آموزش هک
درباره ی ویندوز و دستورات آن در ۲۰۰۰ و مقداری هم tcp/ip یا همون transmission controll protocol /internet protocol حرف زدیم جالب است بدانید که هر چه آدرس آی پی طولانی تر یعنی xxx.yyy.zzz,......بیشتر باشد سرعت انتقال داده ها هم بیشتر است به طوری که آی پی ورژن ۸ به بعد سرعتی حدود ۴۰giga bit دارند یعنی عرض چند ثانیه میتونید هاردتون را به اون ور دنیا بفرستید این نوع ورژن از آی پی رو نمیدونم چطوری کار می کنن حتی میتونم بگم که دکترای کامپیوتر شریف هم اینو نخوندن خلاصه این آدرس آی پی یه چیز عظیم هست که هر کی توپ بلد باشه یه هکر حرفه ای هست و میتونه راحت حتی سرور سیا آمریکا که می گن قوی ترین و نا نفوذ ترین سرور دنیا است رو هک کنه شاید ما این کا ر و کردیم ( عمرا ) لازم به ذکر است که آدرس این نوع ورژن به صورت aaa.bbb.ccc.ddd.eee.fff.ggg.hhh است که هر حرف مقدار عددی توان دو است و به hub کامپیوتر های قوی و ابر کامپیوتر ها وصل می شن . ما فعلا کارمون رو با آی پی ورژن ۴ شروع می کنیم (یعنی همون dial up modem ) چون هم امکاناتش نیست هم خیلی خیلی پیشرفته است . ادرس این نوع آی پی به صورت aaa.bbb.ccc.ddd هست که هر کدوم شامل اعدادی است که ما برای شما خواهیم گفت . حالا درس امروز در ادامه مطلب :
قسمت اول
همانگونه كه انسانها برای ارتباط با یكدیگربه زبانی (جدا از زبان مادری ) مشترك نیاز دارند , كامپیوتر ها نیز به قواعدی ( مستقل از نوع سیستم عامل ) احتیاج دارند كه طبق آن قواعد بتوانند با همدیگر ارتباط برقرار كنند . در ابتدا مدل OSI مورد قبول سازمان استاندارد جهانی قرار گرفت . در این مدل وظایف و خدمات شبكه در 7 لایه تعریف شده بود :
7- لایه كاربرد (Application Layer )
6- لایه نمایش ( Presentation Layer )
5- لایه جلسه ( Session Layer)
4- لایه انتقال ( Transport Layer )
3- لایه شبكه ( Network Layer )
2- لایه پیوند داده ها ( Data Link Layer )
1- لایه فیزیكی ( Physical Layer)
در ابتدا گمان میشد این مدل بصورت استاندارد فراگیر در تمام شبكه ها بكار گرفته شود اما به دلایلی ( از جمله انتشار رایگان برنامه های TCP/IP توسط دانشگاه بركلی ) این مدل پایدار نماند و مدل TCP/IP مورد استفاده قرار گرفت و بصورت استانداردی فراگیر برای ارتباط بین كامپیوترها در اینترنت انتخاب شد .
TCP/IP برای ایجاد ارتباط بین كامپیوترها ابتدا اطلاعات ارسالی از سیستم عامل مبدا را طبق استانداردهای خودش به بسته هایی تبدیل كرده و سپس در مقصد اطلاعات دریافتی را مجددا ترجمه كرده به سیستم عامل مقصد تحویل میدهد . برای اینكار TCP/IP كه مبنای اینترنت است را به 4 لایه تقسیم كرده اند :
4- لایه كاربرد ( Application Layer )
3- لایه لایه انتقال (Transport Layer )
2- لایه شبكه ( Network Layer )
1- لایه واسط شبكه (Network Interface Layer )
لایه اول : واسط شبكه Network interface
در این لایه استانداردهای سخت افزاری, نرم افزارهای راه انداز و پروتكلهای شبكه تعریف میشوند .
لایه دوم : شبكه Network Internet
در این لایه بسته های اطلاعاتی ( كه از این به بعد به آنها بسته های IP میگوییم ) روی شبكه هدایت میشوند تا به مقصد برسند . مهمترین پروتكلی كه در این لایه استفاده میشود پروتكل IP است كه دیتاگرامها (واحدهای اطلاعاتی كه باید تحویل مقصد شوند ) را به بسته های كوچكتری تبدیل میكند و پس از اضافه كردن اطلاعات لازم برای بازسازی آنها را روی شبكه ارسال میكند .
لایه سوم : انتقال Transport
این لایه بر اساس سرویسی كه لایه دوم ارائه میدهد یك ارتباط مطمئن بین میزبانها برقرار میكند . دریافت یا عدم دریافت بسته های ارسالی در این لایه مشخص میشود. مهمترین پروتكل استفاده شده در این لایه پروتكل TCP است .
لایه چهارم : كاربرد Application
این لایه بر اساس خدمات لایه های زیرین , سرویس سطح بالایی برای خلق برنامه های كاربردی ارائه میدهد .
لایه اینترنت ( IP ) :
لایه IP یك دیتاگرام را از لایه بالاتر تحویل میگیرد , اگر طول دیتاگرام بزرگ باشد آنرا به واحدهای كوچكتر تبدیل میكند و با اضافه كردن اطلاعات لازم آنرا در شبكه به جریان می اندازد .پروتكل IP مجبور است قبل از ارسال بسته یك شماره شناسایی برای كل بسته و یك شماره ترتیبی برای هر قطعه در نظر بگیرد تا دیتاگرام بتواند در مقصد بازسازی شود .
