入侵检测工具黑客工具具体说有哪些

最常见的黑客入侵检测技术有哪些

SQL注入，xss跨站技术,代码审计 举例说明更形象些.... 首先确定入侵的目的: 要获取美国白宫工作人员布鲁斯电脑的信息. 着手实施: 1.搜集信息 首先第一步骤是搜集资料,在谷歌搜索相关的布鲁斯基础信息,然后根据基础信息,再次谷歌搜索,再次根据搜索出的更多信息,再再次搜索...看信息内是否有对方的邮箱,facebook,twitter,家庭地址,工资情况公开信息等, 此为社会工程学. 2.分析:得知搜集到的信息得知白宫的工作人员经常访问白宫及一些政府类网站. 3.确定入侵目标 入侵某政府网站. 5.准备稳定的肉鸡.做为跳板. 4.对网站进行初始安全检测, 查看IP地址.扫描开发端口(不同端口对应不同的服务),看此服务器上绑定域名的数量,看服务器上其他网站是否可以入侵,检查所有服务器上网站(旁注),看网站是否存在常见漏洞(上传,注入,暴库,跨域xml,伪造cookies,弱口令,默认文件地址,包含漏洞...等),经过一些列的检测,得知服务器上站点十分安全. 5.对此服务器同IP端机房进行入侵.最后发现同机房服务器有一个安全级别低的漏洞,蹲守1个星期终于获得此网站的shell,进入服务器权限不足,提权....最终获得服务器权限. 6.从同端机房嗅探,此服务器...经过1个月的嗅探.发现某一网站的后台密码...进入提权,获得服务器权限. 7.制作网页木马...上传网站....等待布鲁斯上钩. 8.蹲守,等了一个月后,发现肉鸡增加100多个...其中有了一个布鲁斯的主机. 9.copy内容.... 10.擦屁股.....彻底多次删除所有痕迹... ....大概流程类似如此...

什么是入侵检测，以及入侵检测的系统结构组成

话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。

无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击，还有可能受到基于电气和电子工程师协会(IEEE)发行802.11标准本身的安全问题而受到威胁。

为了更好的检测和防御这些潜在的威胁，无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。

以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。

这篇文章将为你讲述，为什么需要无线入侵检测系统，无线入侵检测系统的优缺点等问题。

来自无线局域网的安全无线局域网容易受到各种各样的威胁。

象802.11标准的加密方法和有线对等保密（WiredEquivalentPrivacy）都很脆弱。

在"WeaknessesintheKeySchedulingAlgorithmofRC-4"文档里就说明了WEPkey能在传输中通过暴力破解攻击。

即使WEP加密被用于无线局域网中，黑客也能通过解密得到关键数据。

黑客通过欺骗（rogue）WAP得到关键数据。

无线局域网的用户在不知情的情况下，以为自己通过很好的信号连入无线局域网，却不知已遭到黑客的监听了。

随着低成本和易于配置造成了现在的无线局域网的流行，许多用户也可以在自己的传统局域网架设无线基站(WAPs)，随之而来的一些用户在网络上安装的后门程序，也造成了对黑客开放的不利环境。

