بنام خدا آموزش هك مقدمات قبل از شروع يادگيری هک ترمينولوژی (اصطالحشناسی) Hackerکيست ؟ هکر کسی است که با سيستم های کامپيوتری آشناست و میتواند با روشهايی خاص (بدون اجازه) وارد آنها شود ...اين انسان میتواند خوب يا بد باشد ( در هر حال هکر است ) سوال :يک هکر از چه راهی وارد يک سيستم میشود؟از راه شبکه (نه بابا ! ) بايد توجه کنيد که هر سيستم کامپيوتری (به عبارت بهتر هر سيستم عامل) به هر حال محصول کار تعدادی انسان است و حتما دارای تعدادی ( bugخطاهايی که بعد از ارائه محصول به بازار به تدريج کشف میشوند) خواهد بود .بعد از اينکه يک باگ مشخص شد ،شرکت ها نرمافزارهايی را بهسرعت (در عرض چند ساعت ) ايجاد میکنند تا مشکل رفع شود اينها را patch میگويند .و بعد مديران شبکه ( )Wbemastersدر عرض چند روز تا چند سال (آين آخری در مورد ايرانه) آنها را download کرده و مشکل را حل میکنند .در اين فاصله هکرها دمار از روزگار اين سايتها در میاورند... تعريف چند اصطالح: *** Hackerواقعی = سامورايی : کسی که هدفش از نفوذ به سيستمها نشان دادن ضعف سيستمهای کامپيوتری است نه سوءاستفاده ... *** ( Wackerواکر): کسی که هدفش از نفوذ به سيستمها ،استفاده از اطالعات آن سيستمهاست (جرو هکرهای کاله سياه ) *** ( Crackerکراکر): کسی که هدفش از نفوذ به سيستمها ،خرابکاری و ايجاد اختالل در سيستمهای کامپيوتری است( .جرو هکرهای کاله سياه ) *** : Preaker از قديميترين هکرها هستند که برای کارشان نياز (و دسترسی) به کامپيوتر نداشتند و کارشان نفوذ به خطوط تلفن برای تماس مجانی ،استراقسمع و ...بود .اين جزو آموزش من نيست چون کار خيلی بديه (;- انواع کامپيوترهای شبکه: کامپيوترهای : Serverکامپيوترهايی که کارشان تامين اطالعات در شبکه است ،مثآل کامپيوترهايی که سايتها را نگه میدارند. => کامپبوترهای : Clientکامپيوترهايی که استفاده کننده هستند مثل همين کامپيوتر خودتان که داريد ازش کار میکشيد. ه میکنند: انواع سيستم عاملهايی که Serverها از آن استفاد => سيستمهای فعلی: * خانواده ( Unixمثل ) FreeBSD, Linux, Sun Solaris * خانواده ( Windowsمثل ) WinNT, Win2000 * OsMac => سيستمهای قديمی (منقرض شده -آخيش ! ): ... , AIX, IRIS, DEC10, DEC20 سوال :کدامها را بايد ياد گرفت؟) Win2000, Unix(Linuxرا بايد ياد بگيريد .پيشنهاد من اين است که Win2000و RedHat Linuxرا روی کامپيوتر خود همزمان داشته باشيد. برای شروع چه چيزی الزم است؟ Win2000 , Linux -۱را روی کامپيوتر خود نصب کرده و شروع به يادگيری کنيد. -۲شروع به يادگيری زبان Cکنيد. -۳شروع به يادگيری TCP/IPکنيد( .