در كنار پروتكل IP چند پروتكل دیگر مانند ICMP,ARP,RARP,RIP و ... وجود دارند كه در مسیریابی صحیح, مدیریت خطاها و به مقصد رسیدن بسته ها به پروتكل IP كمك میكنند .
بسته های IPشامل دو قسمت سرایند و دیتا میباشند . اطلاعات موجود در سرایند مورد پردازش مسیریابها قرار میگیرند . این اطلاعات شامل فیلدهای زیر است :
1- فیلد Version :
4 بیتی است و نسخه IP را مشخص میكند . این فیلد شامل عدد 4 یا عدد 6 برای برخی مسیریابهاست.
2- فیلد IHL :
4 بیتی است و طول كل هدر را براساس كلمات 32 بیتی مشخص میكند .
3- فیلد Type of Service :
8 بیتی است و شامل تقاضای سرویس ویژه ای برای ارسال دیتا گرام دارد .
4- فیلد Total Length :
16 بیتی است و طول كل بسته شامل هدر و دیتا را مشخص میكند .
5- فیلد Identification :
16 بیتی است و برای مشخص كردن شماره یك دیتاگرام بكار میرود.
6- فیلد Fragment Offset :
15 بیتی و شامل دو قسمت است :
Flag :
شامل 2 بیت است یكی برای مشخص كردن قطعه نهایی دیتاگرام(MF) . 1 بودن این پرچم به این معناست كه قطعات دیگری نیز برای كامل كردن این دیتاگرام لازم است و صفر بودن ان به این معناست كه این اخرین قطعه دیتاگرام است . بیت دیگر برای مشخص كردن این نكته است كه دیتاگرام نباید قطعه قطعه شود (DF) .
Fragment offset :
13 بیتی است و شماره ترتیب قطعه را برای بازسازی دیتاگرام در بر دارد . نكته مهم در اینجا اینست كه اندازه هر قطعه به استثنای قطعه پایانی باید ضریبی از 8 باشد .
7- فیلد Time To Live :
8 بیتی است و برای مشخص نمودن طول عمر بسته استفاده میشود . این فیلد حداكثر میتواند شامل 255 باشد كه به این معنی است كه 255 مسیریاب را میتواند طی كند .
8- فیلد Protocol :
8 بیتی است و برای مشخص كردن شماره پروتكل لایه بالاتر برای تجزیه بسته بكار میرود .
9- فیلد Header Checksum :
16 بیتی و برای كشف خطا .
10- فیلد Source Address :
32 بیتی و برای مشخص كردن IP ادرس فرستنده بكار میرود .
11- فیلد Destination Address :
32 بیتی و برای مشخص كردن IP ادرس گیرنده بكار میرود .
12- فیلد Options :
حداكثر 40 بیتی واختیاری است .
13- فیلد Payload :
داده های دریافتی از لایه بالاتر قرار میگیرند .
لایه انتقال ( TCP ) :
وظیفه این لایه فراهم كردن خدماتی سازماندهی شده , مطمئن و مبتنی بر اصول سیستم عامل , برای برنامه كاربردی لایه بالاتر است , بگونه ای كه ناكارآمدی لایه اینترنت جبران شود .
هر بسته TCP شامل 6 بیت پرچمه كه هر كدووم از این بیتها مشخص كننده یه نوع بسته TCP هستند. این بیتها عبارتند از :
1- بیت URG
2- بیت ACK
3- بیت PSH
4- بیت RST
5- بیت SYN
6- بیت FIN
بیت ACK به معنی اینه كه داده های فیلد Aknowledgment No. معتبره . ما در این مرحله از این بیت در تركیب با سایر بیتها استفاده میكنیم .
بیت SYN این بیت هم در تركیب با بیت ACK باعث ایجاد یه ارتباط میشه .
بیت FIN در انتهای ارتباط و برای قطع ارتباط برای طرف مقابل ارسال میشه .
بیت RST قطع یك طرفه ارتباط از طرف صادر كننده این بیته . در حقیقت پاسخ به بسته های سرگردانه كه ما در این مرحله از اوون نتیجه میگیریم كه پورت مورد آزمایش بسته است .بیت URG به این معناست كه داده های فیلد Urgent Pointer باید مورد پردازش قرار بگیره . پردازش داده های این فیلد در لایه كاربرد صورت میگیره و كاری به مبحث فعلی ما نداره .
و بالاخره بیت PSH كه ست كردن اوون باعث ارسال بسته بطور مستقیم به لایه كاربرد میشه . و در مواقع ضرورى مثل Telnet بكار میره .
و فیلدهای مورد استفاده :
Aknowledgment No. :
این فیلد شماره ترتیب بایتی كه فرستنده منتظرشه رو تعیین میكنه .
Sequence No. :
شماره ترتیب آخرین بایت بسته جاری رو در خودش قرار میده .
برای برقراری ارتباط فرستنده یه بسته بدون اطلاعات رو با تنظیم SYN=1 & ACK=0 و عدد تصادفی x رو در فیلد Sequence No. قرار میده و به این وسیله به گیرنده اطلاع میده كه بسته های ارسالی بعدی از طرف فرستنده از شماره x+1 به بعده .
در مرحله دوم گیرنده با دریافت بسته اول در صورت تمایل به قطع ارتباط یه بسته خالی شامل RST=1 بسمت فرستنده ارسال میكنه و ارتباط قطع میشه . و در صورت تمایل به بر قراری ارتباط بیتهای SYN=1 & ACK=1 رو ست میكنه و مقدار فیلد Aknowledgment No. رو x+1 قرار میده و عدد تصادفی y رو در Sequence No. قرار میده . و با اینكار به فرستنده اطلاع میده كه منتظر ارسال بسته های بعدی از شماره x+1 به بعده . و خودش هم اطلاعاتش رو با شماره ترتیب y+1 به بعد برای فرستنده ارسال میكنه .