这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。

或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。

基于802.11标准的网络还有可能遭到拒绝服务攻击(DoS)的威胁，从而使得无线局域网难于工作。

无线通讯由于受到一些物理上的威胁会造成信号衰减，这些威胁包括：树，建筑物，雷雨和山峰等破坏无线通讯的物体。

象微波炉，无线电话也可能威胁基于802.11标准的无线网络。

黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。

另外，黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。

另外一种威胁无线局域网的是ever-increasingpace。

这种威胁确实存在，并可能导致大范围地破坏，这也正是让802.11标准越来越流行的原因。

对于这种攻击，现在暂时还没有好的防御方法，但我们会在将来提出一个更好的解决方案。

入侵检测入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统和入侵事件。

传统的入侵检测系统仅能检测和对破坏系统作出反应。

如今，入侵检测系统已用于无线局域网，来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

无线入侵检测系统同传统的入侵检测系统类似。

但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。

无线入侵检测系统可以通过提供商来购买，为了发挥无线入侵检测系统的优良的性能，他们同时还提供无线入侵检测系统的解决方案。

如今，在市面上的流行的无线入侵检测系统是AirdefenseRogueWatch和AirdefenseGuard。

象一些无线入侵检测系统也得到了Linux系统的支持。

例如：自由软件开放源代码组织的Snort-Wireless和WIDZ。

架构无线入侵检测系统用于集中式和分散式两种。

集中式无线入侵检测系统通常用于连接单独的sensors，搜集数据并转发到存储和处理数据的中央系统中。

分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。

分散式无线入侵检测系统比较适合较小规模的无线局域网，因为它价格便宜和易于管理。

当过多的sensors需要时有着数据处理sensors花费将被禁用。

所以，多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费的时间。

无线局域网通常被配置在一个相对大的场所。

象这种情况，为了更好的接收信号，需要配置多个无线基站(WAPs)，在无线基站的位置上部署sensors，这样会提高信号的覆盖范围。

由于这种物理架构，大多数的黑客行为将被检测到。

另外的好处就是加强了同无线基站(WAPs)的距离，从而，能更好地定位黑客的详细地理位置。

物理回应物理定位是无线入侵检测系统的一个重要的部分。

针对802.11的攻击经常在接近下很快地执行，因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。

就需要部署找出入侵者的IP,而且,一定要及时。

不同于传统的局域网，黑客可以攻击的远程网络,无线局域网的入侵者就在本地。

通过无线入侵检测系统就可以估算出入侵者的物理地址。

通过802.11的sensor数据分析找出受害者的,就可以更容易定位入侵者的地址。

一旦确定攻击者的目标缩小，特别反映小组就拿出Kismet或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,策略执行无线入侵检测系统不但能找出入侵者,它还能加强策略。

通过使用强有力的策略,会使无线局域网更安全。

威胁检测无线入侵检测系统不但能检测出攻击者的行为，还能检测到rogueWAPS，识别出未加密的802.11标准的数据流量。

为了更好的发现潜在的WAP目标，黑客通常使用扫描软件。

Netstumbler和Kismet这样的软件来。

使用全球卫星定位系统（GlobalPositioningSystem）来记录他们的地理位置。

这些工具正因为许多网站对WAP的地理支持而变的流行起来。

比探测扫描更严重的是，无线入侵检测系统检测到的DoS攻击，DoS攻击在网络上非常普遍。

DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。

黑客也喜欢对无线局域网进行DoS攻击。

无线入侵检测系统能检测黑客的这种行为。

象伪造合法用户进行泛洪攻击等。

除了上文的介绍，还有无线入侵检测系统还能检测到MAC地址欺骗。

它是通过一种顺序分析，找出那些伪装WAP的无线上网用户。

无线入侵检测系统的缺陷虽然无线入侵检测系统有很多优点，但缺陷也是同时存在的。

因为无线入侵检测系统毕竟是一门新技术。

每个新技术在刚应用时都有一些bug，无线入侵检测系统或许也存在着这样的问题。

随着无线入侵检测系统的飞速发展，关于这个问题也会慢慢解决。

结论无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。

虽然无线入侵检测系统存在着一些缺陷，但总体上优大于劣。

无线入侵检测系统能检测到的扫描，DoS攻击和其他的802.11的攻击，再加上强有力的安全策略，可以基本满足一个无线局域网的安全问题。

随着无线局域网的快速发展，对无线局域网的攻击也越来越多，需要一个这样的系统也是非常必要的。

网络上的入侵检测系统有什么功能

入侵检测技术是保证计算机系统和设计的安全性和系统能够检测并在技术报告未授权或异常现象的结构，计算机网络技术是检测违反安全策略的行为。

入侵检测是软件和硬件的入侵检测系统的结合

入侵检测系统可以分为哪几类？

入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS最早出现在1980年4月。

该年，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，在其中他提出了IDS的概念。

1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。

1990年，IDS分化为基于网络的IDS和基于主机的IDS。

后又出现分布式IDS。

目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

　　我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。

一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。

根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在： 　　（1）尽可能靠近攻击源 　　（ 2）尽可能靠近受保护资源 　　这些位置通常是： 　　·服务器区域的交换机上 　　·接入路由器之后的第一台交换机上 　　·重点保护网段的局域网交换机上 　　由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。