يک کتاب بخريد ) -۴مهمترين چيز عالقه به طی کردن يک را بسييييييار طووووووالنی تقسيمبندی انواع حمالت اولين نکتهای که الزم است بگويم اينه که وقت خود را برای هک کردن کامپيوترهای کالينت هدر ندهيد (اگرچه برای افراد مبتدی کار با نرمافزاری مثل Sub7زياد هم بد نيست ولی نبايد زيادهروی کرد) علت هم اينه که هربار ه آنها اختصاص که به اينترنت وصل میشوند ipجديدی ب پيدا میکنه و زحماتتون هدر میره (البته برای جلوگيری از اين امر هم روشهايی هست که در آينده ايشالله ميگم). حاال تقسيمبندی: -۱حمله به روش )Denial of Service Attack) DoS -۲حمله به روش Exploit -۳حمله به روش ( Info Gatheringتلنت کردن يکی از مثالهای آن است که امروز آموختيد) -۴حمله به روش Disinformation در مورد هرکدام بهزودی توضيح میدم. 133t Speakچيست؟ گاهی هکرها در هنگام نوشتن به جای تعدادی از حروف انگليسی معادلهای قراردادی به کار میروند که ليست آنها را در زير میبينيد: O =< 0 1 <= L; I 2 <= Z 3 <= E 4 <= A 5 <= S 6 <= G 7 <= T 8 <= B | <= L; I )@ <= at (duh $ <= S )( <= H }{ <= H N =< /\/ \/\/ <= W /\/\ <= M |> <= P; D |< <= K ph <= f z <= s : میشودhe Speaks مثال z <|34>|$ 3{} ترسيم مسير برای آينده -۱اولين و مهمترين تصميم انتخاب نوع کامپيوتری است که میخواهيد هک کنيد ( کالينت يا سرور ) ،زيرا روشهک کردن ايندو بجز در مراحل ابتدايی کامال متفاوت است. -۲دومين گام انتخاب يک کامپيوتر مشخص (مثال کامپيوتری که فالن سايت را نگه میدارد که مثالی برای کامپيوتر سرور است و يا کامپیوتر فالن شخصی که با او چت میکنيد که مثالی برای کامپيوتر کالينت است) و جمعآوری اطالعات در مورد آن است .اين جمعآوری اطالعات از قربانی ( )Victimرا Footprintingگويند .اولين مشخصهای که بايد کشف شود ip ،اوست .يکی ديگر از اطالعات مهم که معموال دنبالش هستيم ،پيدا کردن نوع سيستمعامل و نيز برنامههايی است که کامپيوتر شخص از آنها بهره میبرد .يکی از مهمترين ( و گاه خطرناکترين) کارها، تستکردن پورتهای آن کامپيوتر برای ديدن اينکه کدام پورتها باز و کدامها بسته هستند. . -۳مرحله بعدی در واقع شروع تالش برای نفوذ به سيستم است .اين نفوذ سطوح مختلف دارد و باالترين آن که در کامپيوترهای سرور روی میدهد ،حالتی است که بتوان usernameو password مربوط به مدير کامپيوتر ( )administratorيا superuserرا بهدست آورده و از طريق اين Shell Accountبه نهايت نفوذ دست يابيم ولی گاه بهداليل مختلف (مربوط به سطح علمی خود و ) ...نمیتوان به اين سطح دستيافت اما به هر حال برای مرحله بعدی میتواند استفاده شود .اين مرحله جايی است که هنر شما يه عنوان يک هکر آغاز شده و نيز به پايان میرسد. -۴اين مرحله بعد از نفوذ روی میدهد که در آن به يک سطحی از کنترل سيستم رسيدهايد .رفتار شما در اين مرحله مشخص میکند که چه نوع هکر هستيد(سامورايی ،واکر و يا کراکر) و اينکه آيا جنبه ياد گرفتن را داشتهايد يا نه ،همينجا مشخص خواهد شد. -۵مرحله آخر پاک کردن ردپاست تا گير نيفتيم (البته بعضی وقتها برای کالس گذاشتن بايد گير بيفتيم ،هه هه .)...بعضی از سيستمها آمار loginرا نگه میدارند که در مورد آنها اين مرحله بسيار مهم است. خالصه مطالب باال به اين صورت است: >Selection -> FootPrinting -> Penetration -> [Changings] - Cleaning تعريف ipو : port شماره ايست که به هر کامپيوتر متصل به اينترنت داده میشود تا بتوان بهکمک آن شماره به آن کامپيوترها دسترسی داشت .