و بالاخره فرستنده با تنظیم SYN=1 & ACK=1 و مقداردهی Sequence No.=x+1 وAknowledgment No.=y+1 اعلام میكنه كه آماده ایجاد ارتباطه .
از این به بعد تا ارسال بسته شامل بیت خاتمه یعنی FIN ارتباط برقراره و دو ماشین بسته های خودشون رو با مشخصه های گفته شده برای همدیگه ارسال میكنن تا اینكه بسته FIN از سوی یكی از ماشینها ارسال بشه . بعد از ارسال این بسته ماشین ارسال كننده فقط گیرنده بسته های طرف مقابله ( در حقیقت ارتباط یه طرفه میشه ) تا اینكه طرف دوم هم بسته هاش تمووم بشه و بسته شامل بیت FIN رو ارسال كنه . در این مرحله هست كه ارتباط بكلی قطع میشه .
قسمت دوم
آدرسها در اینترنت :
در شبكه كنونی اینترنت تمام كامپیوترهای متصل به اینترنت دارای یك آدرس 32 بیتی هستند . هر چند تا سال 2005 با فراگیر شدن IPng یا IPv6 این آدرسها 128 بیتی خواخند شد . این آدرسهای 32 بیتی چگونه سازماندهی میشوند ؟
برای سهولت نمایش آدرسها را به 4 قسمت 8 بیتی تقسیم میكنند كه هر قسمت بین صفر تا 255 است .و بصورت x.y.z.w نمایش میدهند.
پر ارزشترین بایت , كلاس آدرس را مشخص میكند . كلاس آدرس مشخص كننده نوع شبكه ماست .
IP آدرس در 5 كلاس A,B,C,D,E تعریف شده اند .
آدرسهای كلاس A :
قالب 32 بیتی كلاس A بصورت زیر است :
آدرس كاربر(24 بیت) آدرس شبكه(7بیت)
هر گاه پرارزشترین بیت IP آدرس صفر باشد , آدرس از كلاس A است . همانگونه كه مشاهده میكنید بخش شبكه این كلاس قادر به ادرس دهی 127 شبكه میباشد و میتواند حدود 17000000 كاربر داشته باشد . بنابراین به این نتیجه میرسیم كه ادرسهای كلاس A شبكه های ستون فقرات اینترنتی هستند .
آدرسهای كلاس B :
قالب 32 بیتی كلاس B بصورت زیر است :
آدرس كاربر(16 بیت) آدرس شبكه(14بیت) 10
هر گاه پرارزشترین بیتهای IP آدرس10 باشند , آدرس از كلاس B است . همانگونه كه مشاهده میكنید بخش شبكه این كلاس قادر به ادرس دهی 16382 شبكه میباشد . كه هر یك میتواند 65534 كاربر داشته باشد . بنابراین به این نتیجه میرسیم كه ادرسهای كلاس B شبكه های عظیم اینترنتی هستند كه تمام این آدرسها امروز تخصیص داده شده اند .
آدرسهای كلاس C :
قالب 32 بیتی كلاس C بصورت زیر است :
آدرس كاربر(8 بیت) آدرس شبكه(21بیت) 110
در این كلاس پرارزشترین بیتها 110 هستند . این كلاس پر كاربردترین كلاس است . در این كلاس با توجه به آدرس 21 بیتی شبكه , میتوان حدود 2000000 شبكه تعریف كرد كه هر كدام قادر به سرویس دهی 254 كاربر خواهند بود .
می توان با توجه به بایت باارزشتر آدرس , كلاس سرور را مشخص كنید :
1- كلاس A : عدد سمت چپ IP ادرسهای كلاس A بین 0 تا 127 میباشد .
2- كلاس B : عدد سمت چپ IP ادرسهای كلاس B بین 128 تا 191 میباشد .
3- كلاس C : عدد سمت چپ IP ادرسهای كلاس C بین 192 تا 223 میباشد .
آدرسهای كلاس D :
قالب 32 بیتی كلاس D بصورت زیر است :
آدرس كاربر(28 بیت) 1110
در این كلاس پرارزشترین بیتها 1110هستند . و 28 بیت بعدی برای مقاصد گروهی بكار میروند .
آدرسهای كلاس E :
قالب 32 بیتی كلاس E بصورت زیر است :
آدرس كاربر(27 بیت) 11110
فعلا این دسته از آدرسها بدون استفاده اند .
یه سرور DNS دو قسمت داره :
** برنامه DNS :
كه تقاضای ترجمه نام از كامپیوترهای دیگه رو قبول میكنه و پس از پردازش به متقاضی جواب مناسبی میده .
** بانك اطلاعاتی :
كه داده های لازم برای ترجمه را در خودش ذخیره میكنه .
ما اطلاعاتموونو از این ركورد بدست میاریم . پس باید ساختار اوونو بشناسیم .
ساختار این بانكها در DNS سرورهای مختلف فرق میكنه ولی ساختار كلی و عمل اوونها مثل همه . به این بانك , بانك ركوردهای منبع ( فایل RR ) هم میگن . برای افزایش سرعت ترجمه بهتره كه این فایل بصورت دائم داخل حافظه نهان ( هموون كش ) سرور DNS قرار بگیره . از اوونجا كه تضمینی وجود نداره تا IP آدرسِ یه جایی بصورت دائمی یه آدرسِ به خصوصی باشه پس هر ركورد فایل RR یه زمان انقضایی باید داشته باشه .
