یکی از معروف ترین انواع بدافزار یا Malware به نام کرم یا Worm شناخته می شود. هر چند که اکثرا در مورد Worm ها بحثی شبیه به ویروس داریم اما اساسا این دو نوع بدافزار ، دو چیز کاملا متفاوت با ماهیتی متفاوت هستند. تنها وجه اشتراک بین Worm ها و Virus ها در بحث بدافزاری ، تلاش برای تکثیر شدن آنها در سیستم های مختلف است . اما تفاوت اصلی با ویروس در اینجاست که ویروس های کامپیوتری برای اینکه تکثیر شوند نیاز به انجام یک عملیات توسط کاربر دارند ، برای مثال اگر یک کاربر بر روی فایلی کلیک نکند یا DVD یا Flash ای را به سیستم خود نزند ممکن است به ویروس آلوده نشود اما در Worm ها به این شکل نیست و Worm در اصطلاح خودتکثیر یا Self-Replica است و نیازی به انجام کاری توسط کاربر برای تکثیر شدن ندارد .
برخلاف ویروس ها که بصورت خودکار روی یک سیستم تا می توانند تکثیر می شوند ( روی یک سیستم یک ویروس مثلا 100 بار تکثیر میشه ) ، Worm ها فقط یک نسخه از خودشان را بر روی یک سیستم تکثیر می کنند و به سراغ آلوده کردن سیستم بعدی می روند. به این حالت Worm در اصطلاح امنیت Standalone بودن بدافزار می گویند. ویروس ها معمولا از بیرون سیستم کنترل نمی شوند و یک سری وظیفه از قبل تعریف شده دارند اما Worm ها این قابلیت را دارند که توسط مهاجم از راه دور کنترل شوند یا در اصطلاح Remote Controlled شوند.
کته دیگر در خصوص تفاوت ویروس و Worm در نحوه تکثیر است . ویروس ها توسط رسانه ها یا Media هایی مثل Flash و DVD و ... منتقل می شوند یا پیوست ایمیل اما Worm ها توسط آسیب پذیری های موجود در نرم افزارها و سیستم عامل ها تکثیر می شوند و در شبکه تکثیر می شوند نه سیستم . Worm دارای ساختار پیچیده تری به نسب Virus است با توجه به اینکه یک آسیب پذیری را باید در سیستم عامل در شبکه شناسایی و به آن عملا نفوذ کند و به همین دلیل ترافیک و پهنای باند شبکه را در زمان آلودگی افزایش می دهد. Worm ها می توانند در نقش بدافزارهای دیگری مثل جاسوس افزارها ( Spyware ) ، بات ها و حتی تروجان و ... هم فعالیت کنند.میتوانید در دوره آموزش سکیوریتی پلاس بخوبی با بدافزارها Malwares آشنا شوید.این نکته قابل ذکر است که برای ورود به دوره سکیوریتی پلاس داشتن دانش لازم در حد دوره آموزش نتورک پلاس الزامی است .
ریسک افزار چیست؟یکی از جدیدترین مفاهیم در حوزه بدافزاری دنیای امنیت اطلاعات ، کلمه ای به نام Riskware یا ریسک افزار است. طبیعتا Risk و Software تشکیل دهنده این کلمه هستند اما جالب است بدانید که با اینکه از لحاظ امنیتی این نوع نرم افزارها در دسته بندی بدافزاری یا Malware ای قرار می گیرند اما واقعا بدافزار نیستند ! بله دست متوجه شدید ریسک افزارها بدافزار نیستند ، یعنی نویسنده یا تولید کننده آنها با هدف تخریب و انجام عملیات های مخرب آنها را تولید نکرده است.
اما نکته اینجاست که اینگونه نرم افزارها به شکلی امنیت کامپیوتر شما را تهدید می کنند و به همین دلیل ریسک به وجود آمدن عملیات مخرب را بالا می برند و به همین دلیل به آنها Riskware گفته می شود.اما واقعا چطور ممکن است یک نرم افزار باعث بالا رفتن ریسک امنیتی در یک کامپیوتر بشود؟ خوب در واقع Riskware ها می توانند با انجام دادن یک سری تغییرات در سیستم عامل قربانی کاری کنند که سایر بدافزارهای مخرب بتوانند عملیات مخربشان را انجام بدهد و اینکار به واسطه نصب شدن یک Riskware انجام می شود.
بگذارید ساده تر بگوییم ، زمانیکه شما یک نرم افزار بر روی کامپیوتر خود نصب می کنید که این امکان را فراهم می کند که یک ریسک به وجود بیاید به آن Riskware می گوییم ، قرار نیست که این Riskware خودش تخریب یا عملیات مخرب انجام بدهد.برای مثال نرم افزاری ممکن است قوانین نصب و اجرای یک برنامه دیگر را نقض کند ، ممکن است اجازه اجرای یک برنامه دیگر در کامپیوتر را ندهد ، ممکن است جلوی به روز رسانی مختلف سیستم را بگیرد ، ممکن است Rule های دارای مشکل امنیتی در فایروال شما ایجاد کند ، ممکن است به عنوان Backdoor در سیستم قربانی مورد استفاده قرار بگیرد .
ساده ترین مثالی که می توانیم از Riskware ها بزنیم ابزارهای دانلودی مثل Torrent و P2P هایی مثل EMule هستند که قسمتی از هارد دیسک شما را به اشتراک عمومی می گذارند. الزامی ندارد که به تنهایی Riskware خطرناک باشد اما این امکان را فراهم می کند که انتشار سایر بدافزارها راحت تر شود. بصورت کلی یک Riskware ابزاری است که باعث حذف شدن ، مسدود کردن ، تغییر دادن و کپی اطلاعات و مختل کردن کارایی کامپیوترها و شبکه می شود. یک Riskware می تواند در قالب برنامه های IRC ، P2P ، SMTP ، انواع Downloader اینترنتی ، انواع ابزارهای مانیتورینگ ، ابزارهای شبکه ، ابزارهای مدیریت از راه دور شبکه ، سرویس های FTP ، سرویس های پروکسی ، سرویس Telnet و سرور وب و همچنین Toolbar های اینترنتی ظاهر شود.
این دوره آموزش جامع سکیوریتی پلاس شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.
به اقداماتی که جهت محافظت شبکه در مقابل حملات داخلی و خارجی انجام می شود امنیت شبکه گفته می شود. این اقدامات دفاعی در لایه های متعددی از لبه شبکه تا داخل شبکه انجام می شود.هر لایه امنیتی شبکه ، دارای سیاستهای کنترلی جهت مدیریت دسترسی کاربران مجاز و مسدود کردن دسترسی هکرها به منابع شبکه می باشد.
معرفی انواع حملات شبکه
Port Scanner چیست؟
نرم افزاری است که درخواستهای پیاپی از یک کلاینت به سرور را جهت شناسایی پورت های فعال ارسال میکند . این کار معمولا توسط مدیران شبکه جهت پیدا کردن پورت های باز سرور انجام می شود . البته هکرها با استفاده از این ابزار قادر به شناسایی سرویس های ارائه شده توسط این سرور با توجه به پورتهای باز میشوند و براساس این اطلاعات فرایند حمله خود را طراحی میکنند.
Man in The Middle چیست؟
حمله مرد میانی (MITM) جزو خطرناکترین نوع حملات در شبکه های کامپیوتری است. ساختار حمله به گونه ای است که مهاجم با استفاده از روشهایی مانند Arp Poisoning ، دربین دو طرف ارتباط قرار می گیرد و بدون اینکه طرفین ارتباط متوجه شوند شروع به شنود ، دستکاری و جمع اوری اطلاعات میکند.
