پاسخ صحیح:

الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshake‌های مشکوک


در کل Beaconing به ارتباطات مداوم و زمان‌بندی‌شده بین یک سیستم آلوده و سرور C2 گفته میشه. این نوع ترافیک معمولاً رمزگذاری شده (TLS/HTTPS) است و شناسایی اش بدون Decryption چالش‌برانگیزه.

ا JA3/JA3S Fingerprinting یک روش موثر برای تشخیص ارتباطات C2 مخفی‌شده در TLS Traffic است. تو این روش TLS Handshake تحلیل شده و بر اساس ویژگی‌هاش (مثل Cipher Suites, Extensions, TLS Version) یک Fingerprint منحصر‌به‌فرد تولید میشه.
خیلی از ابزارهای Red Teaming مثل Cobalt Strike, Empire, Meterpreter از الگوهای خاصی در TLS استفاده میکنند که میشه با JA3 شناسایی کرد.

چرا بقیه گزینه‌ها اشتباه یا کم‌ اثرند؟

ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443

غیرعملی و مخرب: پورت 443 رو مسدود کنید ارتباط سازمان با اینترنت قطع میشه .
از اونطرف هکرها میتونن از پورت‌های دیگه (مثلاً 53, 8443) استفاده کنند و این روش راه‌حل درست نیست.


ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS

ببینید DPI بدون TLS Decryption فقط هدرهای اولیه رو بررسی میکنه و محتوای واقعی پکت‌ها رو نمیبینه.
تو TLS Decryption در مقیاس سازمانی کار پیچیده و پرهزینه ست و خیلی از سازمان‌ها به دلیل مسائل حریم خصوصی و عملکردی اون رو انجام نمیدن.

در JA3 میشه بدون نیاز به Decryption ارتباطات مشکوک رو شناسایی کرد.


د) قرنطینه کردن سیستم‌های مشکوک و اجرای Forensic Analysis

این روش واکنشی (Reactive) است، یعنی بعد از آلودگی سیستم انجام میشه.
در Forensic Analysis ضروریه اما باید به‌عنوان گام دوم بعد از شناسایی اولیه استفاده بشه.

نتیجه:

ا JA3/JA3S Fingerprinting بهترین روش برای شناسایی Beaconing Traffic در TLS است :
✅ بدون نیاز به Decryption میتونه C2 Traffic رو تشخیص بده.
✅ در برابر روش‌های مخفی‌سازی و Evasion مقاومه
✅ با ابزارهایی مثل Zeek, Suricata و SIEM پیاده‌سازی میشه.

@safe_defense
#quiz

پروتکول CSMA/CD در متد ارتباطی half duplex چیست؟  
--
پروتکول csma/cd مخفف
CSMA/CD (carrier   sense maltiple access / calition ditction )
که یک تکنولوژی در متد ارتباطی half duplex هست که با استاندارد IEE802.3 مشخص شده هست که برای جلوگیری از به وجود امدن تداخل در ارتباط دو دستگاه باهم استفاده میشه
--
متود ارتباطی half duplex طوریه که دیتا بین دو کامپیوتر بصورت هم زمان نمیتونه ارسال بشه و فقط یک کامپیوتر مجاز هست ارسال داده کنه و دریافت کننده باید زمانی شروع به ارسال کنه که خط خلوطه و ارسالی وجود نداره در غیر این صورت تداخل (calition) به وجود میاد ( یک بیسیم رو درنظر بگیرید که بصورت هم زمان نمیشه صحبت کرد )
--
تجهیز hup نمونه ای هست که از متد ارتباطی half duplex استفاده میکنه
و همچنین برخی از مودم های قدیمی dial-up و بیسیم ها از این متد ارتباطی استفاده میکنن
--
عملکرد csma/cd در متد ارتباطی half duplex
-شنود فعال  : هردستگاه پیش از آغاز انتقال داده،وضعیت رسانه را از نظر فعالیت سایر گره ها برسی میکنه
-اگر دیتایی وجود نداشته باشه ( عدم وجود سیگنال ارسالی ) ، فرآیند انتقال آغاز مسشه .
-درصورت مشغول بودن رسانه، دستگاه منتظر میمونه و پس از تشخیص انتقال رو شروع میکنه
--
ارسال داده و پایش همزمان ( Transmission with Detection )
-دستگاه در حین ارسال بسته ، بطور پیوسته سیگنال های دریافتی از رسانه را تحلیل میکنه
درحالت عادی سیگنال ارسالی باید با سیگنال دریافتی مطابقت داشته باشه در غیر این صورت تداخل (calition) تشخصی داده میشه
--
مدیریت برخورد
-درصورت تشخیص برخورد، دستگاه بلافاصله ارسال رو متوقف میکنه و یک سیگنال ارسال میکنه تا بقیه کلاینت ها از برخورد مطلع بشن
و بعد دستگاه وارد فاز انتظار تصادفی میشه  و یه زمانی تایین میشه .
و بعد از پایان زمان تلاش مجدد میکنه و فرایند کریر سنس رو اجرا میکنه و درصورت ازاد بودن انتقال از سر میگیره