ساختار كلی یه ركورد RR به این صورته :
1- Domain Name
2- Time to live
3- Class
4- Type
5- Value
اینها اطلاعات كلی هستند كه هر ركورد داخل فایل RR داره . ترتیب قرار گرفتن اوونا در سرورهای مختلف هم متفاوته .
و حالا ببینیم هر كدووم از فیلدهای RR چی هستن ؟
1- Domain Name :
همینطور كه از اسمش پیداست نام حوزه در این فیلد نگهداری میشه . مقدار این فیلد یكتا نیست چرا كه ممكنه یه كامپیوتر بیش از یه IP آدرس داشته باشه .
2- Time to live :
زمان انقضای فیلده كه قبلا در موردش توضیح دادم . معمولا در این فیلد مقدار 86400 ثانیه ( 24 ساعت ) رو قرار میدن .
3- Class :
برای مشخص كردن ماهیت نام حوزه هست كه در شبكه های مختلف فرق میكنه . در این فیلد میتوونه مقادیر IN (برای شبكه اینترنت) یا CHAOS و یا HESIOD مربوط به بقیه شبكه ها قرار میگیره .
از اوونجا كه بحث ما در مورد شبكه اینترنته , در RR هایی كه باهاشوون كار داریم همیشه در فیلد كلاسشوون مقدار IN قرار داره .
4- Type :
نوع ركورد رو مشخص میكنه .
مهمترین مقادیری كه Type میتوونه بگیره عبارتند از :
A) SoA ( Start of Authority) :
اطلاعاتی در مورد ناحیه آدرس نمادین , یك شماره سریال , مدیر تعریف اسامی و مهلت اعتبار رو مشخص میكنه . این ركورد آغاز تمام ركوردهایست كه در یك ناحیه خاص تعریف شدن . برای درك بهتر مطلب مثال زیر رو در نظر بگیرید :
Yahoo.com IN SOA Groups.yahoo.com
Root.Yahoo.Groups.com ( 5 ; Serial No.
7200 ; Refresh time ( sec )
3600 ; Retry time ( sec )
151200 ; Expire time ( sec )
86400 ) ; Minimum of time to live ( sec )
توضیح اینكه جملات پس از ; توضیحاتن و جز RR حساب نمیشن .
در این ركورد SOA آغاز تمام ركوردهایست كه در ناحیه Yahoo.com تعریف شده اند . یعنی كامپیوترهای سرور و گیرنده های E-mail كه با آدرس میل یاهو ارسال شده اند و ( دیگر سایتهای مربوط به یاهو ) در این حوزه تعریف میشن .
B ) A ( IP Address) :
معادلی كه در فیلد اول اوومده رو تعیین میكنه . توضیح اینكه اگر مقدار فیلدی خالی بود , مقدار فیلد سطر قبلی برای این فیلد هم در نظر گرفته میشه .
C ) MX ( Mail Exchange ) :
برای ارسال میلها با آدرسهای متفاوت به یك آدرس مورد نظر . مثلا فرض كنید شما دو آدرس پست الكترونیك از دو سرور جدا از هم داشته باشید و بخواهید تمام نامه های شما به آدرس یكی از آنها ارسال شود بنابراین با استفاده از این فیلد میتونید این كار رو انجام بدید . مثلا
Hotmail.com 86400 IN MX yahoo.com
باعث میشه تا تمام نامه های ارسالی به آدرس هات میل شما وارد پست الكترونیكی یاهوی شما شود .
D ) NS ( Name Server ) :
مشخص كننده نام ماشینی است كه قادر است آدرسهای یك حوزه را تحلیل كند . برای درك این موضوع یه مثال میزنم :
Microsoft.com 86400 IN NS ns.microsoft.com
Ns.Microsoft.com 86400 IN A x.y.z.w
این دو ركورد به این معنی اند كه تمام حوزه ها با نامهایی كه به Microsoft.com ختم میشوند برای مسیریابی و تشخیص IP آدرسشوون باید در كامپیوتری با IP آدرس x.y.z.w مورد بررسی قرار بگیرند .
E ) CNAME ( Canonical Name ) :
نامهای مستعار , راحتتر و مشابه برای یك سایت را تعیین میكنه . مثلا شما بجای نوشتن [تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ] برای سایت آلتاویستا میتوونید براحتی فقط [تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ] را تایپ كنید تا همان سایت آلتاویستا باز شه . این كار توسط تعریف زیر در RR صورت میگیره :
[تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ] 86400 IN CNAME [تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ]
F ) PTR ( Pointer ) :
این نوع ركورد هم مثل ركورد قبلیست فقط بجای نام حوزه مرجع , IP آدرس اوون قرار میگیره :
[تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ] IN PTR x.y.z.w
G ) HINFO ( Host Information ) :
این نوع ركوردها نوع سیستم عامل و كامپیوتر متناظر با اوون نام حوزه را مشخص میكنه :
[تنها کاربران عضو شده قادر به دیدن لینک ها هستند.. ] 86400 IN HINFO SUN UNIX
یعنی هاست متناظر با این سایت دارای سیستم عامل یونیكسه و سخت افزار اوون سازگار با مینی كامپیوترهای سان هستن .
H ) MINFO ( Mail Information) :
همان نوع قبلیه فقط برای مصخص كردن سیستم عامل و نوع كامپیوتر Mail Server مورد نظر بكار میره .