اين عدد برای کامپيوترهايی که حالت سرور دارند (مثال سايتها) و نيز کامپيوترهای کالينتی که معموال به روشی غير از شمارهگيری ( )Dial Upبه اينترنت وصل هستند ،عددی ثابت و برای ديگران عددی متغير است .مثال هر بار که شما با شرکت ISPخود تماس گرفته و به اينترنت وصل میشويد ،عددی جديد به شما نسبت داده میشود. اين عدد يک عدد ۳۲بيتی ( ۴بايتی) است و برای راحتی بهصورت زير نوشته میشود: xxx.xxx.xxx.xxxکه منظور از xxxعددی بين ۰تا ۲۵۵است (البته بعضی شمارهها قابل استفاده نيست که بعدا علت را توضيح خواهم داد) .مثال ممکن است آدرس شما به صورت 195.219.176.69باشد .حتی اسمهايی مثل www.yahoo.comکه برای اتصال استفاده میکنيد ،در نهايت بايد به يک IPتبديل شود ،تا شما سايت ياهو را ببينيد. در IPمعموال xxxاولی معنای خاصی دارد ،که بعدا توضيح میدهم ...فقط اين را بگويم که اگر به روش Dial Upبه اينترنت وصل شويد ،معموال عددی که به عنوان xxxاول میگيريد ،مابين 192تا 223خواهد بود.اين توضيح برای تشخيص کامپيوترهای کالينت از سرور (حداقل در ايران) بسيار میتواند مفيد باشد. بعد از اتصال به اينترنت برای به دست آوردن IPخود ،از دستور IPCONFIGدر command promptاستفاده کنيد( .البته يک سری نکات فنی داريم که بعدا میگم) Portدر ساده ترين تعريف ،محلی است که دادهها وارد با خارج میشوند .در مبحث هک معموال با پورتهای نرمافزاری سروکار داريم که به هر کدام عددی نسبت میدهيم .اين اعداد بين ۱و ۶۵۵۳۵هستند .معموال به يک سری از پورتها کار خاصی را نسبت میدهند و بقيه بهصورت پيشفرض برای استفاده شما هستند .پورتهای که فعال هستند ،هرکدام توسط يک نرمافزار خاص مديريت میشوند .مثال پورت ۲۵برای ارسال Emailاست ،بنابراين بايد توسط يک نرمافزار اين کار انجام شود و اين نرمافزار بر روی پورت ۲۵منتظر (فالگوش) میماند .اينجا ممکن است شخصی از فالن نرمافزار و ديگری از بهمان نرمافزار استفاده کند ولی بههر حال پورت ۲۵هميشه برای ارسال Emailاست. Command Promptچيست؟ در بسياری از درسهای آينده از ( Command Promptخط فرمان) ويندوز استفاده خواهيم کرد .برای باز کردن آن يکی از روشهای زير را به کار بريد: -۱مسير زير را در ويندوز طی کنيد: Start > Programs > Accessories > Command Prompt در قسمت Runبنويسيد command :يا cmd پيدا کردن ipيک سايت با دانستن آدرس اينترنتی آن (پيدا کردن ipسرور) برای اين کار روشهای مختلفی هست: -۱در ( IE( Internet Explorerآدرس را تايپ کنيد و Enterرا فشار دهيد .در قسمت پايين مرورگر يعنی Status Barپس از چند لحظه برای مدت کوتاهی ipنمايش داده میشود و میتوانيد آنرا يادداشت کنيد .اگر طول اين مدت بسيار کوتاه است میتوانيد از صفحه عکس بگيريد ( با دکمه ) Print Screenو در يک نرمافزار گرافيکی بعد از باز کردن يک صفحه خالی به کمک Ctrl+Vآنرا مشاهده کنيد [ .