1、网络扫描工具:
fping: 类似于ping命令的使用方式,此工具可以对目的地地址发送ICMP echo消息。
Nessus:漏洞扫描工具,功能相当强大,支持了商业版本。
nmap:功能丰富的网络安全工具,而且支持了更多的互联网安全工具,资料丰富,文档齐全。很多系统安全人员,管理人员使用其工具。
Zenmap:Nmap界面管理程序,方便用户快速扫描测试。
Hping2 : TCP/IP的命令行工具,帮助分析数据包的工具,使用方便,简单。如果学习TCP/IP的话,是非常好的学习工具。
snmpwalk:支持SNMP协议的基本工具,可以检测各种支持SNMP的网络终端设备。snmpwalk 可以获取到设备的snmp参数设置。
SNSscan:和snmpwalk一样,支持window环境,可以扫描支持SNMP协议的设备。
SuperScan:免费Windows扫描工具,不开源。
SigPloit:可以测试SS7和SIP等信令的工具,笔者使用它测试过asterisk/SS7集成环境。
VLANping:网络ping工具,可以支持VLAN标签检测。此工具需要源代码编译安装。
metasploit-framework:专业的渗透测试工具,包括了SIP渗透测试的模块,漏洞测试,其功能非常强大,支持GUI和报表功能。
SIPPTS:此工具包括一系列SIP渗透测试套件,包括扫描,密码破解,请求响应收发,漏洞测试等工具。
Mr.SIP: 基于SIP的监控和DDos 攻击工具, 支持网络扫描,网络枚举,DDOS仿真,密码破解,信令修改等子模块。
RuaaSIP: 支持Windows操作系统的扫描工具,扫描服务器地址和端口,需要联系开发人员获取安装包。
2、网络枚举工具:
netcat: 此工具可以通过UDP/TCP获取用户的网络资源,同时可以和脚本语言集成来测试系统的其他资源信息。
SiVuS:此工具是一个内网的SIP扫描工具,可以扫描内网的相关SIP终端。
sipsak:此工具是一个SIP扫描,压力测试工具,开发人员和系统管理员可以使用此工具对目的地地址发送option消息,发送洪水攻击消息,解析响应消息等功能。通过使用,笔者认为,它是一个比较实用功能相对比较丰富的关于SIP测试的工具。
SIPSCAN:通过名字就可以猜出来其作用。此工具是专门用来扫描SIP网络的工具,适用于比较大型的网络用户环境中,可以扫描IPPBX,呼叫中心和SIP终端设备。当然,结合其相关开发的工具,可以实现认证的检测,监听,INVITE消息发送,分机扫描等强大的功能。
smap:扫描枚举网络设备的工具,可以检测到比较完整的网络设备状态,当然也包括了SIP终端和服务器端的设备状态。其工具分为管理员端和终端两种。
3、拒绝服务攻击工具:
网络设备的拒绝攻击是攻击者常用的手段之一,攻击者使用的工具也很多。罗列一些常用的工具。
DNS Auditing tool:查询DNS服务消息,获取服务器的地址。
Internetwork Routing Protocol Attack Suite:一组渗透测试工具,检测网络环境的各种数据,包括protos,icmp工具等。
UDP Flooder:对UDP端口发送洪水工具的工具,用户需要联系开发人员下载。
UDP Flooder w/VLAN support:通过TAR文件下载,用户自己编译,通过命令行设置对VLAN的攻击设置。
Wireshark (formerly Ethereal):非常着名的免费网络工具,用户可以用来排查和分析网络数据,包括SIP,RTP,DTMF等。
SIPp:着名的SIP压力测试工具,可以对服务器端发送INVITE消息和语音流等功能。
Inviteflood:Linux命令行工具,可以对UDP/IP的SIP网络发送INVITE请求,形成洪水攻击数据环境。其工具也可以用来进行简单的压力测试,安装方便。
VulnVoIP:针对比较旧的AsteriskNOW版本创建的漏洞攻击工具,模拟漏洞攻击环境。通过此工具没有模拟一个漏洞攻击的安全环境。
4、语音数据监听:
VOIP网络中,攻击者也可以使用工具对语音进行监听,盗取用户的SIP消息中的安全数据等攻击手段。比较常见的是获取用户的DTMF按键输入信息。
Angst:是一款基于libpcap和libnet开发的侦测工具,可以通过指定端口提取所有的TCP数据包payload。它也可以对所有网络的MAC地址发送数据消息。
Cain and Abel:此工具支持多种攻击和密码还原功能,也可以实现对端口的侦听。此工具可能已不能在官方网站下载,用户需要从第三方平台下载。