I ) TXT ( Text ) :
این نوع ركورد ارزش عملیاتی نداره و فقط مشخصاتی از قبیل صاحب شبكه و ... رو تعیین میكنه .
اینها انواع ركوردهایی بود كه میتوونه در RR قرار بگیره . حالا ببینیم این اطلاعات رو از كجا بیاریم و چطور ازشوون استفاده كنیم .
برای بدست آوردن بانك اطلاعاتی RR دو راه داریم (مهمه)
تورات سیستم عامل : سیستم عامل های Linux و Windows و كلا سیستم های مبتنی بر Unix و محصولات Microsoft از دستور nslookup استفاده میكنن ( بقیه سیستم عاملها رو نمیدوونم از كدوم دستور استفاده میكنن , اگه شما میدونید لطفا به منم بگین تا یاد بگیرم و اگه خواستین با اسم خودتون تو همین وبلاگ بنویسم ) . البته دستورات Host و Ding هم برای سیستمهای Unix بكار برده میشن ولی از نظر من nslookup بهتره . ( هر كسی یه نظری داره ! )
برای استفاده از دستور nslookup , به پنجره Dos در ویندوز یا shell در لینوكس برید . ( برای این كار میتوونید از كلیدهای Ctrl+Alt+F2 یا هر كلید تابعی دیگه غیر از F7 استفاده كنید تا ترمینال مجازی( Virtual Terminal)براتون باز بشه . در این پنجره میتوونید دستورات Unix رو اجرا كنید . برای Dos هم كه فكر نكنم كسی مشكل داشته باشه . ) و دستور nslookup رو تایپ كنید .
حالا شما در محیط nslookup هستید . اكنون با استفاده از دستور server نام سایت مورد نظر رو تایپ كنید تا اطلاعات اوون سایت برای استفاده شما آماده بشه . با دستور set type=any شما میتونید تمام اطلاعات مربوط به اوون سایت رو درخواست كنید و با دستور ls -d ( در لینوكس ) میتوونید اطلاعات ارسالی از سرور DNS رو ببینید . كلا بصورت زیر عمل كنید :
$ nslookup
server [نام یا ای پی سرور مورد نظر]
set type = any
ls -d [نام حوزه ]
در Dos هم هموون دستورات بالا قابل اجرا هستند ولی بجای Ls -d باید از Dir استفاده كنید .
2- استفاده ازنرم افزارهایی كه برای همین كار نوشته شده : همونطوری كه گفتم سیستم عامل یونیكس دستورات Host و Ding رو داره كه مشابه nslookup عمل میكنن . برای ویندوز هم میتونید از نرم افزار Ading برای اینكار استفاده كنید . علاوه بر این نرم افزارهای همه منظوره ای هم وجود دارند كه تمام كارهایی رو كه برای شناسایی در این 4 قسمت گفتم انجام میدن . نرم افزارهایی مثل :
Sam Spade
iNet Tools
Net Scan Tools
Cyber Kit
علاوه بر تمام نرم افزارها و روشهای بالا سایتهایی هم هستند كه این كار رو بصورت رایگان برای شما انجام میدن . البته مشخص نیست كه این سایتها تا كی به كارشوون ادامه میدن چرا كه برخی از این سایتها به خاطر انجام فعالیتهای غیر مجاز بلوكه میشن . سایتهایی مثل :
Network tools
Sam spade
Security space
Net tools
Dos help
DSL reports
اما چگونه از نشت این گونه اطلاعات كه هم مفیدند و هم مضر جلوگیری كنیم ؟(مهمه)
اگه یه یوزر عادی هستید كه هیچی !!! باید از یكی خط بگیرید ?كه در مقابل هكرها از شما محافظت كنه !!!
ما اگه مسئول یه شبكه اینترنتی هستید یا میتوونید برای حفاظت شبكه كاری انجام بدین بهتره كارهای زیر رو انجام بدین :
1- اینو مطمئن باشید كه كمتر كاربری به سیستم عامل و نوع سخت افزار شما توجه داره ( البته هر چه سیستم عامل و سخت افزار شما بهتر باشه , به خاطر سرعت و كیفیت بهتر خط , مشتری بیشتری دارید ولی اوونا به نوع وسائل شما كاری ندارند بلكه بیشتر به امكانات شما توجه میكنن ) پس چه دلیلی داره كه در فیلدهای متنی مثل HINFO یا MINFO یا TXT نوع سخت افزارتوون رو قرار بدین یا نوع سیستم عامل مورد استفادتوون رو ؟ این اطلاعات بیشتر به درد هكرها میخوره تا اینكه برای شما تبلیغ باشه . اصلا به نظر من بهتره خالی باشن .
2- از انتقال كامل اطلاعات مربوط به یك حوزه ( Zone Transfer ) جلوگیری كنید . اینم به یاد داشته باشید كه انتقال كامل اطلاعات مربوط به یك حوزه ( Zone Transfer ) معمولا برای انتقال ركوردها از DNS اولیه به DNS ثانویه برای بروز رسانی DNS ثانویه استفاده میشه و كاربرد دیگه ای برای كسی ( غیر هكرها ) نداره .
3- در تكمیل نكته دوم , دیوار آتش شبكه رو طوری تنظیم كنید كه پورت TCP-53 رو مسدود كنه . این پورت كار انتقال كلی ركوردها رو انجام میده . چون برای Query های DNS از پورت UDP-53 استفاده مشیه بنابراین بستن این پورت فقط از انتقال كل ركوردها جلوگیری میكنه و بس .
