前    言

　　在大家眼中，“黑客”一词具有一定的神秘性，其定义范围包括了反社会的计算机天才到恶意病毒的编写者。因此，如同在媒体故事中所描述的那样，现代黑客试图攻击网络，从而进行识别偷窃、窃取信用卡账号、勒索银行或者发起拒绝服务攻击等。然而，黑客也可能是那些非常有天分的程序员，他们将众多强大的工具组合起来解决自己的需求，还可能是那些使用“合法的”工具来绕过审查机构限制并保护个人隐私的人。Internet本身不产生诡计、勒索、偷窃或者镇压——它只是为这些活动提供了途径。当然，Internet的全球分布性和直接通信便捷了黑客的活动。因此，计算机安全——防范黑客——已经成为研究、开发、商业、媒体和市场等领域的一个重要主题。本书将介绍一些工具，这些工具已经成为了计算机和网络安全的一个完整部分。我们希望通过介绍这些工具，读者能够获得如何测试和保护自己的计算环境的知识，同时我们还揭开了黑客的部分神秘面纱。最后，对许多工具及其如何使用进行了摘要介绍。

　　计算机安全是一个处理起来很棘手的问题，因为只要拥有了足够的工具和时间，几乎任何联网设备都可能被利用、扫描或者攻陷。因此，从防御的观点来看，拥有最好的工具来确定周边环境的风险以及实现反击方法是非常重要的。某些工具也许能够完成某项任务，但却不能让整个任务很好地完成。在根据任务选择正确的工具之前，必须了解需要获取哪些工具，必须明白这些工具在主机和网络管理下如何使用，以及它们如何被用来攻击系统。

　　本书的目标是描述使用安全工具的“最佳实践”，不仅给出如何使用工具的背景还介绍了为什么以及何时使用某款特定工具的深层原因。仅仅知道某款工具的存在及其命令行选项而没有关于该工具的底层安全原理和概念性的理解，在当今是无法专业地维护IT安全的。通过使用截屏、列举代码、工具使用示例和案例分析，本书旨在展现每款工具是如何用于特定真实世界场景中的，这些场景可以折射到读者自己的应用中。尽管对命令行标记和配置选项的包含也使得本书可以成为一款有用的桌面工具，但在每章中包含的附加信息和基本概念使得本书不仅仅是一个“如何操作”的指南。读者可以根据自己的需要熟悉和掌握工具，因此就可以有效地选择(并使用)正确的工具来很好地完成任务。

　　本书分为4个部分：多功能工具、审计与主机防护工具、审计和保护网络的工具以及取证与事件响应的工具。这4部分的内容组成了本书，读者可以选择恰当的和特定领域的工具来浏览：

● 审计和防御

● 事件检测

● 调查和响应

● 补救

　　以上4个方面集中体现了系统管理员需要花费大量精力来处理的工作。这4个方面包括从安全事件处理的开始一直到结束，于是“反黑客”一词应运而生。当我们掌握了新的工具并明白了如何使用新工具来攻陷网络，黑客的神秘面纱也将被揭开。

　　本书中每章都有一个连续的主题。每章的开篇是对讨论过的工具的总结，然后介绍新的工具。每章还对使用的技术进行了深入挖掘，为读者提供了最佳使用工具的信息，并且包括了在特定领域中使用工具时的忠告。案例研究用来演示在真实世界中如何恰当地使用工具。针对某些主题，笔者将为每种工具提供特定的案例分析。为了使案例研究尽可能真实，我们使用了文学性的描述，从而使得案例故事既具生动性又能够囊括足够多的工具。本书还提供了一些实例来讨论系统管理员在发生网络事故时的响应措施，读者可能会对这些措施产生质疑——这是不是最好的应急措施呢？因此，笔者需要提醒读者的是，我们无意提供针对安全事故或事件的反应措施的方法学或推荐意见，仅提供一个个有趣的案例研究以供阅读，从而有助于加强对某款工具使用的理解。

　　本书已经是第3版，对老读者而言，通过阅读本书，可以获得一些新的工具和介绍，当然对于新读者同样有益。第3版的改动包括：

● 为了更好的流程和组织，修改了章节布局

● 更新了本书中所有工具的内容

● 针对诸如Netcat、tcpdump、Ethereal、nmap和hping等工具加入了新的案例研究和示例

● 增加了新的工具，例如THC-Amap、THC-Hydra、Trinux、Kismet、Ettercap、Wellenreiter、WinHex和X-Ways Trace等

● 完全新增了针对防火墙的一章，包括防火墙概念的讨论、ipchains、iptables、IPFW和Cisco PIX等

　　需要再次强调的是本书侧重于工具的使用而不是保证网络安全的方法学。因此，本书是由Kevin Mandia、Matt Pepe和Chris Prosise所著的Hacking Exposed系列和Incident Response and Computer Forensics的一本很好的丛书，因为那些书提供了本书所介绍工具的方法学基础。建议读者在试图理解这些工具之前，先阅读在那些书中讨论的方法学。但是，如果已经对这些方法学有一个大概的了解，在阅读本书时就没有障碍了。

　　另外，为了使用这些工具，我们需要讨论目前市场上最流行的操作系统是什么，以及在保护安全和调查取证现有网络时必须面临的其他操作系统。本书中，当提及Windows时，除非另有说明，都表示由Microsoft公司发布的所有操作系统，例如95/98/Me/NT/2000/2003和XP。另一方面，当提及Unix时，表示任何类Unix的操作系统，而不仅仅是来自Bell实验室的原始版本。这些工具在某些Unix风格的系统上是有效的，包括Solaris (i386 and Sparc versions)、Linux、FreeBSD、NetBSD、OpenBSD和Mac OS X等。如果某款工具只能在Unix的某个版本上运行，我们会特意注明。

　　由于本书中介绍的工具在不久的将来可能都会有较大的变化(特别是那些开源的或者黑客工具)，所以本书提供了大量的截屏和输出。我们这样做并不是为了提供完全的材料，而是帮助读者在使用本书中讨论到的信息时匹配该工具的最新版本。

　　本书还提供了一个工具包(可访问www.tupwk.com.cn/downpage/下载这个工具包)，它包括了书中提及的许多工具，这些工具的开发商或作者已经授权本书发布。如果讨论的工具需要商业授权，则提供的是一个开发商允许的试用版本。如果不能公开获得试用版本，则需要访问开发商的网站直接获取工具。由于开源运动蓬勃发展，我们在所提供的工具包和本书内容中尽量包含足够多的非商业工具，以便可以找到替代工具。我们希望所提供的工具包可以消除在获得这些工具以及定位对应网站时需要的大量争论。这会帮助指导你完成本书中列举出的任何示例。

　　如前所述，网络和安全工具持续更新，从而保持技术的发展。新的工具会出现，旧的工具会增加新功能。由于本书主要介绍网络和安全工具，我们希望有一种途径可以让读者了解到最新的工具、工具变化以及和安全相关的新闻。为了实现这个目标，我们提供了本书相应的网站www.antihackertoolkit.com。该网站提供了工具的链接、工具信息、本书错误更正和内容更新。