Venustech(启明星辰）、 Security System（ISS）、思科、赛门铁克等公司都推出了自己的产品。

[编辑本段]系统组成　　IETF将一个入侵检测系统分为四个组件：事件产生器（Event generators）；事件分析器（Event analyzers）；响应单元（Response units ）；事件数据库（Event databases ）。

　　事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

事件分析器分析得到的数据，并产生分析结果。

响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

系统分类

根据检测对象的不同，入侵检测系统可分为主机型和网络型。

　　系统通信协议

　　IDS系统内部各组件之间需要通信，不同厂商的IDS系统之间也需要通信。

因此，有必要定义统一的协议。

目前，IETF目前有一个专门的小组Intrusion Detection Working Group （IDWG）负责定义这种通信格式，称作Intrusion Detection Exchange Format（IDEF），但还没有统一的标准。

　　以下是设计通信协议时应考虑的问题：

　　1.系统与控制系统之间传输的信息是非常重要的信息，因此必须要保持数据的真实性和完整性。

必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动攻击）。

　　2.通信的双方均有可能因异常情况而导致通信中断，IDS系统必须有额外措施保证系统正常工作。

　　入侵检测技术

　　对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。

从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。

　　对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。

检测主要判别这类特征是否在所收集到的数据中出现。

此方法非常类似杀毒软件。

　　而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义所谓的“正常”情况。

　　两种检测技术的方法、所得出的结论有非常大的差异。

基于异常的检测技术的核心是维护一个知识库。

对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。

基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

入侵检测系统的分类及功能

入侵检测系统的概念 入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。

对于入侵检测而言的网络攻击可以分为4类： ①检查单IP包（包括TCP、UDP）首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。

②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。

③通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。

④利用分片进行的攻击,如teadrop,nestea,jolt等。

此类攻击利用了分片组装算法的种种漏洞。

若要检查此类攻击,必须提前（在IP层接受或转发时,而不是在向上层发送时）作组装尝试。

分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。

入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

进行入侵检测的软件与硬件的组合就是入侵检测系统。

入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统,识别用户违反安全策略的行为。

入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应（被动响应和主动响应）。

信息收集的内容包括系统、网络、数据及用户活动的状态和行为。

入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。

数据分析是入侵检测的核心。

它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。

数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。

前两种方法用于实时入侵检测,而完整性分析则用于事后分析。

可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。

统计分析的最大优点是可以学习用户的使用习惯。

入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。

响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。

主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。

另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

IDS分类 一般来说,入侵检测系统可分为主机型和网络型。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。

主机型入侵检测系统保护的一般是所在的系统。

网络型入侵检测系统的数据源则是网络上的数据包。

往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。

一般网络型入侵检测系统担负着保护整个网段的任务。

不难看出,网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。

且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。

但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。

一个典型的例子便是交换式以太网。

而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。

参考文献[7]对此做了描述,感兴趣的读者可参看。

入侵检测系统的几个部件往往位于不同的主机上。

一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。

将前两者合在一起,只需两台。

在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。

对于主机型IDS,其数据采集部分当然位于其所监测的主机上。

对于网络型IDS,其数据采集部分则有多种可能： （1）如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可； （2）对于交换式以太网交换机,问题则会变得复杂。