4- بهتره برای جلوگیری نشت اطلاعات داخلی شبكه از دو تا DNS یكی خارجی و دیگری داخلی استفاده كنید . با اینكار شما میتوونید توسط DNS خارجی حداقل اطلاعات رو در اختیار كاربران خارجی قرار بدین و DNS داخلی هم كل ركوردها و اطلاعات لازم رو برای كاربران داخل شبكه فراهم میكنه .
سیستمی است بین كاربران یك شبكه محلی و یك شبكه بیرونی (مثل اینترنت) كه ضمن نظارت بر بر دسترسی ها , در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد .
بسته های TCP و IP قبل و پس از ورود به شبكه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند . حاصل این پردازش احتمال وقوع سه حالت است :
1- اجازه عبور بسته صادر میشود (Accept Mode)
2- بسته حذف میشود (Blocking Mode)
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode)
همانطور كه همه جا ایست و بازرسی اعصاب خرد كن و وقتگیر است دیوار آتش نیز میتواند بعنوان یك گلوگاه باعث بالا رفتن ترافیك , تاخیر, ازدحام و بن بست شود .
از آنجا كه معماری TCP/IP بصورت لایه لایه است (شامل 4 لایه : فیزیكی, شبكه, انتقال و كاربردی ) وهر بسته برای ارسال یا دریافت باید از هر 4 لایه عبور كند بنابراین باید برای حفاظت باید فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم . بیشترین اهمیت در لایه های شبكه , انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصربه فرد نیست و در طول مسیر عوض میشود . پس به یك دیوار آتش چند لایه نیاز داریم .
قسمت سوم
سیاست امنیتی یك یك شبكه مجموعه ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از یه لایه دیوار آتش تعریف میشوند . كارهایی كه در هر لایه از دیوار آتش انجام میشود عبارتست از :
1- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش)
2- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و …(لایه دوم دیوار آتش)
3- تحلیل یرآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیوار آتش)
A - در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
** آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبكه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
** آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبكه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .
** شماره شناسایی یك دیتا گرام تكه تكه شده( Id & Fragment Offset ) : بسته هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف میشوند .
** زمان حیات بسته : بسته هایی كه بیش ازتعداد مشخصی مسیریاب را طی كرده اند حذف میشوند.
** بقیه فیلدها بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند .
بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا كه در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست . به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده به بسته های غیر مجاز اجازه عبور نمیدهند .
با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه های بالاتر اعمال میشود .
B - در لایه دوم فیلدهای سرآیند لایه انتقال بررسی میشوند :
** شماره پورت پروسه مبدا و مقصد : با توجه به این مساله كه شماره پورتهای استاندارد شناخته شده اند ممكن است مدیر دیوار آتش بخواهد بخواهد مثلا سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیوار آتش بسته های TCP با شماره پورت 20 و 21 كه قصد ورود یا خروج از شبكه را داشته باشند حذف میكند . ویا پورت 23 كه مخصوص Telnet است اغلب بسته است . یعنی بسته هایی كه پورت مقصدشان 23 است حذف میشوند .
** كدهای كنترلی (TCP Code BITS) : دیوار آتش با بررسی این كدها به ماهیت بسته پی میبرد و سیاستهای لازم برای حفاظت را اعمال میكند . مثلا ممكن است دیوار آتش طوری تنظیم شده باشد كه بسته های ورودی با SYN=1 را حذف كند . بنابراین هیچارتباط TCP از بیرون به شبكه برقرار نمیشود .
**یلد شماره ترتیب و Acknowledgement : بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی اند .
در این لایه دیوار آتش با بررسی تقاضای ارتباط با لایه TCP , تقاضاهای غیر مجاز را حذف میكند . در این مرحله دیوار آتش به جدولی از شماره پورتهای غیر مجاز دارد . هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورتهای بیشتری بسته شوند بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه سوم اعمال میشود .
C - در لایه سوم حفاظت بر اساس نوع سرویس و برنامه كاربردی صورت میگیرد :
در این لایه برای هر برنامه كاربردی یك سری پردازشهای مجزا صورت میگیرد . بنابراین در این مرحله حجم پردازشها زیاد است . مثلا فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنهایید . در اینجا دیوار آتش به كمك شما می آید و برخی آدرسهای الكترونیكی مشكوك را بلوكه میكند , در متون نامه ها به دنبال برخی كلمات حساس میگردد و متون رمزگذاری شده ای كه نتواند ترجمه كند را حذف میكند .
یا میخواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد .
همانطور كه متوجه شدید دیوار آتش در هر یه لایه TCP/IP اعمال میشود لیكن در لایه Network Interface یا اولین لایه اعمال نمیشود . این به این دلیل است كه چون اطلاعات این به هر شبكه ای كه وارد شد تغییر میكند , بدرد هكرها نمیخورد بنابراین لزومی ندارد كه این لایه هم حفاظت شود .
انواع دیوارهای آتش :
A ) دیوارهای آتش هوشمند :
امروزه حملات هكرها تكنیكی و هوشمند شده است به نحوی كه با دیوارهای آتش و فیلترهای معمولی كه مشخصاتشان برای همه روشن است نمیتوان با آنها مقابله كرد . بنابراین باید با استفاده از دیوارهای آتش و فیلترهای هوشمند با آنها مواجه شد .
از آنجا كه دیوارهای آتش با استفاده از حذف بسته ها و بستن پورتهای حساس از شبكه محافظت میكنند , و چون دیوارهای آتش بخشی از ترافیك بسته ها را به داخل شبكه هدایت میكنند ,(چرا كه درغیر این صورت ارتباط ما با دنیای خارج از شبكه قطع میشود . ) بنابراین هكرها میتوانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورتهای باز به شبكه حمله كنند.