Arp Poisoning or Arp Spoofing چیست؟
همانطور که میدانید وظیفه پروتکل Arp تبدیل Ip به Mac می باشد. هکرها با استفاده از این پروتکل و ایجاد بسته GArp جعلی و معرفی Ip Address گیت وی شبکه با Mac خود حمله را انجام میدهند و سیستم های شبکه براساس این بسته Arp Table خود را به روز رسانی می کنند و در نتیجه از این پس ترافیک مربوط به خارج شبکه را تحویل مهاجم میدهند و مهاجم بعد از شنود و جمع آوری اطلاعات (MITM) ،ترافیک را به گیت وی اصلی ارسال میکند تا حمله توسط کاربران و مدیران کشف نشود.
Denial-of-service attack چیست؟
به مجموعه اقداماتی که جهت قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به شبکه انجام میشود حملات منع سرویس یا DOS گفته میشود. اهداف حمله DOS معمولاً سایت ها یا خدمات میزبانی وب سرور با ویژگی های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. در این نوع حمله هکر با استفاده از روشهای زیادی مانند سرازیر کردن درخواستها و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) باعث کاهش سرعت سرور می شود و ممکن است حتی این کارسبب از کار افتادن سرور شود.هدف از این حملات جلوگیری یا متوقف کردن کارکرد عادی یک وب سایت ، سرور یا سایر منابع شبکه طراحی شده است.
انواع حملات DOS
SYN Flood چیست؟
در پروتکل tcpip جهت برقراری ارتباط بین دو عضو شبکه ( کلاینت و سرور) ابتدا یک پکت TcpSynاز کلاینت به سرور ارسال می شود و به محض دریافت این کد سرور متوجه می شود که این کلاینت قصد برقراری ارتباط را دارد در صورت تایید این ارتباط توسط سرور، یک پکت Syn/Ack ارسال میکند و این کد برای کلاینت به مفهوم قبول ارتباط از سمت سرور بوده است و کلاینت نیز جهت برقراری اتصال یک پکت Ack برای سرور ارسال میکند از این رو هکرها از این مکانیزم سواستفاده کرده و با استفاده از ip های جعلی اقدام به ارسال درخواستهای متعدد میکنند و در انتها نیز پاسخ سرور را جهت بستن session نمیدهد از این رو اتصالات نیمه باز زیادی ایجاد میشود و با توجه به این که سرور قادر به پاسخگویی تعداد محدودی اتصال هست از این رو دیگر قادر به پاسخگویی به کلاینتهای دیگر را ندارد.
Smurf Attack چیست؟
در این نوع حمله از تکنیک های ip spoofing و پروتکل icmp استفاده می شود. در این نوع حمله با تاکتیک ip spoofing هکر ip قربانی را جعل میکند و با استفاده از دستور ping شروع به تولید ترافیک Icmp echo با مقصد Broadcast میکند و در نتیجه تعداد زیادی ترافیک ICMP Reply برای قربانی ارسال میشود و در نتیجه با افزایش این ترافیک دیگر سرور قادر به پاسخگویی نیست و حتی احتمال دارد crash کند.
Ping Flood چیست؟
در این نوع حمله از پروتکل ICMP استفاده میشود.در حمله ping flood همانطور که از نامش مشخص است با استفاده از دستور ping کامپیوتر قربانی مورد حمله قرار میگیرد در این روش هکر با استفاده از تعداد کثیری از پکت های ping با حجم بالا باعث overload شدن کامپیوتر قربانی می شود.آسان ترين نوع حمله, حمله Ping Flood است که تحت پروتکل ICMP کار ميکند و امروزه به عنوان Ping شناخته ميشود.در شرايط عادي از دستور Ping براي بررسي صحت ارتباط بين دو کامپيوتر استفاده ميشود اما در حمله Ping Flood باعث ميشود تا سيل عظيمي از پکت هاي با حجم بالا براي کامپيوتر قرباني جهت Overload شدن ارسال شود.شما در تصوير زير ميتوانيد نمونه اي از اين نوع حمله را مشاهده کنيد. برای انجام این حمله ما میتوانیم از دو آپشن زیر در دستور ping استفاده کنیم .
هکرها با سواستفاده از باگهایی که در لایه های شبکه و بعضی از سیستم عامل ها از قبیل ویندوز 3.1 ، 95 ، NT و لینوکس 2.0.32 و 2.1.63 قربانی خود را مورد حمله قرار می دهند. همانطور که میدانید هنگام انتقال اطلاعات از یک کامپیوتر به کامپیوتر دیگر بسته ها با استفاده از آفست و شماره ترتیب مشخص میشوند و هکرها با تغییر ترتیب بسته ها و آفست ها باعث میشوند کامپیوتر مقصد هنگام ادغام بسته ها به مشکل برخورد و حتی crash بکند.
(Distributed Denial of Service (DDoS چیست؟
حملات DDos را میتوان مهلک ترین نوع از حملات Dos دانست. این نوع حمله بسیار شبیه حمله ping flood است اما با این تفاوت که از چندین کامپیوتر استفاده می شود. در این روش هکر یک دستگاه آلوده را به عنوان دستگاه اصلی(Master) به کار می برد و حمله را در سایر دستگاهها که zombie نامیده می شوند هماهنگ می نماید.سرویس و منابع مورد حمله ، (قربانی های اولیه) و کامپیوتر های مورد استفاده در این حمله (قربانی های ثانویه) نامیده می شوند. حملات DDoS عموماً در از کار انداختن سایت های کمپانی های عظیم از حملات DoS مؤثرتر هستند.
روشهای ایجاد امنیت در شبکه
کنترل دسترسی چیست؟ تعریف ACL
مدیران شبکه میبایست شناخت کافی از کاربران و تجهیزاتی که از منابع شبکه استفاده میکنند داشته باشند و با استفاده از این اطلاعات و اجرای سیاستهای امنیتی و کنترل دسترسی کاربران جهت دسترسی به منابع شبکه از حمله هکرها و مهاجمان جلوگیری کنند . پس به اختصار میتوان گفته به فرایند کنترل دسترسی به شبکه Network Access Control (NAC) گفته میشود.
آنتی ویروس
نرمافزار ضدویروس که با نامهای ویروسیاب و ویروسکش و ضد بدافزار هم شناخته میشود یکی از ابزارهای مهم جهت مبارزه با انواع ویروسها ، کرم ها و تروجان ها و به طور کلی کدهای مخرب می باشد.ضد ویروس با استفاده از راهکاری با نام Signature Matching اقدام به شناسایی ویروسها میکند. در این فرایند با توجه به ماهیت ویروس ها که شامل کدهایی مخرب است آنها را شناسایی میکند. نرمافزار آنتیویروس سه وظیفه عمده را انجام میدهند:
بازرسی یا کشف
تعیین هویت یا شناسایی
آلودگیزدایی یا پاکسازی
امنیت نرم افزار
هر نرم افزاری که شما برای کسب و کار خود استفاده میکنید باید از لحاظ امنیتی قابل اعتماد باشد . این خیلی مهم است که این نرم افزار را کارکنان IT شما می نویسند یا آن را میخرید ! متاسفانه ممکن است هر برنامه که تهیه میکنید دارای حفره های امینتی باشند که راه را برای نفوذ مهاجمان به شبکه باز میکند. امنیت نرم افزار شامل سخت افزار ، نرم افزار و پردازشهایی جهت بستن حفره های امنیتی
تجزیه و تحلیل رفتار ترافیک
تجزیه و تحلیل ترافیک توسط تیم امنیتی میتواند یکی از روشهای مناسب جهت امن سازی شبکه و تشخیص رفتارهای غیر طبیعی در شبکه باشد.