عجب راه احمقانهای ;)- اگر اين کار را برای www.yahoo.comانجام دهيم: که همان شماره ipبرای www.yahoo.comاست. نکته بسيار مهم اين است که بهدليل ضريب اشتباه بسيار باالی آن هيچگاه از اين روش استفاده نکنيد .نتايج ممکن است کامال اشتباه باشد که بعدا ميگم چرا. -۲دستور pingرا در command promptصادر کنيد: ping domain در اين حالت میتوانم ipآن سايت را مالحظه کنم( .البته کار اصلی pingيک چيز ديگست و ميشه گفت داريم ازش سوءاستفاده میکنيم) .مثال برای پيدا کردن ipسازين مینويسم: ping sazin.com و جواب میشنوم: Pinging sazin.com [63.148.227.65] with 32 bytes of data: Reply from 63.148.227.65: bytes=32 time=821ms TTL=111 Reply from 63.148.227.65: bytes=32 time=821ms TTL=111 Reply from 63.148.227.65: bytes=32 time=822ms TTL=111 Reply from 63.148.227.65: bytes=32 time=811ms TTL=111 Ping statistics for 63.148.227.65: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 811ms, Maximum = 822ms, Average = 818ms مالحظه میفرماييد که ipسازين 63.148.227.65است. اگر دستور pingرا بهجای sazin.comبرای www.sazin.comصادر کنيد ،جواب همان است .البته برای سايتهای بزرگ جوابهای حاصل متفاوت خواهد بود. -۳روش بعدی و کاملترين روش whoisکردن به بعضی سايتهای خاص است .بعدا اين را کاملتر توضيح میدم ولی فعال روشش رو میگم .آدرس زير را در مرورگر خود تايپ کنيد: http://www.samspade.org/t/ipwhois?a=xxxxxx که بهجای xxxxxxآدرس مورد نظر را تايپ کنيد .مثال برای sazin.comيکی از دو آدرس زير را بايد تايپ کرد: http://www.samspade.org/t/ipwhois?a=sazin.com http://www.samspade.org/t/ipwhois?a=www.sazin. com :چيزی که در صفحه ظاهر میشود به صورت زير است whois -h magic 63.148.227.65 sazin.com resolves to 63.148.227.65 Trying whois -h whois.arin.net 63.148.227.65 Qwest Communications NET-QWEST-BLKS-2 (NET-63-144-0-0-1) 63.144.0.0 - 63.151.255.255 Neutron Digital Media Corp. QWST-63-148-224 (NET-63-148-224-0-1) 63.148.224.0 63.148.231.255 # ARIN Whois database, last updated 2002-09-04 19:05 # Enter ? for additional hints on searching ARIN"s Whois database . در سطر اول و دوم ذکر شده استip که آدرس اگر دو روش آخر را برای سايت بزرگ yahoo انجام دهيم ،نتايج زير را میبينيم: >-روش ping :www.yahoo.com ====> 64.58.76.229 yahoo.com ====> 66.218.71.198 >-روش : whois...و >==== www.yahoo.com 66.218.71.86 64.58.79.230و >==== yahoo.com 66.218.71.198 نتايج حاصل گويای آن است که چرا بهتر است از whoisاستفاده کنيم. - تقسيم بندی آدرسهای ip آدرسهای ipبه ۵کالس تقسيمبندی میشوند که Aتا Eنام دارند ولی از اين بين سه کالس اول (يعنی )C,B,Aکاربرد عملی دارند که آنها را شرح میدهيم: -۱کالس :Aاگر ipرا بهصورت xxx.yyy.yyy.yyyدر نظر بگيريد ،اين کالس تمام ipهايی را شامل میشود که xxxبين ۱تا ۱۲۶است .