Для начала мы приведём краткую справку, которая может понадобиться для понимания данного материала людям, которые не знакомы с сетевыми технологиями. Те, кто знаком, могут пропустить эту часть, потому что всё дано только в базовых понятиях и даёт только общую картину, без технических деталей.
Виды сетевых пакетов: Вся информация в сети передаётся пакетами, т.е. «порциями». У пакета есть адрес отправителя, получателя, порт отправителя и порт получателя, а так же некоторые другие служебные данные. Пакеты могут быть фрагментированы, т.е. один пакет может быть разбит на несколько фрагментов и отправлен в таком виде. Информация о фрагментации добавляется к служебной, поэтому компьютер-получатель знает, как правильно собрать фрагменты в один пакет. Для понимания материала статьи мы скажем про три типа пакета:
TCP – самый надёжный пакет, потому что компьютер должен послать уведомление, что пакет получен, если уведомления нет, то пакет посылается повторно. Поэтому потеря информации исключена. Но есть недостаток: из-за посылки уведомления о получении каждого пакета снижается скорость.
UDP – схож с TCP, но уведомление о получении не посылается, поэтому возможна потеря информации в том случае, если пакет не достигает получателя. Но этот вид пакетов быстрее, нежели TCP.
ICMP – не используются для передачи информации. Пакеты, скорее служебного плана, например для диагностики сети или для пинга.
Связь между двумя компьютерами в модели клиент->сервер: Клиент посылает серверу на открытый порт SYN-пакет (т.е. пакет, у которого установлен флаг SYN), на что сервер отвечает SYN/ACK-пакетом (в том случае, если он готов установить соединение), после этого клиент посылает ACK-пакет, и связь считается установленной. Это элементарнейшая модель, которая может понадобиться для понятия некоторых атак, за более подробной информацией нужно обратиться к справочнику по сетевым технологиям.
IP адрес – сетевой адрес компьютера вида ХХХ.ХХХ.ХХХ.ХХХ, где ХХХ могут быть от 0 до 255.
MAC адрес – уникальный адрес, вшитый в сетевую карту. Имеет вид: ХХ:ХХ:ХХ:ХХ:ХХ:ХХ, где ХХ могут быть от 00 до ff
Примечание: адреса имеют некоторые ограничения, и некоторые не могут существовать (т.е. принадлежать компьютеру в сети), например IP адрес 0.0.0.0 или 255.255.255.255 Некоторые IP адреса не могут принадлежать машине, напрямую подключённой к Интернет, т.к. некоторые группы (т.е. диапазоны) IP адресов зарезервированы. За более подробной информацией можно обратиться к специальному справочнику.
TCP/IP протокол служит для передачи данных в Интернете и в большинстве сетей.
ARP протокол служит для сопоставления IP адресов MAC адресам.
ARP сервер – сервер, который отвечает за хранение сопоставленных записей вида IP адрес – MAC адрес.
DNS сервер – компьютер, который по DNS запросу клиента (например, Вашему запросу, когда Вы вводите адрес в строке адреса в Internet Explorer) переводит буквенные Интернет адреса (например: yandex.ru) в соответствующие им IP адреса (например: 23.145.14.155).
Коммутатор и концентратор – предназначение у этих устройств одинаково: подключить к одному каналу (например, Интернета) несколько компьютеров. Но принцип действия различается. Концентратор принимает пакет, а потом пересылает его каждому компьютеру, а дальше компьютеры проверяют, для них ли был предназначен этот пакет. Коммутатор точно знает, какой пакет какому компьютеру предназначается, и он посылает его конкретному компьютеру, а не всем сразу. Коммутаторы более дорогие устройства, но и более быстрые и безопасные.
Сегмент сети – группа компьютеров, подключённая к одному концентратору или коммутатору. Deface/Defacement (или Дефейс) – изменение взломщиком какой-либо страницы на Веб-сервере (например, начальную) на свою (например с надписью «Взломана»). Privileges escalation (Поднятие привилегий). Только администратор может выполнять команды, критические для работы системы, (например: команда, выключающая компьютер). И только программы, запущенные администратором, могут получить доступ к критическим данным. Поэтому, чтобы иметь полный контроль над системой, хакеру необходимы права администратора. Если хакер получил доступ к системе как обычный пользователь, то ему необходимо «поднять привилегии» для получения контроля. Инвентаризация или Сбор информации. Необходимо для получения максимально возможного объёма информации о целевом компьютере.
