露http通讯还提供了一个用户友好的格式。
Burpsuite，目前Web安全渗透，是必须的工具，没有之一，功能十分强大，Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。
Nessus，最好的UNIX漏洞扫描工具之一，它的主要功能是远程或本地（已授权的）安全检查，客户端/服务器架构，GTK（Linux下的一种图形界面）图形界面，内置脚本语言编译器，可以用其编写自定义插件，或用来阅读别人写的插件。不过现在nessus已经是商业版，使用是需要付费的。
Snort，一款广受欢迎的开源IDS（Intrusion Detection System）工具。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序，还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯，以及判断对于网络数据是放行还是拦截，其检测引擎是模块化的。用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。
Hping2，一种网络探测工具，是ping的超级变种。这个小工具可以发送自定义的ICMP，UDP和TCP数据包，并接收所有反馈信息。它的灵感来源于ping命令，但其功能远远超过ping。它还包含一个小型的路由跟踪模块，并支持IP分段。此工具可以在常用工具无法对有防火墙保护的主机进行路由跟踪/ping/探测时大显身手。它经常可以帮助您找出防火墙的规则集，当然还可以通过它来学习TCP/IP协议，并作一些IP协议的实验。
Ettercap，Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析（甚至是ssh和https这种加密过的）。还可以进行已建立连接的数据注入和实时过滤，保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中，通过使用操作系统指纹（主动或被动）技术可以得出局域网结构。
Nikto，Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3200种有潜在危险的文件/CGIs；超过625种服务器版本；超过230种特定服务器问题。扫描项和插件可以自动更新（如果需要）。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具，但其软件本身并不经常更新，最新和最危险的可能检测不到。
OpenSSH / PuTTY / SSH，SSH（Secure Shell）现在普遍应用于登录远程计算机或在其上执行命令。它为不安全网络上的两台不互信计算机间通讯提供安全加密，代替非常不可靠的telnet/rlogin/rsh交互内容。大多UNIX使用开源的OpenSSH服务器和客户端程序。Windows用户更喜欢免费的PuTTY客户端，它也可以运行在多种移动设备上。还有一些Windows用户喜欢使用基于终端的OpenSSH模拟程序。安全的企业通常会限制SSH的使用。
Paros proxy，基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息，修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷（web spider）、哈希计算器和一个常用网页程序攻击扫描器，例如SQL注入和跨网站脚本等。
Superscan，SuperScan是一款Foundstone开发的免费的只运行于Windows平台之上的不开源的TCP/UDP端口扫描器。它其中还包含许多其它网络工具，例如ping、路由跟踪、http head和whois。
Scapy，Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能，所以要用到Python编程知识（例如variables、loops、和functions）。支持生成报告，且报告生成简单。
Ntop，Ntop以类似进程管理器的方式显示网络使用情况。在应用程序模式下，它能显示用户终端上的网络状况。在网页模式下，它作为网页服务器，以HTML文档形式显示网络状况。它是NetFlow/sFlow发射和收集器，通过一个基于HTTP的客户端界面来生成以ntop为中心的监控程序，RRD（Round Robin Database）（环形数据库）用来持续储存网络通讯状态信息。
Nbtscan，NBTscan是一款在IP网络上扫描NetBIOS名称信息的工具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使用者。每一地址的反馈信息包括IP地址、NetBIOS计算机名、登录用户、MAC地址。
Nagios，Nagios是一款系统和网络监控程序。它可以监视您指定的主机和服务，当被监视对象发生任何问题或问题被解决时发出提示信息。它的主要功能有监控网络服务（smtp、pop3、http、nntp、ping等等）、监控主机资源（进程负载、硬盘空间使用情况等等）、当发现问题或问题解决时通过多种形式发出提示信息（Email、寻呼机或其它用户定义的方式）。
Tcptraceroute，现代网络广泛使用防火墙，导致传统路由跟踪工具发出的（ICMP应答（ICMP echo）或UDP）数据包都被过滤掉了，所以无法进行完整的路由跟踪。尽管如此，许多情况下，防火墙会准许反向（inbound）TCP数据包通过防火墙到达指定端口，这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包，tcptraceroute可以穿透大多数防火墙。