اين کالس ويژه backboneهای بزرگ اينترنتی است و در هنگام ثبت domainبرای گرفتن ipاز آنها استفاده میشود .بنابراين اکثر سايتها چنين ipهايی دارند .اين کالس را /8 هم میگويند. -۲کالس :Bاين کالس تمام ipهايی را شامل میشود که xxxبين ۱۲۸و ۱۹۱ است .اين کالس هم از جمله کالسهای پرکاربرد است .اين کالس را /16هم میگويند. -۳کالس :Cاين اين کالس تمام ipهای را شامل میشود که xxxبين ۱۹۲و ۲۲۳ است .اين کالس معموال به ISPهايی که خدمات dial-upارائه میدهند ،تعلق میگيرد (اين جمله چندان مستند نيست .).بنابراين اگر بهصورت dial-upبه اينترنت متصل شويد ،چنين ipمیگيريد .اين کالس را /24هم میگويند. سوالی که پيش میآيد اين است که xxxچرا نه در کالس Aو نه در ،Bعدد ۱۲۷ را شامل نمیشود؟ جواب اين است که ۱۲۷برای کامپيوتر خودمان رزرو شده است .مثال 127.0.0.1معموال يعنی localhostيعنی خودمان. بهدست آوردن ipخودتان بعد از اتصال به اينترنت برای اينکار راههای متفاوتی وجود دارد: -۱راحتترين راه استفاده از دستور ipconfigاست .من با تايپ کردن آن به نتايج زير رسيدم: Active Connections Proto Local Address Foreign Address State TCP 217.66.198.116:2469 64.58.76.177:80 ESTABLISHED TCP 217.66.198.116:2471 66.163.175.130:80 ESTABLISHED TCP 217.66.198.116:2473 212.73.194.143:80 ESTABLISHED TCP 217.66.198.116:2474 212.73.194.143:80 ESTABLISHED TCP 217.66.198.116:2476 212.73.194.136:80 SYN_SENT ستونی که زير عبارت Local Addressقرار دارد ip ،من در آن اتصال است .بنابراين ipمن در آن اتصال 217.66.198.116بوده است. که آدرس ipتان را میتوانيد در سطر Ip Addressببينيد( .مسئله پروکسی را فعال ناديده بگيريد) بعد از اتصال به اينترنت حداقل يک صفحه باز کنيد و بعد دستور-۲ من با تايپ اين. تايپ کنيدcommand prompt را درnetstat -n :دستور به نتايج زير رسيدم Active Connections Proto Local Address Foreign Address State TCP 217.66.198.116:2469 64.58.76.177:80 ESTABLISHED TCP 217.66.198.116:2471 66.163.175.130:80 ESTABLISHED TCP 217.66.198.116:2473 212.73.194.143:80 ESTABLISHED TCP 217.66.198.116:2474 212.73.194.143:80 ESTABLISHED TCP 217.66.198.116:2476 212.73.194.136:80 SYN_SENT من در آن اتصالip ، قرار داردLocal Address ستونی که زير عبارت . بوده است217.66.198.116 من در آن اتصالip بنابراين.است Port Scanning چگونه يک ارتباط TCPبرقرار میشود که بگوييم فالن پورت باز است يا نه؟ برای اينکه تعيين کنيم که يک پورت روی يک سرور باز است يا نه ،معموال بايد يک TCP connect scanانجام دهيم .اول اين را بگم که Port Scanningانواع مختلف دارد که فعال ما نوع TCP connectرا مدنظر داريم .