بر همین اساس هكرها ابتدا بسته هایی ظاهرا مجاز را بسمت شبكه ارسال میكنند .
یك فیلتر معمولی اجازه عبور بسته را میدهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را میدهد . بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل میكند . برای جلوگیری از ان نوع نفوذها دیوارآتش باید به آن بسته هایی اجازه عبور دهد كه با درخواست قبلی ارسال شده اند .
حال با داشتن دیوار آتشی كه بتواند ترافیك خروجی شبكه را برای چند ثانیه در حافظه خود حفظ كرده و آنرا موقع ورود و خروج بسته مورد پردازش قرار دهد میتوانیم از دریافت بسته های بدون درخواست جلوگیری كنیم .
مشكل این فیلترها زمان پردازش و حافظه بالایی است كه نیاز دارند . اما در عوض ضریب اطمینان امنیت شبكه را افزایش میدهند .
B ) دیوارهای آتش مبتنی بر پروكسی :
دیوارهای آتش هوشمند فقط نقش ایست وبازرسی را ایفا میكنند و با ایجاد ارتباط بین كامپیوترهای داخل و خارج شبكه كاری از پیش نمیبرد . اما دیوارهای آتش مبتنی بر پروكسی پس از ایجاد ارتباط فعالیت خود را آغاز میكند . در این هنگام دیوارهای آتش مبتنی بر پروكسی مانند یك واسطه عمل میكند , به نحوی كه ارتباط بین طرفین بصورت غیر مستقیم صورت میگیرد . این دیوارهای آتش در لایه سوم دیوار اتش عمل میكنند . بنابراین میتوانند بر داده های ارسالی در لایه كاربرد نیز نظارت داشته باشند .
دیوارهای آتش مبتنی بر پروكسی باعث ایجاد دو ارتباط میشود :
1- ارتباط بین مبدا و پروكسی
2- ارتباط بین پروكسی و مقصد
حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابی قرار دهد در حقیقت پروكسی را مورد ارزیابی قرار داده است و نمیتواند از داخل شبكه اطلاعات مهمی بدست آورد .
دیوارهای آتش مبتنی بر پروكسی به حافظه بالا و CPU بسیار سریع نیاز دارند . و از انجا كه دیوارهای آتش مبتنی بر پروكسی باید تمام نشستها را مدیریت كنند گلوگاه شبكه محسوب میشوند . پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه میشود .
اما بهترین پیشنهاد برای شبكه های كامپیوتری استفاده همزمان از هر دو نوع دیوار آتش است . با استفاده از پروكسی به تنهایی بارترافیكی زیادی بر پروكسی وارد میشود . با استفاده از دیوارهای هوشمند نیزهمانگونه كه قبلا تشریح شد به تنهایی باعث ایجاد دیواری نامطمئن خواهد شد . اما با استفاده از هر دو نوع دیوار أتش بصورت همزمان هم بار ترافیكی پروكسی با حذف بسته های مشكوك توسط دیوار آتش هوشمند كاهش پیدا میكند و هم با ایجاد ارتباط واسط توسط پروكسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری میشود .
البته این نوع دیوار آتش برای سیستمهایی كه اطلاعات محرمانه دارند كاربرد دارد و برای كاربردهای معمولی كمتر استفاده میشود .
C ) دیوارهای آتش شخصی :
دیوارهای آتشی كه معرفی شد دیوارهای آتشی هستند كه توسط مدیر شبكه و برای كل شبكه استفاده میشوند . حال اگر شبكه ای این امكانات را برای كاربران خود فراهم نكند , شخصی كه میخواهد مانع از دزدیده شدن اطلاعاتش شود یا از مزاحمتهای دیگران ممانعت بعمل آورد چه باید بكند ؟
TCP/IP امكان حفاظت از اطلاعات را فراهم نكرده است اما با استفاده از دیوار آتش شخصی كه در سطح كاربرد TCP/IP استفاده میشود میتوانید از كامپیوترتان در مقابل نفوذ هكرها دفاع كنید .
اگر از ویندوز XP استفاده میكنید , خود ویندوز امكانات دیوار آتش رایگانی برای شما فراهم كرده است , اما در غیر اینصورت میتوانید با استفاده از برنامه هایی كه به همین منظور تهیه شده اند از سیستمتان دفاع كنید .
معروفترین و بهترین برنامه ها در این راستا برنامه های زیر میباشند :
Norton Firewall
یه سیستم امنیتی که با توجه به ترافیک شبکه ، مسئول شبکه رو از فعالیت هکرها مطلع می کنه .
IDS در دو لایه شبکه و کاربرد عمل می کنه .
IDS در سطح شبکه :
در این لایه سیستم یک بانک اطلاعاتی از انواع حملات ، بسته های IP رو مورد پردازش قرار داده و در صورت وقوع حمله ، مسئول شبکه رو مطلع می کنه و خودش به تعقیب حمله ادامه می ده .
IDS در سطح کاربرد :
در این لایه IDS تمام تقاضاهای ارسالی رو مورد پردازش قرار می ده و در صورت دریافت تقاضای نامربوط به مسئول شبکه اخطار می ده . با توجه به عملکرد IDS در سطح کاربرد ، برای هر برنامه کاربردی ، به یک IDS مربوط به هموون برنامه نیاز داریم .