پشتیبان گیری مطمئن اطلاعات
در گذشته پیشگیری از دست دادن اطلاعات (Data Loss Prevention) یکی از مباحث مهم بود اما امروزه فن آوری های جدید پشتیبان گیری اطلاعات این قابلیت را به ما میدهد که ما بتوانیم از اطلاعات سازمان خود پشتیبان بگیریم و آنها را با روشهای رمزنگاری از دست سودجویان محفوظ نگاه داریم.
فایروال ها
فایروال یک دیواری است ما بین شبکه مورد اعتماد ما و شبکه های خارج غیر قابل اطمینان مانند اینترنت که با استفاده از مجموعه ای از قوانین تعریف شده ،ترافیک تبادلی را کنترل میکند.دیوار آتش یکی از مهمترین لایههای امنیتی شبکههای کامپیوتری است که عدم آن موجب میشود هکرها و افراد خراب کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند.
دوره آموزش جامع سکیوریتی پلاس Security Plus شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.
چگونه دوره های آموزش هک وب سایت را یاد بگیریم؟ از چه دوره ای می توانیم تبدیل به یک متخصص تست نفوذ یا هکر وب سایت شویم؟ چه دوره های آموزشی هک وبی در فضای مجازی وجود دارد؟ از کجا هک کردن وب سایت را شروع کنیم؟ یادگیری هک و نفوذ به اپلیکیشن های تحت وب با چه دوره هایی شروع می شود؟ نقشه راه یادگیری هک و نفوذ به وب چیست؟ پاسخ همه این سوالات به همراه مسیر راه یادگیری هک و نفوذ و آموزش تست نفوذ وب را می توانید در این مقاله مطالعه کنید.
وب هکینگ چیست؟ معرفی تخصص تست نفوذ وب یا Web Hacking
تست نفوذ وب و Web Application یا همان وب هکینگ قانونمند یکی از پرطرفدارترین و پر مخاطب ترین حوزه های امنیت ، Security و تست نفوذ می باشد. حوزه امنیت و Security نیز مانند سایر حوزه های تخصصی IT به شاخه های مختلفی تقسیم می شود. به عنوان مثال 3 شاخه کلی برای حوزه امنیت متصور می باشد که شامل :
Network Pentest
Web Application Pentest
جرم یابی سایبری | فارنزیکس (Forensics) می باشد
اما بسیاری از دانشجویان و علاقه مندان به حوزه امنیت و Security شاخه دوم یعنی Web Application Pentest | Web server Pentest | وب هکینگ قانونمند را انتخاب می کنند .
مهمترین دلایل ورود به دنیای وب هکینگ یا تست نفوذ وب چیست؟
امروزه همه شرکت ها ، ارگان ها و سازمان ها دارای وب سایت و Web application ها با ساختار Web server و Android و سایر تکنولوژی های وب نوظهور می باشند. بنابراین با توجه به حساس بودن و محرمانه بودن و حیاتی بودن دیتا ها و اطلاعات خود شرکت ها و کاربران آنها دراین ساختار ، ارزیابی و تست نفوذ وب و وب اپلیکیشن ها مورد نیاز می باشد. و این خود باعث ایجاد فرصت و بازار کاری بزرگ با درامد عالی برای علاقه مندان به شاخه تست نفوذ وب و وب هکینگ (Web hacking) می شود.
وجود ارتباط و وابستگی منظم بین مباحث و مفاهیم حوزه تست نفوذ وب و Web hacking باعث افزایش قدرت یادگیری و علاقه مندی کاربران و دانشجویان این حوزه می گردد.
رشد روز افزون ساختار ها ، ابزار ها و تکنولوژی های حوزه وب و همچنین به موازات آن رشد تهدیدات سایبری این حوزه ، نیاز به داشتن تخصص تست نفوذ وب و سامانه های وب و Web application ها هر روز بیشتر احساس می گردد.
نقشه راه دوره های آموزشی هک وب یا وب هکینگ ( آموزش هک وب )
با توجه به اهمیت شاخه تست نفوذ وب و با توجه به دلایل مذکور فوق ، یکی از دغدغه ها و فکر مشغولی های دانشجویان و کاربران این حوزه ، داشتن مسیر راه ، Road Map و انتخاب درست چگونگی یادگیری تخصصی این شاخه می باشد. تقریبا تمامی کمپانی ها و شرکت های ارائه دهنده دوره های امنیت، کتاب هایی در حوزه تست نفوذ وب و Web Application را ارائه داده اند.
اما قوی ترین و حرفه ای ترین کمپانی که به صورت کامل ، حرفه ای و جامع ، از مقدماتی تا حرفه ای( تخصصی) ، مرحله به مرحله و همچنین به صورت کاملا عملی و لابراتوار محور شاخه تست نفوذ وب و Web Application را تدریس نموده است کمپانی و شرکت SANS می باشد. این شرکت 2 دوره به نام های SANS 542 و SANS 642 را در حوزه تست نفوذ وب به دنیا معرفی نموده است .
اما همانطور که مستحضر هستید معادل فارسی که دقیقا تمامی مفاهیم و مطالب موجود در این دو دوره را به صورت کامل و جامع بیان کرده باشد ، بسیار کم است. همچنین در کلاس های حضوری نیز با توجه به اینکه سطح دانش همه دانشجویان در این حوزه یکسان نیست و به دلیل زمان زیادی که برای حل تمرین بر روی لابراتوار ها صرف می شود و همچنین زمان استراحت در نظر گرفته شده ، اساتید محترم قادر به پوشش کامل این قبیل دوره های نمی باشند . لازم به ذکر است هزینه بالای دوره های حضوری نیز خود دلیلی بر گرایش دانشجویان به سمت دوره های آفلاین و از قبل ضبط شده و Capture شده می باشد.
دوره آموزشی هک وب | SANS SEC542 چیست؟
دوره sans 542 | دوره GWAP (GIAC Web Application Penetration Tester) یا دوره Web hacking | وب هکینگ | Web Pentest کامل ترین دوره تست نفوذ وب (Web Application Pentest) می باشد . این دوره متعلق به کمپانی SANS بوده و در این دوره انواع حملات و آسیب پذیری های وب به صورت مقدماتی تا حرفه ای به صورت عملی (Labs) آموزش داده خواهد شد .
دوره sans 542 (GWAPT) به افراد و دانشجویان این توانایی را خواهد داد که پس از گذراندن این دوره به صورت عملی و براساس Lab های طراحی شده ، انواع معماری و ساختار وب ،آسیب پذیری های وب سایت ها و Web Apllication ها را شناسایی و تحلیل نموده ، هچینین در این دوره افراد توانایی Exploit کردن و اکسپلویت نویسی آسیب پذیری های تحت وب به زبان هابی javaScript , Python و php را خواهد داشت .
این دوره جزء دوره های تخصصی حوزه امنیت محسوب می شود و به صورت کاملا حرفه ای برای افرادی که قصد شرکت در پروژه های تست نفوذ وب و سامانه ها و Application های وب را دارند بسیار مناسب می باشد . حتی برنامه نویسان تحت وب می توانند از این دوره برای کد نویسی امن و Secure استفاده نمایند.
