مبحث یکم : مقدمه و تاریخچه
مبحث دوم: مراحل نفوذ کردن / جلوگیری از نفوذ
مبحث سوم: حملات شبکه ای
مبحث چهارم - کار عملی
مبحث پنجم - DHCP
مبحث ششم - وب و حملات مطرح در آن
مبحث هفتم - حملات DoS
مبحث هشتم - سیستم عامل
مبحث نهم - مهندسی اجتماعی
مبحث دهم - Vulnerability (آسیب پذیری)

netsh چیست ؟

netshell  ویندوز است و یک سری از کارهای مدیریتی را با استفاده از دستور زدن فراهم می کند . مثلا همین کاری که برای عوض کردن mac سیستم کردیم را می توان با دستوران netsh انجام داد . netsh ویندوز را در شکل 7 می بینید .

شکل 7

 که اگر بعد از netsh یک علامت سوال قراردهیم راهنمایی از دستورات نشان داده می شود .

  • در ویندوز نیز Command های بسیاری وجو دارند که درباره ی برخی از آن ها اصلا document نیست پس دقت کنید که اگر یک نفوذگر از سیستم شما یک shell گرفت آزادی عمل بسیاری برای اجرای دستورات پرقدرت را داراست مثل خاموش کردن فایروال ، بهم زدن کارت شبکه ، شلوغ کردن شبکه شما و …
  • ویندوز 7 یک قابلیت به نام Powershell قرار داده است که در آن می توانیم دستورات لینوکس ( مثل ls ، clear و .. ) را اجرا کنیم . برای رفتن به محیط Powershell در cmd تایپ کنید  powershell.

تمرین : با netsh  و powershell  کار کنید .

  • wmic نیز وجود دارد که اگر جلوی آن دستور /? را تایپ کنید Command های آن را می آورند .
  • برگردیم به cain . حال برای اینکه Scan انجام دهیم بر روی دکمه + کلیک می کنیم . پنجره ای باز می شود که در آن می توان تنظیمات مربوط به نوع تست و محدوده بررسی را انتخاب کرد . با استفاده از این تست ها سعی در شناسایی host های موجود می کند (request می فرستد و reply دریافت می کند).حال بر روی سیستم های دیگر شبکه wireshark ها را run کنید وقتی بر روی دکمه OK کلیک می کنید به wireshark ها نگاه کنید که چه اتفاقی می افتد .

توجه : -h پارامتری است ] که در ویندوز[ یک help از دستوری که می خواهید استفاده کنید می دهد ( مثال arp –h)

توجه : برای delete کردن ARP Cache از دستور arp –d استفاده می کنیم ( البته این دستور در حالت run as administrator در cmd باید اجرا شود )

وقتی روی OK کلیک می کنید ، اگر به wireshark ها نگاه کنید پیغام های درخواست arp را خواهید دید . cain دارد به کل شبکه می گوید چه کسی mac فلان IP را دارد به من بگوید . این کار نفوذگر باعث می شود خیلی زود شناخته شود (نمونه ای از کارهای نفوذگرهای کلاه صورتی). یک snort ساده هم که run باشد این حمله را detect خواهد کرد چون در یک شبکه لزومی ندارد که این چنین اتفاقی بیفتد .

سوال : چرا همچنان حمله ی ARP Cache Poisoning در ویندوز 7 اثر می کند؟ یک راه کار استفاده از فایروال و IDS و … است. اما مساله ی بعدی این است که چرا خود سیستم عامل جلوی این قضیه را نمی گیرد ؟ چون اگر جلوی آن را بگیرند شبکه نمی تواند کار کند . چون این قضیه مشکل ندارد . بله یک نفر ممکن است در شبکه تصمیم بگیرد کابلش را از جایی به جای دیگر منتقل و وصل کند . ممکن است یک نفر در شبکه ، کارت شبکه خود را عوض کند .

در کل نمی توان جلوی این حمله را گرفت چون پروتکل ARP این گونه کار می کند . اما عجیب بودن مساله این است که مثلا در یک ثانیه 50 بار این اتفاق بیفتد (مثلا اگر یک فرد در یک ثانیه 50 تا کارت شبکه عوض کند ) فایروال شما می تواند احتمال رخداد یک حمله را تشخیص دهد . بسته به میزان سخت گیری فایروال و rule هایش جلوی حمله را می گیرد یا نمی گیرد ( یعنی خود OS یا پروتکل ARP باز هم برای موردی که در بالا گفته شده – اینکه در ثانیه 50 بار …  – کاری نکرده اند چون ممکن است مثلا یک سرور یک load balancer داشته باشد که نیاز به چنین کاری داشته باشد . )

نتیجه اسکن را در شکل 8 می بینیند .

شکل 8

اسکرول به بالا