اين نوع اسکن سه مرحله دارد که به آن TCP"s 3- way handshakeمیگويند: -۱اول کامپيوتر ما به سمت سرور يک SYN packetمیفرستد که به معنی درخواست اتصال است. -۲اگر سرور اين درخواست را قبول کند ،در مرحله دوم سرور به سمت ما يک SYN/ACK packetمیفرستد. -۳در مرحله آخر کامپيوتر ما يک ACK packetبه سمت سرور میفرستد. نوع ديگری از پورت اسکن TCP SYN scanنام دارد .با توجه به اينکه معموال اگر پورت اسکن به روش باال ( )TCP connect scanانجام دهيم ،معموال در سرور اين اتصال ذخيره خواهد شد و بعدا میتواند ما را رديابی کنند ،به جای آن میتوان از TCP SYN scan استفاده کرد .در اين نوع اسکن ،مراحل ۱و ۲از باال انجام میشود ولی مرحله ۳نه! اگر در مرحله ۲به ما يک SYN/ACKبرسد ،آن پورت باز است و اگر يک RST/ACKبرسد، يعنی بسته است. انواع ديگری از پورت اسکنينگ هم وجود دارد مثل UDP scan, TCP Window scan, TCP ACK scan, TCP Null, TCP Xmas Tree, TCP FIN Scan چگونه میتوان عمل Port scanningرا انجام داد؟ در تمام مطالبی که تا اين مرحله گفتهام سعی کردهام که فقط از ابزارهای موجود در ويندوز استفاده کنم و هيچ ابزار ديگری بهکار نبرم ،اما در ن کار نيست، مبحث پورت اسکنينگ چون هيچ ابزاری در ويندوز برای اي بهناچار بايد يک سری برنامه را از اينترنت داونلود کنيد( .توجه داشته باشيد که فعال حرفی از لينوکس نزدهام و سعی میکنم فعال هيچ بحثی را در مورد آن مطرح نکنم) برای Port Scanningمیتوان از ابزارهای مختلفی استفاده کرد که اکثرا برای لينوکس طراحی شدهاند ،اما مهمترين پورت اسکنرها برای ويندوز عبارتند از: -۱نرمافزار : NMapWin v1.3.0 نسخه گرافيکی و مخصوص ويندوز برای nmapاست ( nmapدر لينوکس استفاده میشود) nmap .از کاملترين ابزارهايی است که هکرها استفاده میکنند که عالوه بر توانايی انواع پورت اسکنينگها، میتواند کارهای بسياری چون تشخيص سيستمعامل سرور و ...را انجام دهد .اين ابزار را بعدا توضيح خواهم داد ولی فعال برای کار ما ش از حد کامله ;)- بي : NetScanTools Pro 2000 -۲ ه جای اين هم از بهترينهاست ولی چون پولی است ب داونلود بايد در CDهايی که در بازار هست پيدايش کنيد. : WinScan -۳ برای اسکن کردن ( TCPونه )UDPمیتوانيد از آن استفاده کنيد .من زياد ازش خوشم نيومد. : ipEye v1.2 -۴ من در این درس از اين نرمافزار استفاده خواهم کرد، برای داونلود آن میتوانيد به سايت www.ntsecurity.nuمراجعه کنيد يا مستقيما با کليک روی اين لينک آن را داونلود کنيد .الزم است بگويم که اين نرمافزار فقط در ويندوز ۲۰۰۰و xpکار میکند و نيز در يک بار اجرا فقط يک ipرا میتواند تست کند. ضمنا فقط TCPرا تست میکند. برای پورت اسکنينگipEye چگونه از استفاده کنيم؟ : اين نتايج ظاهر میشودcommand prompt درipEye با تايپ ipEye 1.2 - (c) 2000-2001, Arne Vidstrom (arne.vidstrom@ntsecurity.nu) - http://ntsecurity.nu/toolbox/ipeye/ Error: Too few parameters. Usage: ipEye <target IP> <scantype> -p <port> [optional parameters] ipEye <target IP> <scantype> -p <from port> <to port> [optional parameters] <scantype> is one of the following: -syn = SYN scan -fin = FIN scan -null = Null scan -xmas = Xmas scan>br> (note: FIN, Null and Xmas scans don"t work against Windows systems. [optional parameters] are selected from the following: -sip <source IP> = source IP for the scan -sp <source port> = source port for the scan -d <delay in ms> = delay between scanned ports in milliseconds (default set to 750 ms) فرض کنيد که میخواهيم سايت سازين را از نظر پورتها از پورت ۱تا ۲۰۰تست کنيم. اول بايد ipآن را به دست بياوريم که میشود 63.148.227.65 ،و حاال به کمک دستور زير آن را بررسی میکنيم: ipeye 63.148.227.65 -syn -p 1 200 دقت کنيد که 63.148.227.65عدد ipسازين، -synيعنی SYN SCANو -p 1 200يعنی تست از پورت ۱تا ۲۰۰باشد .البته پارامترهای ديگری را هم میشود ست کرد که فعال به درد ما نمیخورد .با اجرای اين دستور به نتايج زير میرسيم: ipEye 1.2 - (c) 2000-2001, Arne Vidstrom (arne.vidstrom@ntsecurity.nu) / - http://ntsecurity.nu/toolbox/ipeye ]drop[ 1-20 21 [open] 22 [closed or reject] 23-24 [drop] 25 [open] 26-52 [drop] 53 [open] 54-79 [drop] 80 [open] 81-109 [drop] 110 [open] 111-142 [drop] 143 [open] 144-200 [drop] 201-65535 [not scanned] يعنی کامپيوتر در آن طرف هست ولی به پورت گوش نمیدهد Reject ،يعنی اينکه يک firewallهست که اجازه اتصال به آن پورت را نمیدهد Drop ،يعنی اينکه يک firewallهمهچيز را پس میزند و يا اصال کامپيوتری اونور نيست Open ،هم که يعنی باز. در مورد سازين میبينيد که از بين پورتهای ۱تا ، ۲۰۰پورتهای ،۵۳ ،۲۵ ،۲۱ ه آنها ۱۴۳ ،۱۱۰ ،۸۰باز است و میتوان ب telnetکرد .دقت کنيد که تا تمام پورتهايی که مشخص شده ،تست نشده است ،هيچ نتيجهای نشان داده نمیشود و يهکم صبر میخواد. تعيين پورتهای باز کامپيوتر خودتان میخواهيم درباره کامپيوتر خودمان اين اطالعات را پيدا کنيم .برای اين کار يکی از دستورات زير را به کار میبريم: netstat -an netstat –a فرق اين دو دستور در اين است که اولی پورتها را به صورت عددی و دومی به صورت معادل اسمی آن پورت مینويسد .مثال معادل اسمی پورت echo ، 7است. به، را تايپ کنمnetstat -an مثال اگه اطالعات زير میرسم Active Connections Proto Local Address TCP 0.0.0.0:7 TCP 0.0.0.0:9 TCP 0.0.0.0:13 TCP 0.0.0.0:17 TCP 0.0.0.0:19 TCP 0.0.0.0:21 TCP 0.0.0.0:25 TCP 0.0.0.0:53 TCP 0.0.0.0:80 TCP 0.0.0.0:119 TCP 0.0.0.0:135 TCP 0.0.0.0:143 TCP 0.0.0.0:443 TCP 0.0.0.0:445 TCP 0.0.0.0:515 TCP 0.0.0.0:563 TCP 0.0.0.0:1025 TCP 0.0.0.0:1026 Foreign Address State 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING 0.0.0.0:0 LISTENING TCP 0.0.0.0:1033 0.0.0.0:0 TCP 0.0.0.0:1037 0.0.0.0:0 TCP 0.0.0.0:1040 0.0.0.0:0 TCP 0.0.0.0:1041 0.0.0.0:0 TCP 0.0.0.0:1043 0.0.0.0:0 TCP 