دوره آموزشی هک وب پیشرفته | SANS SEC 642 چیست؟
دوره sans 642 | Advanced WebApp Penetration testing | دوره تست نفوذ پیشرفته وب | وب هکینگ پیشرفته ، پیشرفته ترین و حرفه ای ترین دوره تست نفوذ پیشرفته وب و Web application ها می باشد.این دوره متعلق به کمپانی sans بوده و در این دوره علاوه بر ارائه تکنیک های پیشرفته حملات و تست نفوذ های دوره sans 542 ، تست نفوذ و هک جدیدترین ساختار ها و تکنولوژی های وب مانند : NoSqlinjection بر روی دیتا بیس های غیر رابطه ای ، انواع حملات NodeJs ، آسیب پذیری SSTI ، CSRF پیشرفته با Ajax ، CMS Hacking ، WebSocket Hacking ، PHP unserialize attack ، انواع کرک های پیشرفته ترافیک های رمز شده در وب شامل ECB , CBC , Padding Oracel ، Bypass کردن WAF و IPS ، PHP Juggling و آسیب پذیری های پیشرفته logical و خیلی دیگر از حملات و آسیب پذیری های نوظهور ارائه می شود.
این دوره قوی ترین و پیشرفته ترین دوره تست نفوذ و هک وب در دنیا محسوب می شود و جزء دوره های تخصصی حوزه امنیت محسوب می شود که می توان گفت این دوره دوره سنگینی می باشد که حتما دانشجویان می بایست دوره Sans 542 یعنی دوره مقدماتی این دوره را پشت سر گذاشته باشند.
راهنما و مسیر یادگیری دوره های آموزش هک وب مهندس محمدی
دانشجویان علاقه مند به شاخه تست نفوذ وب و وبسایت ها می بایست به ترتیب دوره های زیر را پشت سر بگذرانند.
1- پیشنهاد می گردد اگر دانشجویان اطلاعاتی کلی و عمومی در حوزه امنیت را ندارند و به تازگی وارد این حوزه شده اند و یا اینکه به عنوان مثال دوره های مقدماتی امنیت و همتراز انها مانند Security + | سکیوریتی پلاس را پشت سر نگذاشته اند ، حتما دوره Security plus | سکیوریتی پلاس را پاس نمایند و یا اینکه خودشان مفاهیم کلی و عمومی امنیت را مطالعه نماید.
فرآیند اسکن پورت یا Port Scanning چیست و چند نوع اسکن پورت وجود دارد؟ اگر بخواهیم تعریفی از اسکن پورت یا پورت اسکن داشته باشیم ، باید ابتدا درک عمیقی از مفهوم پورت و ماهیت Port های کامپیوتر داشته باشیم. بدیهی است که افرادیکه به دنبال مفهوم پورت اسکن می گردند با ماهیت پورت های کامپیوتری و کاربردشان آشنایی دارند و صرفا می خواهند برای مصارف امنیت شبکه و ارتباطات یا هک و نفوذ ، بیشتر در بحث Port Scanning که یکی از محبوب ترین روشهای کسب اطلاعات درباره هدف نفوذ است ، در این خصوص اطلاعات به دست بیاورند.
به زبان ساده مفهوم پورت اسکن و انواع آن را یاد بگیرید پیشنهاد می کنم مقاله دیگری از بنده با عنوان پورت چیست را در همین لینک مشاهده کنید. اگر علاقه مند به مباحث هک و نفوذ هستید حتما بعد از خواندن این مقاله به دوره آموزش سکیوریتی پلاس و البته دورهآموزش CEH برای یادگیری بهتر و عمیقتر مفاهیم پورت اسکن در هک و نفوذ مراجعه کنید.
اسکن پورت یا پورت اسکن چیست؟
ارتباطات در کامپیوترها به وسیله پروتکل ها انجام می شوند و پروتکل ها برای اینکه بتوانند به درستی بین کامپیوترها ارتباط برقرار کنند از یک شماره پورت مشخص استفاده می کنند تا همدیگر را متوجه بشوند. این شماره پورت ها برای سرویس های مشخصی رزرو شده است و شما با شناخت این شماره پورت ها می توانید تشخیص بدهید چه نوع سرویسی بر روی چه سیستم عاملی در حال اجرا است. برای مثال شماره پورت 53 برای سرویس DNS و شماره پورت 443 برای سرویس SSL است.
به زبان ساده تر ، وقتی صحبت از اسکن کردن پورت های باز می شود ، ما می خواهیم بدانیم که چه سرویس هایی بر روی کامپیوتر مورد نظر ما فعال هستند . فهمیدن اینکه چه سرویسی در پورت اسکن فعال است به شما در فرآیند های مختلفی کمک می کند از تشخیص نوع سرویس برای هک و تست نفوذ گرفته تا رفع مشکلات ارتباطی شبکه ، بنابراین اگر بخواهیم در یک جمله تعریف پورت اسکن را داشته باشیم می گوییم ::: Port Scanning فرآیندی است که از طریق بررسی پورت های کامپیوتر ، به ما نشان می دهد که چه نوع سرویس هایی بر روی کامپیوتر ( مودم ، روتر و ... ) مورد نظر ما در شبکه قابل دسترس و فعال هستند.
معرفی انواع پورت اسکن ( Port Scan )
تکنیک های متعددی در اسکن پورت های شبکه وجود دارد که معمولا این روزها بصورت دستی انجام نمی شوند. یکی از نکاتی که در انواع پورت اسکن های امروزی بسیار مهم است ، مخفی بودن و ناشناس بودن و ناشناس ماندن فردی است که فرآیند پورت اسکن را انجام می دهد. تکنیک های پورت اسکن دائما در حال به روز رسانی هستند و به همین دلیل انواع پورت اسکن یک چیز ثابت و دائمی نیست و دائما ممکن است در حال به روز رسانی باشد. اما در ادامه ما بر اساس تعریف هایی که در دوره آموزش CEH یا هک قانونمند بصورت استاندارد داریم ، انواع پورت اسکن را با هم بررسی می کنیم.
انواع اسکن پورت قسمت 1 : پورت اسکن تهی یا Null Scan چیست؟
Null به معنی تهی یا پوچ می باشد و در فرآیند Port Scanning ما برای اینکه بدانیم یک پورت باز است یا بسته است یا وضعیت آن را شناسایی کنیم می توانیم از این تکنیک استفاده کنیم. دقت کنید که این تکنیک Port Scanning بصورت ویژه برای سیستم عامل های خانواده Unix طراحی شده است و به هیچ عنوان بر روی سیستم عامل های ویندوزی پاسخ نخواهد داد.
زمانیکه صحبت از Null Scan می شود در واقع یعنی ما هیچ Flag ای بر روی Packet های Port Scan خودمان قرار نمی دهیم یا در اصطلاح فنی تر در Null Scan کلیه TCP Flag های ما در حالت Off قرار دارند. در چنین حالتی اگر سرور مورد نظر پورت Closed شده داشته باشد در پاسخ به Null Scan یک TCP RST ارسال می کند و اگر پورت مورد نظر باز باشد Packet غیر معتبر شناخته شده و اصطلاحا Discard می شود
در این مطلب با مفهوم Port Security آشنا می شویم و یاد میگیریم که چگونه بوسیله Port Security می توان جلوی حملات را گرفت. در بحث امنیت همیشه حملات و ترافیک مخرب از طریق شبکه خارجی و اینترنت صورت نمی گیرد بلکه بسیاری از حملات و مشکلات امنیتی منشاء آنها شبکه داخلی خود سازمان است و از طریق دستگاه های سازمان صورت می گیرد. Port Security یک قابلیت و امکان امنیتی است که به ما کمک می کند کنترل بسیار مناسبی در لایه دو داشته باشیم و بتوانیم جلوی بسیاری از حملات را بگیریم . Port Security کنترل می کند که چند MAC address روی یک پورت اجازه استفاده دارند.