DTMF Decoder:此工具可以用来解析DTMF tone的数据包。是VOIP学习者了解DTMF的比较好的学习工具。一般情况下,攻击者可以对系统的DTMF录音,然后通过此工具解析出用户的按键音。如果攻击者登录系统以后,用户通过语音IVR输入的DTMF,可以通过系统录音提取出来,然后,攻击者可以通过此工具非常方便解析出系统用户的输入数字,例如银行账号密码,身份证等信息。
dsniff:此工具是一组工具集,可以实现多种方式的侦测,包括邮箱,网页,SSH等方面的攻击。
NetStumbler:针对WLAN检测到工具,可以侦测内网的WLAN终端设备。
Oreka:开源SIP录音工具,支持多种录音格式,包括G711/G722,,G729, Opus 等。
VoIPong:RTP侦测工具,可以提取SIP等其他协议的语音流,保存格式为WAV。
vomit:针对思科SIP电话的录音转换工具,文件转换后可以支持普通播放器播放。此工具好像也不再更新。
5、网络和应用解析
通过一些攻击工具对某些设备进行攻击,从其设备相关接口也会反映出来。使用一些互联网解析侦测工具检查其状态也能够大概获知是否受攻击。
arpwatch:此工具可以对ARP进行检查,IP和MAC地址修改的检查。
ettercap:此工具是一款使用中间人攻击的套件工具。它通过DNS,ARP,DHCP等欺骗手段获取用户信息,并且支持界面和命令操作方式,使用比较方便。
fragrouter:一款渗透测试工具,它可以检测系统入侵,并且具有路由功能,能够转发攻击流量数据。
siprogue:此工具支持对SIP进行侦查的工具,包括SIP数据响应等监控。它也可以创建RTP流对媒体进行修改解析。攻击人员可以通过其工具进行对SIP实现调度转发,Proxy等功能。
XArp:高级入侵检测工具,支持windows和linux环境。
6、服务干扰工具:
以下几个工具可以分别对IPPBX,UC系统或者SIP终端发送相关的请求消息,达到对目的地进行洪水攻击的目的。如果用户需要对某些特别的请求进行测试时,也可以通过大量发送请求数据来测试其稳定性。
INVITE Flooder: 此工具通过发送INVITE请求消息对目的地地址进行攻击,支持UCP/TCP 端口,支持发送数据包大小调整。用户可以通过服务器端或者SIP终端的响应消息来判断服务器被攻击后的状态。
RTP Flooder:此工具对RTP端口发送洪水攻击的数据包。当然,用户必须了解RTP的端口,SSID,时间戳等相关消息。
UDP Flooder:此工具主要针对一些网关设备进行攻击,一般可靠性,攻击者首先使用UDP Flooder 获得其端口信息,然后使用RTP flooder 或者INVITE工具进行攻击。
crcxflood:此工具可以支持对MGCP网关的测试,通过网关的IP地址对MGCP网关发送数据。
UDP Flooder w/VLAN support:UDP 测试工具,支持VLAN输入设置。
byeflood:发送SIP BYE 请求消息。
optionsflood:发送大量的SIP OPTIONS请求。
regflood:发送大量的SIP REGISTER注册消息 。
subflood:发送大量的SIP SUBSCRIBE 请求。
7、信令和媒体篡改
网络攻击的方式方法很多,下面是关于通过控制信令或修改媒体信息来对SIP服务器进行攻击的方式和工具。
AuthTool:此工具用来测试SIP账号安全认证方式,破解SIP用户密码。
BYE Teardown:此工具对某些特定的SIP设备发生BYE消息,执行拆线。
Check Sync Phone Rebooter:对SIP终端发送NOTIFY消息,重新启动SIP终端。
RedirectPoison: 此工具可以对某些特定的SIP终端发送INVIET到301响应消息转接此终端到第三方指定的SIP IP地址或者服务器。这种工具具有一定的隐蔽性,它可以对对攻击的目标多种服务进行攻击,例如语音邮箱等。
Registration Hijacker:此工具针对SIP注册攻击进行处理。如果攻击成功的话,以前的正常的绑定的URL会从定位服务系统异常,替代的是攻击者留下的地址URL。事实上,这些终端根本不存在。
Registration Eraser:此工具支持此注册的系统中删除注册状态。
Registration Adder:此工具对目标注册系统添加注册用户,工具可以添加一个指定的contact信息。
RTP InsertSound v2.0:此工具可以对RTP语音流插入自定义的语音。
RTP InsertSound v3.0 :此工具可以对RTP语音流插入自定义语音流,同时可以自动检测RTP会话终端和端口。
RTP MixSound v2.0:此工具可以支持对实时语音混合自定义的语音流,完成对媒体的修改。
**RTP MixSound v3.0 **: 此工具可以支持对实时语音混合自定义的语音流,完成对媒体的修改, 同时可以自动检测RTP会话终端和端口。