0.0.0.0:1755 0.0.0.0:0 TCP 0.0.0.0:1801 0.0.0.0:0 TCP 0.0.0.0:3372 0.0.0.0:0 TCP 0.0.0.0:3389 0.0.0.0:0 TCP 0.0.0.0:6034 0.0.0.0:0 TCP 0.0.0.0:6666 0.0.0.0:0 TCP 0.0.0.0:7007 0.0.0.0:0 TCP 0.0.0.0:7778 0.0.0.0:0 TCP 0.0.0.0:8181 0.0.0.0:0 TCP 127.0.0.1:1039 0.0.0.0:0 TCP 127.0.0.1:1433 0.0.0.0:0 TCP 127.0.0.1:2103 0.0.0.0:0 TCP 127.0.0.1:2105 0.0.0.0:0 TCP 127.0.0.1:2107 0.0.0.0:0 UDP 0.0.0.0:7 *:* UDP 0.0.0.0:9 *:* UDP 0.0.0.0:13 *:* UDP 0.0.0.0:17 *:* UDP 0.0.0.0:19 *:* UDP 0.0.0.0:68 *:* UDP 0.0.0.0:135 *:* UDP 0.0.0.0:161 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1030 *:* UDP 0.0.0.0:1036 *:* UDP 0.0.0.0:1038 *:* *:* UDP 0.0.0.0:1042 LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING LISTENING UDP 0.0.0.0:1075 *:* UDP 0.0.0.0:1434 *:* UDP 0.0.0.0:1645 *:* UDP 0.0.0.0:1646 *:* UDP 0.0.0.0:1755 *:* UDP 0.0.0.0:1812 *:* UDP 0.0.0.0:1813 *:* UDP 0.0.0.0:3456 *:* UDP 0.0.0.0:3527 *:* UDP 127.0.0.1:53 *:* UDP 127.0.0.1:1028 *:* UDP 127.0.0.1:1029 *:* UDP 127.0.0.1:1035 *:* UDP 127.0.0.1:1044 *:* UDP 127.0.0.1:1045 *:* *:* UDP 127.0.0.1:1100 من دستور را موقعی اجرا کردم که به اينترنت متصل نبودم .اگر همين کار را در زمان اتصال به اينترنت انجام میدادم ،يک سری سطرهای جديد هم اضافه میشد که مربوط به آن اتصال میشد .و نيز دقت کنيد که من سويچ -anرا استفاده کردم و پورتها به صورت عددی نمايش داده شده است که همين االن -الساعه -براتون توضيح میدم: اولين نکتهای که به نظر میرسد ،نامی است که برای هر ستون نوشته شده است: Proto Local Address Foreign Address State : Protoيعنی پروتکل ،که میتواند TCPيا UDP باشد. : Local Addressنشاندهنده ipکامپيوتر خودمان و شمارهپورتهاست .مثال سطر اول میگويد که ipمن 0.0.0.0است (دقت کنيد که من به اينترنت متصل نيستم) و اولين پورت باز (از نوع TCPبا توجه به اول سطر) عدد ۷است زيرا اين به صورت 0.0.0.0:7نوشته شده است که قسمت قبل از کاراکتر ip ، : است و بعد از کاراکتر ،:پورت است. : Foreign Addressچون در اين مثال از سويچ -aيا -anاستفاده کردهايم ،کاربردی ندارد .ولی بعدا خواهيد ديد که اگر از يک سويچ ديگر استفاده کنيم ،میتواند مهم باشد. : Stateوضعيت اتصال را نشان میدهدحاال اگه پورتها را يکی يکی بررسی کنيد ،میبينيد که در پروتکل ، TCPپورتهای ۲۱ ،۱۹ ،۱۷ ،۱۳ ،۹ ،۷و ...باز است و در پروتکل ، UDPپورتهای ۶۸ ،۱۹ ،۱۷ ،۱۳ ،۹ ،۷و ...باز است. حاال ممکن است بپرسيد که اين اطالعات به چه دردی میخورد؟ جواب اين است که دانستن اين اطالعات برای محافظت از خودتان در برابر همکارانتان (هکرها) است .مثال اگر يک تروجان روی کامپيوتر شما نصب شده باشد ،با اين دستور میتوان آن را کشف کرد.
سایر • آموزش • علوم انسانی و علوم اجتماعی
دانلود پاورپوینت آموزش هك
60,000 تومان