این ویژگی به صورت پورت به پورت اجرا می شود. معمولا هر کاربر از یک MAC address استفاده می کند مگر اینکه از ماشین مجازی استفاده کند یا یک IP phone داشته باشد در این صورت نیاز به بیشتر از یک MAC address خواهد داشت. در هر صورت ، برای جلوگیری از اینکه کاربر دستگاه های مختلف را به سوئیچ وصل کند می توان از port security استفاده کرد و براساس MAC address این محدودیت برای هر پورت اعمال کرد.همچنین port security می تواند شبکه را در برابر نرم افزارهای مخرب که می توانند هزاران فریم را در شبکه با MAC Address های متفاوت ارسال کنند محافظت کند. با اینکار مهاجم با استفاده از این نرم افزار مخرب جدول MAC سوئیچ را تحت تاثیر خود قرار می دهد ، جدول MAC سوئیچ دارای ظرفیت محدودی است و این ظرفیت با MAC address های جعلی پر می شود.
در نتیجه MAC address های درست سایر تجهیزات نمی تواند در این جدول قرار بگیرد و زمانی که یک فریم به دست سوئیچ می رسد نمی تواند پورت خروجی برای مقصد فریم را پیدا کند و مجبور می شود این فریم را روی تمام پورت های خود ارسال کند و در اینجا مهاجم می تواند با Sniff کردن بسته ها به اطلاعات تمام دستگاه ها دسترسی پیدا کند. این حمله به عنوان CAM table overflow یا MAC Flooding Attack شناخته می شود.همچنین Port security می تواند از DHCP server حافظت کند. یک مهاجم با ارسال هزاران درخواست DHCP با MAC address متفاوت می تواند DHCP pool را خالی کند و سرویس دهی DHCP server را مختل کند و DHCP server دیگر نتواند به سایر دستگاه ها IP اختصاص دهد. به این حمله DHCP starvation گفته می شود.
با فعال کردن Port Security روی یک پورت به صورت پیش فرض یک MAC address می تواند از آن استفاده کند که می توان این MAC address را به صورت دستی یا sticky برای پورت مشخص کرد البته می توان با استفاده از دستور maximum تعداد را افزایش داد. اگر تعداد MAC address های مورد استفاده از پورت ، بیشتر از مقدار مشخص شده بیشتر شود یا MAC address غیر از MAC address مجاز از پورت استفاده کند اقدامی که برای مقابله آن درنظر گرفته شده است به صورت پیش فرض shutdown است که باعث خاموش شدن و در حالت err-disable قرار گرفتن پورت می شود. البته می توان بجای shutdown از حالت های دیگر مثل Protect یا restrict استفاده کرد. در حالت protect پورت را خاموش نمی کند و اجازه عبور را به فریم های مربوط به MAC address های غیر مجاز را نمی دهد. Restrict عملکرد مشابه protect دارد با این تفاوت که log نیز تولید می کند. نحوی اجرای port security در مثال زیر نمایش داده شده است :
همچنین از دستورات زیر برای بررسی وضعیت port security می توان استفاده کرد :
SW#show port-security
SW#show port-security address
SW# show port-security interface fa0/1
چیست و چگونه در سویچ سیسکو فعال می شود؟
در طراحی یک شبکه ، در نظر گرفتن مباحث امنیتی آن دارای اهمیت ویژه است چون در زمان حمله ، شبکه دچار مشکلاتی مختلفی مانند از کار افتادن بخشی یا کل شبکه ، افشاء اطلاعات محرمانه سازمان ، دستکاری در اطلاعات و ... می شود. برای جلوگیری از بروز این حملات ما باید طرح و برنامه درستی برای شبکه خود در نظر بگیریم.
بر اساس طراحی سه لایه ای سیسکو دسترسی ها از طریق لایه Access ایجاد می شود که عمده مشکلات امنیتی به دلیل عدم کنترل این دسترسی ها صورت می پذیرد. در این آموزش ما سعی می کنیم مبحث Port Security را بازگو کنیم که به وسیله این قابلیت تا سطح بسیار زیادی ما می توانیم امنیت شبکه خود را برقرار کنیم. Port Security امنیت شبکه ما را در لایه دوم بهبود می بخشد. Port Security شبکه ما را در برابر حملات زیر محافظت می کند :
MAC Flooding Attack
MAC Address Spoofing
DHCP Starvation
همچنین از دسترسی دستگاه های غیر مجاز به شبکه و ایجاد مشکلات ناشی مانند سرقت اطلاعات و آلوده کردن شبکه و ... جلوگیری می کند.
مکانیزم Port Security
به وسیله Port Security تعداد MAC آدرس هایی که اجازه دسترسی به شبکه دارند به ازای هر پورت را محدود می کنیم. به این صورت مشخص می کنیم از هر پورت چه دستگاه هایی اجازه دسترسی به شبکه دارند و به این صورت دستگاه های ناشناش اجازه دسترسی به شبکه را نخواهند داشت. زمانی که این قابلیت روی سوئیچ فعال شود در صورت اتصال یک دستگاه غیرمجاز به شبکه ، می توان وضعیت های زیر را نسبت به این دسترسی غیر مجاز تعیین کرد:
Protect
Restrict
Shutdown
نکته : حالت Shutdown پیش فرض می باشد.
Protect : در این حالت ترافیک مربوط به دستگاه غیر مجاز Drop می شود.
Restrict : همانند حالت قبل ترافیک مربوط به دستگاه غیر مجاز Drop می شود و علاوه بر این Log نیز تولید می کند.
ShutDown : سخت گیرانه ترین حالت می باشد که با دریافت ترافیک غیرمجاز پورت مربوطه در حالت Err-Disable قرار می گیرد و پورت خاموش می شود و برای خارج کردن آن از این حالت باید وارد تنظیمات سوئیچ شد و پورت مورد نظر را خاموش و روشن کرد.
نکته : Port Security را روی پورتی که Access است می توان فعال کرد.
نکته : در صورتی که بخواهیم MAC آدرس هایی که از طریق Sticky آنها را پیدا کرده ایم را حذف کنیم از دستورات زیر استفاده می کنیم:
Switch#clear port-security all
Switch#clear port-security sticky interface fastEthernet 0/1
چرا از Port Security استفاده کنیم؟ به همراه روش راه اندازی
چرا از پورت سکیوریتی استفاده کنیم؟ دلایل استفاده از Port Security چه هستند؟ چگونه Port Security را در سویچ سیسکو راه اندازی کنیم؟ در گذشته امنیت شبکه داخلی مشکل چندان مهمی نبود اما با گذر زمان، نیاز به برقراری امنیت در شبکه های داخلی بیش تر از پیش حس شد. ظهور پدیده هایی نظیر شبکه های بی سیم و فناوری VoIP باعث شد تا مهندسین شبکه به فکر برقراری هرچه بیشتر امنیت در شبکه داخلی باشند.از سوی دیگر، کاربران دیگر مانند گذشته آنچنان قابل اعتماد نیستند و با در دسترس بودن ابزار های Sniffing و افزایش یافتن دانش کاربران ، این امکان وجود دارد اطلاعات در حال انتقال ما به سرقت روند.
دلایل استفاده از Port Security
افزایش استفاده از دستگاه های موبایل مانند گوشی های تلفن همراه، تبلت و نوت بوک ها ، باعث شده، امروزه شاهد این باشیم که شبکه های بی سیم به جزیی جدایی ناپذیر از ساختار شبکه های محلی سازمان ها تبدیل شده است. این شبکه های در مقایسه با شبکه های معمولی از امنیت پایین تری برخوردار هستند. حتی روش های امنیتی جدید و قوی ای مانند WPA2 ، در مقابل حملات Brute Force و Dictionary آسیب پذیر هستند و مهاجمتن می توانند با استفاده از ابزار های خاص ،از طریق شبکه های بی سیم به شبکه داخلی ما نفوذ کرده و اطلاعات و سرویس های ما را در معرض خطر قرار دهند.