اما هکرها در مقابل این سیستمها چکار می کنند ؟
برای عبور از IDS سطح شبکه ، باید ترافیک بسته ها رو بگونه ای تنظیم کرد که سیستم نتوونه بسته های خطرناک رو تشخیص بده . برای این منظور باید از روشهایی استفاده کرد که بانک اطلاعاتی IDS نتوونه اوون حمله رو تشخیص بده . بهترین راه برای اینکار برنامه نوپسی است .
اما روشهای دیگه هم برا ی اینکار وجود دارند .
IDS برای کشف خطر ، اغلب از سرآیند بسته TCP استفاده می کنه و با مجاز تشخیص دادن بسته اول به بقیه بسته ها اجازه عبور می ده . حالا فرض کنید یه بسته برای برقراری ارتباط با پورت 23 ارسال کنیم . با توجه به مطلب فوق می توونیم با شکستن بسته IP طوری که شماره پورت مبدا در یک بسته و شماره پورت مقصد در یک بسته دیگه قرار بگیره می توونیم از IDS عبور کنیم . چرا که IDS به خاطر نداشتن شماره پورت مقصد ، به خیال متعارف بودن بسته ، به اوون اجازه عبور می ده .
روش دیگه برای اینکار استفاده از فیلد Fragment Offset از بسته IP است . برای اینکار بسته اول با مشخصات متعارف به سمت هدف ارسال می شه . IDS با مجاز تشخیص دادن اوون به بقیه بسته ها هم اجازه عبور می ده . حالا بسته دوم رو که بر اساس مقاصد هکره با تنظیم Fragment Offset طوری که اطلاعات اوون روی بسته اول نوشته بشه بسمت هدف فرستاده می شه .
برای تکه تکه کردن سته ها می توان از نرم افزار هایی که برای اینکار نوشته شدن استفاده کرد . یکی از این نرم افزارها ، FragRouter هست .اماهکرها چطور از دست IDS در سطح کاربرد فرار می کنند ؟
اکثر برنامه های تحت وب بر اساس اسکریپتهای CGI یا ASP نوشته می شوند . اساس کار این اسکریپتها در ذخیره و بازیابی اطلاعات و یا عملیاتهای Online هست .
هکرها سعی می کنند تا با پیدا کردن نقاط ضعف این اسکریپتها از اوونا برای حمله به هدف استفاده کنند .
IDS برای تشخیص حمله در سطح کاربرد ، درخواستهای GET ، POST ، PUT و DELETE رو بررسی می کنه و در صورت دریافت درخواستی که یک اسکریپت رو اجرا کنه ، اعلام خطر می کنه .
یکی از نرم افزارهایی که برای اینکار مورد استفاده قرار می گیره ، Whisker هست که می توونید از ????? دانلودش کنید .
این نرم افزار یه بانک اطلاعاتی شامل نقاط ضعف بیش از 500 نوع اسکریپت مختف CGI و ASP داره .
Whisker برای فرار از IDS در سطح کاربرد ، از روشهای مختلفی استفاده می کنه .
بهترین پِشنهاد برای مقابله ، استفاده همزمان از هر دو نوع IDS هست . چرا که هکر برای منظور خود از هر راهی استفاده خواهد کرد . بنابراین از نرم افزارهایی مثل FragRouter و Whisker بصورت تواما استفاده می کند .
IDS در سطح شبکه بر ترافیک بسته ها و IDS در سطح کاربرد بردرخواستها نظارت می کند .
یکی دیگه از ابزارهای شناسایی هست که هم می توونه برای هکرها و هم مسئولین شبکه مفید باشه .
plag-in های زیادی برای این نرم افزار وجود داره که با استفاده از اوونا می توان از این نرم افزار بهترین استفاده رو ببریم .
این نرم افزار در دو قسمت Client و Server طراحی شده که قسمت Client اوون می توونه روی هر ماشینی اجرا بشه . کار این قسمت ارسال دستورات کاربر به Server Nessus . بنابراین برای ماشینهایی که پهنای باند محدودی دارند مفیده . اما بخش سرور دستورات کاربر رو اجرا می کنه . ساده ترین راه برای استفاده از امکانات این نرم افزار نصب هر دو قسمت روی یک کامپیوتره .
هر دو قسمت این نرم افزار در محیطهای Unix و به خصوص Linux به خوبی کار می کنه . اما Windows فقط قسمت Client اوون رو پشتیبانی می کنه .
این نرم افزار Open Source هست و این قابلیت رو داره تا با نوشتن Plag-in ها بوسیله برنامه نویس توسعه داده بشه .
شما می توونید Plag-in هایی رو با C بنویسید و با استفاده از NAPI (Nessus Application Interface) اوون رو به بقیه Plag-in ها متصل کنید .
Nessus همچنین نرم افزار Nmap رو در خودش جا داده . و می توونه با استفاده از Plag-in های موجود ، کار Firewalk رو هم انجام بده .
اما Nessus یه بانک با بیش از 500 نوع Plag-in داره که مهمترین دسته های این Plag-in ها عبارتند از :
Windows :
برای حملات به سیستمهای مبتنی بر ویندوز .
Backdoor :
برای کشف ویروسهای اسب تراوا بر روی ماشین هدف .
Denial of service :
برای یافتن حفره هایی که قادرند کل شبکه رو مختل کنند .
Miscellaneouse :
برای تشخیص نوع سیستم عامل .
General :
برای کشف نوع و ویرایش سرور وب ، FTP و Mail بکار می ره .
Firewall :
برای کشف نقاط ضعف دیوار آتش .
پاسخ با نقل قول
نوشته اصلی توسط ha8i8eh