由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法不再可行。

可解决的办法有： a. 交换机的核心芯片上一般有一个用于调试的端口（span port）,任何其他端口的进出信息都可从此得到。

如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。

优点：无需改变IDS体系结构。

缺点：采用此端口会降低交换机性能。

b. 把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。

优点：可得到几乎所有关键数据。

缺点：必须与其他厂商紧密合作,且会降低网络性能。

c. 采用分接器（Tap）,将其接在所有要监测的线路上。

优点：在不降低网络性能的前提下收集了所需的信息。

缺点：必须购买额外的设备(Tap)；若所保护的资源众多,IDS必须配备众多网络接口。

d. 可能唯一在理论上没有限制的办法就是采用主机型IDS。

通信协议 IDS系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。

因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。

IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format。

目前只有相关的草案（ draft）,并未形成正式的RFC文档。

尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。

IAP(Intrusion Alert Protocol)是IDWG制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能（如可从任意端发起连接,结合了加密、身份验证等）。

对于IAP的具体实现,请参看 [4],其中给出了非常详尽的说明。

这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题： （1）分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。

必须有一定的机制进行通信双方的身份验证和保密传输（同时防止主动和被动攻击）。

（2）通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。

入侵检测技术 对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。

从技术上,入侵检测分为两类：一种基于标志（signature-based）,另一种基于异常情况(anomaly-based)。

对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。

检测主要判别这类特征是否在所收集到的数据中出现。

此方法非常类似杀毒软件。

而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出）,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。

基于异常的检测技术的核心是维护一个知识库。

对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。

基于异常的检测技术则无法准确判别出攻击的手法,但它可以（至少在理论上可以）判别更广泛甚至未发觉的攻击。

如果条件允许,两者结合的检测会达到更好的效果. 入侵检测系统技术和主要方法 入侵检测系统技术 可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。

发现入侵检测一般采用如下两项技术： ① 异常发现技术,假定所有入侵行为都是与正常行为不同的。

它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。

异常阀值与特征的选择是其成败的关键。

其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。

② 是模式发现技术,它是假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。

模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。

模式发现的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。

入侵检测的主要方法 静态配置分析 静态配置分析通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。

静态是指检查系统的静态特征（系统配置信息）,而不是系统中的活动。

采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外,系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。

所以,静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。

黑客工具具体说有哪些

一 必备基本工具 1 Netcat 2 IIS工具包 3 VMware 二 端口扫描工具 1 nmap 2 udp_scan 3 NetScanTools 4 SuperScan 5 IPEye 三 Windows工具 工具 2 nbtstat 3 Winfingerprint 4 GetUserInfo 5 WINNTAutoAttack 6 PsTools 四 常用小工具 1 ADSL密码查看器 2 文件捆绑机 3 捆绑检测器 五 口令破解与强力工具 1 Cain 2 LC5 3 MD5Crack3 六 安全防范工具 1 绿鹰PC万能精灵 2 BlackICE 3 EXE捆绑检测工具 七 WEB攻击工具 1 脚本漏洞攻击工具 2 脚本检测工具 3 后台检测工具 八 溢出工具 1 溢出工具 2 提升权限工具 九 系统安全设置辅助工具 1.修改3389策略及端口的工具 2.服务器安全设置脚本工具 3 Window 按钮突破专家 十 后门和远程访问工具 1 VNC 2 pcanywhere 3 Radmin 4 网络神偷 5 上兴远程控制 6 灰鸽子 7 神气儿 十一 入侵检测工具 1 Snort IDScenter 十二 安全扫描工具组合 1 X-SCAN 书 2 流光 3 著名工具SSS 4 扫描工具 5 X-WAY 十三 网络侦察工具 1 whois/fwhois 2 host、dig和nslookup 3 Ping 4 Fping 5 traceroute 6 hping 十四 端口重定向工具 1 Datapipe 2 FPipe 3 WinRelay 十五 嗅探器 1 无痕工具之端口探测器 2 网络抓包器V1.3 3 ARPSniffer 4 Iris 4.00.2 正式版 5 SQLServerSniffer