از طرف دیگر ما شاهد رواج یافتن یکی دیگر از پدیده های دنیای IT به نام VoIP هستیم. اگر کمی در این زمینه اطلاع داشته باشید ، حتما می دانید که همانند شکل زیر ما IPphone ها و کامپیوتر ها را به سویچ متصل می کنیم. سابقا برای این کار بین سویچ و IPphone یک Trunk برقرار می کردیم تا دیگر نیازی به دو اتصال جداگانه برای IPphone و رایانه نیازی نباشد. اما فرد متهاجم می تواند از این Trunk Link استفاده کرده و اطلاعات کاربر را می توانست سرقت کند.
همچنین فرد مهاجم می تواند با اتصال به شبکه داخلی و فرستادن هزاران MAC Address به سویچ ، اقدام به پر کردن CAM Table آن کرده ( به این حمله CAM Table Flood می گوییم) و در نتیجه آن سویچبه یک هاب تبدیل شده و هکر می تواند تمامی اطلاعات در حال انتقال را Sniff کند.یکی از بهترین روش ها برای امن کردن شبکه های داخلی و جلوگیری از این حملات،استفاده از Port Security است. پروسه ای که شاید راه اندازی آن کمی دشوار باشد اما تا حدود بسیار زیادی امنیت شبکه داخلی ما را افزایش می دهد. در ادامه با این روش بیشتر آشنا می شویم.
بررسی و تنظیمات پورت سکیوریتی
با استفاده از Port Security در واقع ما به سویچ می گوییم که فقط و فقط اتصلات را از MAC Address هایی که ما تعیین می کنیم بپذیر. در نتیجه این کار، در صورتی که فرد مهاجم بتواند به تجهیزات شبکه داخلی ما دسترسی داشته باشد باز هم نمی تواند وارد شبکه داخلی ما شود.در حالت کلی Port Security در سه حالت زیر کار می کند:
Dynamic : حالت معمولی که تمام MAC Address ها یاد می گیرد و اجازه اتصال می دهد.
Static : تنها به MAC Address هایی که ما تعیین می کنیم اجازه دسترسی می دهد.
Sticky : به صورت اتوماتیک MAC Address ها را ثبت می کند با این تفاوت که این تعداد آدرس ها ثبت شده محدود هستند.
سوالی که این جا پیش می آید این است که اگر یک دستگاه با MAC Address غیر مجاز به شبکه متصل شود چه اتفاقی می افتد. جواب این سوال در تعریف Violation Mode ها هستند. Violation Mode ها در واقع عملی هستند که سویچ در مقابله با اتصال یک دستگاه با MAC Address غیر مجاز انجام می دهند که شامل سه حالت زیر هستند:
Shutdown : پورت را خاموش می کند.
Restrict : بسته ها را drop می کند و همچنین شمارنده Security Counter را اضافه می کند( به نوعی log ثبت می کند).
Protect : تنها بسته ها را drop می کند اما هیچ log ای را ثبت نمی کند.
پر واضح است که بهترین روش ، Shutdown است.برای پیاده سازی Port Security ابتدا وارد Global Configuration می شویم. سپس وارد اینترفیس ای می شویم که می خواهیم این قابلیت را برای آن پیاده سازی کنیم:
نکته: در صورت Shut Down شدن یک اینترفیس به دلیل نقض Port Security شما باید وارد آن اینترفیس بروید و یک بار آن را خاموش و روشن کنید.
نکته: با دستور زیر می توانید این کار را به صورت خودکار انجام دهید:
Switch(config)#errordisable recovery cause psecure-violation
Switch(config)#errordisable recovery interval
مشاهده تنظیمات مربوط به errordisable:
Switch#show errordisable recovery
پورت سکیوریتی چیست؟ و چه کاربردی دارد؟
Port Security همونجور که از اسمش هم پیداست یک مساله امنیتی می باشد و در مراکز خاص و امنیتی میتونه خیلی مفید و پر کاربرد باشه .با چند مثال ساده شروع میکنم .فرض کنید شما شبکه ی کوچکی دارید و 10-15 تا کامپیوتر به یک سوئیچ متصل شدند و دارن کار میکنند . از لحاظ امنیتی واستون مهم نیست چه دستگاهی به پورت هاتون متصل باشه فقط تنظیمات نرم افزاری درست باشه و IP در رنج مناسب داشته باشید ، دستگاه متصل شده و کار میکنید .
دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) ومدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است.
در مبحثنفوذ سنجی بعضی وقت ها نیاز است که آدرس مک کارت شبکه را تغییر دهیم که اصطلاحا به آن Mac Spoofing گفته می شود. تا آنجایی که ما می دانیم و در کلاس های شبکه و دوره های شبکه و همچنین کتاب های شبکه عنوان می شود آدرس MAC که مخفف کلمه Media Access Control است یک آدرس سخت افزاری است که بر روی کارت شبکه قرار می گیرد و در لایه دوم از مدال OSI کار می کند و شما در وهله اول نمی توانید آن را تغییر بدهید. این آدرس مشخصه سخت افزاری است که نمایانگر نام کمپانی سازنده نیز می باشد.
برخی اوقات بر حسب نیاز در عملیات های تست نفوذ سنجی ما می توانیم براحتی این آدرس سخت افزاری را عوض کنیم و هر چیزی که دوست داشته باشیم را به عنوان آدرس MAC به کارت شبکه معرفی کنیم هر چند همین آدرس به سویچ شبکه نیز معرفی خواهد شد ، به این عملیات در اصطلاح فنی جعل آدرس یا MAC Spoofing گفته می شود ، برای انجام اینکار کافیست وارد Device Manager بشوید و بر روی کارت شبکه خود راست کلیک و Properties بگیرید و در نهایت وارد تب Advanced بشوید و از قسمت Network Address قسمت Value را تغییر دهید ، توجه کنید که این قسمت باید همانند ساختار MAC Address یک عدد Hexadecimal باشد ، بعد از تایید یکبار سیستم را Restart کنید تا آدرس MAC شما به مقدار Value تبدیل شود.
Cam Flooding Attack یا MAC Flooding Attack یکی از حملات لایه دوم می باشد که مهاجم جدول CAM سوئیچ را با MAC آدرس های جعلی پر می کند. بعد از اینکه جدول پر شد. از این پس سوئیچ بدلیل پر شدن جدول Cam خود نمی تواند MAC جدید را یاد بگیرد درنتیجه سوئیچ بسته های دریافتی که آدرس مقصد آنها در جدول CAM ندارد را روی تمام پورت های خود ارسال می کند.
این پر شدن جدول Cam دو مشکل به وجود می آورد:
باعث ایجاد ترافیک بیشتر در شبکه می شود که در نتیجه آن ، تجهیزات شبکه نیز مجبور به پردازش این ترافیک اضافه می شوند و حتی باعث از کار افتادن تجهیزات به خاطر ترافیک زیاد خواهد شد.
ترافیک چون روی همه پورت ها ارسال می شود سیستمی که مقصد ترافیک نیست نیز این ترافیک را دریافت می کند در نتیجه محرمانگی اطلاعات در این حالت از بین می رود. با این تکنیک مهاجم می تواند اطلاعات ارسال بین سیستم های مختلف شبکه را دریافت و جهت مقاصد خود از آنها استفاده کند.
نکته : بعد از اینکه حمله متوقف شود MAC ادرس های جعلی به مدت 5 دقیقه که مدت زمان نگه داری آدرس ها در جدول Cam می باشد در جدول باقی می مانند سپس از جدول حذف می شوند و شبکه به حالت نرمال باز می گردد.
برای جلوگیری از این حمله می توان از Port Security و Port-based authentication استفاده کرد.
دوره آموزش جامع سکیوریتی پلاس Security Plus با 150 فیلم آموزش سکیوریتی بر اساس سرفصل های رسمی کامپتیا در قالب 35 ساعت آموزش Security Plus حرفه ای توسط مهندس محمدی تهیه و تدوین شده است.بدون شک دوره آموزشی Security+ مهندس محمدی یکی از بهترین و کاملترین دوره های آموزش امنیت اطلاعات و امنیت شبکه در دنیا به حساب می آید. در پایان این دوره آموزشی شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.داشتن دانش لازم در حد دوره آموزش نتورک پلاس برای ورود به دوره سکیوریتی پلاس الزامی است
قبل از اینکه به بحث مراحل انجام حملات هکری و انگیزه هکرها بپردازیم به این پاراگراف خوب دقت کنید : این مایه تاسف است ؛ اما بایستی بگویم که بیشتر سازمان ها و شرکت هایی که در حال حاضر در دنیا مشغول به فعالیت هستند هدف حملات هکری قرار می گیرند . یک تحقیق در سال 2003 میلادی نشان داد که منبع بیش از 75 درصد حملات هکری که به سازمانها و شرکت ها انجام می شود از داخل و توسط کارکنان همان سازمان یا شرکت انجام می شود . در همان تحقیق آمار جالبی نیز بدست آمد که بر طبق آن بیش از 240 میلیارد تومان ( در سال 2003 نه با قیمت دلار امروزی ) برای بازگردانی و بازیابی از حمله و برگردادن سازمان یا شرکت به حالت عادی فعالیت هزینه شده است .
این آمار ها نشان دهنده این است که ما بایستی به اهمیت امنیت محیط عملیاتی ( موثر ) و همچنین کنترل های درست امنیتی بیشتر توجه کنیم .قانون همیشگی پیشگیری بهتر از درمان است همیشه و در همه موارد صادق است ، شما به جای اینکه منتظر باشید تا فعالیت سازمان دچار مشکل شود و بعد به فکر درست کردن آن بیافتید ، بهتر است از قبل تمهیدات امنیتی خود را با هزینه ای بسیار پاینتر پیاده سازی کنید تا مشکلات بالقوه آینده کمتر بوجود بیایند . خوب بیاید در خصوص این موضوع صحبت کنیم که ما بایستی از چه افرادی بترسیم ؟ منظور من افرادی است که ممکن است باعث ایجاد اختلال در شبکه سازمان شما بشوند است نه همه افراد ، این افراد مضر و مخرب را می توان به صورت کلی به دو دسته تقسیم کرد :
کارمندهای داخلی ( خودی ها ) : اینگونه افراد همان کارکنانی هستند که در حال حاضر مشغول به فعالیت در شرکت یا سازمان شما هستند و یا اینکه از آنجا اخراج شده اند . کارمند های داخلی ممکن است افراد ناراضی شرکت شما را نیز تشکیل بدهند ، افرادی که از کار و وضعیت درآمد خود ناراضی هستند .
افراد خارجی یا بیگانه : اینگونه از افراد هرگز برای سازمان یا شرکت شما فعالیت نکرده اند و شاید بتوانیم بگوییم که شما خوش شانس هم بوده اید که این افراد برای شما کار نکرده اند . اما همین دسته از افراد نیز خود به یک سری گروه های دیگر تقسیم بندی می شوند که به شرح ذیل می باشند :
اینگونه از افراد که بعضا نام خود را هکر هم می گذارند ( عمرا ) ، در حقیقت افرادی هستند که با استفاده کردن از ابزارها ، اسکریپت ها و روتکیت هایی که توسط افرادی با دانش بالاتر نسبت به آنها نوشته شده است فعالیت می کنند . اصلا آنها نمی دانند که این اسکریپتی که در حال اجرای آن هستند ممکن است چه نوع تخریبی انجام دهد و اصلا چگونه کار می کند . به نظر من و بسیاری دیگر از کارشناسان امنیت اینگونه افراد بیشترین صدمه را می توانند به سازمان ها و شرکت ها بزنند زیرا از عواقب کار خود اطلاعی ندارند .
جاسوس های شرکتی
اینگونه از افراد جاسوس هایی هستند که از طرف شرکت های رقیب برای سرقت کردن اطلاعات حساس و حیاتی شرکت شما مامور می شوند ، برای مثلا شرکت خودرو سازی X به شخصی پولی را پرداخت می کند در ازای بدست آوردن اطلاعات از سیستم ایمنی شرکت خودرو سازی Y و این اطلاعات ممکن است بسیار حیاتی و حساس باشد .
جاسوس های دولتی
اینگونه افراد فعالیتی بسیار شبیه فعالیت جاسوس های شرکتی دارند با این تفاوت که برای کشوری دیگر فعالیت می کنند و هدف آنها بدست آوردن اطلاعات در خصوص دولت و اطلاعات حساس و محرمانه دولتی است تا بتوانند این اطلاعات را در اختیار کشورهای دیگر قرار بدهند تا آنها بتوانند از این اطلاعات سوء استفاده کنند.
هکرهای ممتاز
اینگونه افراد معمولا هیچگونه هدف جاسوسی و یا اینکه از طرف شرکت یا کشور و یا سازمانی ماموریت داشته باشند را ندارند ، اینگونه افراد معمولا اهداف متنوعی در انجام دادن حملات خود دارند ، بسیاری از این افراد قصد دارند دانش زیاد خود را به رخ سایرین بکشند و یا اینکه از شرکت و یا سازمان مربوطه صدمه ای دیده اند و از جانب آنها برایشان ناراحتی پیش آمده که قصد تلافی کردن این حرکت را دارند. برای مثال شما به عنوان یکی از این افراد به یکی از شعب بانک ملی ایران می روید و پس از 2 ساعت معتلی به خاطر یک چک و در نهایت دریافت پاسخ به بدترین شکل و پاس نشدن چک از کارکنان و ساختار بانکی این بانک شاکی می شوید و بعد وارد سیستم بانکی این بانک شده و آنرا هم می کنید و بر روی صفحه اصلی وب سایت آنها می نویسید : به مشتریان خود احترام بگذارید .
خوب به نظر شما کدام گروه می تواند بیشترین میزان تخریب را داشته باشد ؟ قطعا همه شما با من هم عقیده هستید که کارمند های داخلی یا خودی ها بیشترین مشکلات را برای ما بوجود خواهند آورد . جرم شناسان مجرمین رو با سه صفت توصیف می کنند : کسانی که اهداف ، انگیزه یا علت و فرصت های لازم برای انجام جرم را دارا هستند .به این سه ضلع ، مثلث جرم نیز گفته می شود . که در شکل الف مشاهده می کنید .
کارکنان داخلی یا خودی ها همیشه هدف و فرصت مناسب را برای انجام جرم دارا هستند. تنها چیزی که آنها نیاز دارند انگیزه است . از طرفی دیگر خارجی های یا افراد بیگانه افراد مورد اعتمادی برای دسترسی به منابع داخلی سازمان نیستند ، آنها در خارج از سازمان شما قرار دارند و با داشتن کمی فرصت برای انجام دادن حملاتشان حتما شروع به کار خواهند کرد . کسانی که قصد حمله و سوء استفاده از اطلاعات را دارند بایستی از مثلث جرم ، هر سه مورد را داشته باشند . تکمیل شدن این مثلث می تواند منجر به تکمیل شدن جرم باشد .
متدولوژی های معمول حملات هکری
حملات هکری معمولا یک یا چندین قسمت از مثلث امنیت اطلاعات یا بهتر بگوییم CIA امنیت اطلاعات را هدف قرار می دهند ، همانطور که می دانید مثلث امنیت اطلاعات شامل محرمانگی ، یکپارچگی و تمامیت و دسترسی پذیری اطلاعات می باشد . حملاتی که بر روی محرمانگی و صحت اطلاعات تمرکز می کنند معمولا منجر به دسترسی پیدا کردن به اطلاعات می شوند حال آنکه حملاتی که به دسترسی پذیری اطلاعات انجام می شود لزوما نبایستی باعث دسترسی پیدا کردن به اطلاعات شود . حملاتی که به دسترسی پذیری یا Availability اطلاعات می شود معمولا از نوع حملات از سرویس خارج کردن یا Denial Of Service هستند .
نمونه ای از حملات خارج از سرویس کردن ( DOS ) در محیط واقعی
در فوریه سال 2000 وب سایت های شرکت های یاهو و Ebay به وسیله یک حمله DOS کاملا از سرویس خارج شدند . حمله انجام شده هیچگونه دسترسی را به مهاجمان به شبکه داخلی آنها نداده بود اما باعث شده بود که این کمپانی ها نتوانند به سرویس دهی ادامه دهند . در سال 2001 هکر به نام مستعار Mafiaboy در یک دادگاه در کانادا به دلیل انجام این حملات به 8 ماه زندان محکوم شد .هکرها اهداف متنوعی را برای هک کردن انتخاب می کنند ، اما روش و معماری که هر هکر برای انجام عملیات خود استفاده می کند تقریبا ثابت است . معمولا این متدولوژی هک و حملات هکری به شکل زیر است ، در شکل ب متدولوژی حمله به وضوح قابل مشاهده است :
شکل ب : متدولوژی انجام حملات هکری
Foot printing یا شناسایی : در این مرحله یک هکر تا جایی که امکان دارد در خصوص هدف مورد حمله اطلاعات بدست می آورد ، این اطلاعات می تواند از طریق وب سایت اینترنتی سازمان ، پایگاه های داده عمومی ، گروه های یاهو و گوگل و یا حتی از پرنسل سازمان بدست بیاید . به این مرحله Passive Reconnaissance یا شناسایی غیرفعالی هم گفته می شود .
Scanning یا اسکن کردن : این مرحله تا حدی به مرحله قبلی مرتبط است زیرا باز هم برای بدست آوردن اطلاعات استفاده می شوند . به این مرحله که بعد از شناسایی اولیه انجام می شود Active Reconnaissance یا شناسایی فعال هم گفته می شود . در این مرحله یک هکر با استفاده از ابزارهای و تکنیک های مختلف پورت ها و سرویس های فعال بر روی هدف را تحلیل می کند و در این خصوص اطلاعات لازم را جمع آوری می کند .
مرحله سوم : Enumeration یا جمع آوری اطلاعات : این مرحله به مرحله قبلی که Scanning است بسیار نزدیک است با این تفاوت که در این نوع جمع آوری اطلاعات ، اطلاعات بسیار دقیقتی از اهداف مورد حمله جمع آوری می شود ، برای مثال پوشه های به اشتراک گذاشته شده با سطح دسترسی ضعیف ، نام های کاربری موجود در شبکه ، رمز های عبور ضعیف و بسیاری موارد دیگر در این مرحله از حمله انجام می شود .
Penetrate یا نفوذ : تفاوت این مرحله با مراحل قبلی این است که در این مرحله مهاجم حمله خود را انجام داده است و رسما کاری از دست شما بر نیامده است . در این مرحبه مهاجم با استفاده از اطلاعاتی که در مراجل قبلی جمع آوری کرده است ، حمله خود را برنامه ریزی کرده است و شبکه شما مورد هجوم وی قرار گرفته است . در این مرحله شما هک شده اید.
Escalate یا بالا بردن دسترسی :فکر نکنید که زمانی که یک هکر وارد یک سیستم شده است قطعا دسترسی های یک مدیر سیستم را دارد . معمولا دسترسی هایی که بصورت غیر مجاز توسط هکرها انجام می شود دسترسی های سطح پایین است ، هکر ها با استفاده از تکنیک های خاص به نام Privilege Escalation یا بالا بردن سطح دسترسی از طریق همان دسترسی کم به دسترسی های بیشتر دست خواهند یافت .
Covering Tracks یا پاک کردن آثار جرم : زمانی که هکر به دسترسی مورد نظر خود و اهداف تعیین شده دست پیدا کرد ، شروع به پاک کردن آثار جرم خود می کند و سعی می کند که فعالیت هایی را که انجام داده است از دید دیگران مخفی نگاه دارد . معمولا یک هکر حرفه ای بعد از اینکه حمله موفقیت آمیزی را ترتیب داد در سیستم هک شده ابزاهای خاص خود مانند روتکیت ها ( Root kit ) و Backdoor ها را برای دسترسی های بعدی ایجاد می کند .
دوره آموزش جامع سکیوریتی پلاس Security Plus یکی از بهترین و کاملترین دوره های آموزش امنیت اطلاعات و امنیت شبکه در دنیا به حساب می آید. در پایان این دوره آموزشی شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.داشتن دانش لازم در حد دوره آموزش نتورک پلاس برای ورود به دوره سکیوریتی پلاس الزامی است
ددر این پست با یکی از حملات لایه دوم ، تحت عنوان MAC Address Spoofing یا جعل MAC Address آشنا شده و روش مقابله با آن را یاد خواهیم گرفت. در این حمله مهاجم با تغییر MAC آدرس خود سعی می کند عملیات مورد نظرش را انجام دهد.به طور مثال به عکس زیر توجه کنید:
همانطور که در تصویر می بینید سوئیچ براساس جدول MAC خود می داند که از طریق پورت 1 خود به سرور متصل است. در این زمان مهاجم ، MAC آدرس خود را برابر سرور موجود در شبکه قرار می دهد و به سمت سوئیچ ترافیک ارسال می کند. سوئیچ با دریافت این ترافیک و بررسی MAC آدرس مبدا بسته ، فکر می کند که پورت متصل به سرور تغییر کرده در نتیجه جدول MAC خود را تغییر می دهد و از این پس ترافیکی که مقصد آن سرور است را روی پورت 2 ارسال می کند و این ترافیک تحویل مهاجم می شود و به این صورت مهاجم به اطلاعات ارسالی دیگر سیستم ها دسترسی پیدا می کند.جهت جلوگیری از این حمله می توانیم از Port Security استفاده کنیم.
.بدون شک دوره آموزشی Security+ یکی از بهترین و کاملترین دوره های آموزش امنیت اطلاعات و امنیت شبکه در دنیا به حساب می آید. در پایان این دوره آموزشی شما آماده ورود به دنیای هک و امنیت اطلاعات می شوید و به خوبی بر روی مباحث تئوری و مفاهیم امنیتی مسلط خواهید شد. در واقع سکیوریتی پلاس نقطه ورود شما به دنیای امنیت سایبری و از پیشنیازهای دوره های آموزشی هک و نفوذ می باشد.داشتن دانش لازم در حد دوره آموزش نتورک پلاس برای ورود به دوره سکیوریتی پلاس الزامی است
آموزش راه اندازی NAT Extendable در Cisco IOS
Debian چیست؟ معرفی لینوکس توزیع دبین به زبان بسیار ساده.jpg "کاملترین معرفی انواع شبکه های کامپیوتری و 4 دسته بندی شبکه")
کاملترین معرفی انواع شبکه های کامپیوتری و 4 دسته بندی شبکه