@sec_netw🕷

نکاتی که زمان scan nessus باید بهش توجه کنیم !


1-اگه روی virtual machine اسکن اسیب پذیری با نرم افزار نسوس رو انجام میدیم حتما باید درحال bridged قرارش بدین به دلیل اینکه زمانی که روی host-only قرارش میدن امکانش هست که فایروال یکسری پورت هارو ببنده  و برای اسکن بهتر این گزینه رو روی های bridged قرار بدین

2-اصلا نباید هیچ نرم افزار امنیتی روی virtual machine  و os اصلیتون فعال باشه نرم افزار های مثل انتی ویروس و فایروال و... جلوی اسکن رو بخاطر شرایط‌امنیتی میگیرن و خروجی خوبی دریافت نخاهید کرد

3-نرم افزار نسوس میاد سرور های مارو از zone های مختلف اسکن میکنه اگه در ورودی فایروال ، ips و تجهیزات های امنیتی دیگه ای وجود داشته باشه جلوی اسکن رو میگرن  باید داخل این  تجهیزات رول بنویسیم که از سورس نسوس به تمامی سرویس ها و سیستم عامل های شبکمون ارتباط داشته باشه و حتی داخل نرم افزار انتی ویروس باید نرم افزار نسوس رو داخل white list قرارش بدیم

4-حتما در قسمت policy تب credentials یوزنیم و پسورد هر سیستم عامل رو بدین برای اسکن کامل و دقیق تر و اکه قصد دارین سرویس خاستی رو بهتر اسکن کنید از همین تب یوزر نیم و پسورد اون سرویس رو بدین چون درحالت عادی این اتفاق نمیفته و بیشتر روی خود سیستم عامل اسکن رو انجام میده


------- ودرآخر حتما بعد از اسکن رول هایی که نوشتید رو پاک کنید و درزمان استفاده دوباره رول بنویسید ------


@sec_netw🕷

❌ گروه Lazarus پشت حمله هکری دیروز به ByBit !

🔻اکنون این گروه هکری کره شمالی حتی از خود سازنده اتریوم، ویتالیک، ثروتمند تر است.

🆘 این حمله به روشی پیچیده انجام شده که شامل دستکاری در تراکنش‌ها و احتمالاً سوءاستفاده از فرآیند امضای چندگانه (multisig) بوده است به شرح زیر میباشد :

1. UI Spoofing:

حمله ممکن است از طریق "UI Spoofing" انجام شده باشد. این تکنیک شامل فریب دادن سیستم یا اپراتورها با نمایش اطلاعات جعلی در رابط کاربری است. در این سناریو، هکرها ممکن است رابط کاربری مربوط به تأیید تراکنش را دستکاری کرده باشند تا تراکنش مخرب به نظر قانونی بیاید و توسط سیستم یا اپراتور تأیید شود.

2. Sybil-like Attack:

هکرها ممکن است یک تراکنش جعلی یا شبیه‌سازی‌شده ایجاد کرده باشند که با امضاهای قانونی اشتباه گرفته شود. در حملات سیبیل، مهاجم هویت‌های جعلی متعددی ایجاد می‌کند تا سیستم را فریب دهد. در اینجا، ممکن است هکرها توانسته باشند امضاهای چندگانه مورد نیاز برای تأیید تراکنش را جعل یا دستکاری کنند

🌐https://www.bloomberg.com/news/articles/2025-02-21/bybit-hack

⭐️ @Nova_Groups_tech

کرک کردن نرم‌افزار یعنی دور زدن یا غیرفعال کردن مکانیزم‌های امنیتی یک نرم‌افزار برای استفاده بدون مجوز، روش‌های کرک کردن نرم‌افزار شامل موارد زیر میشه:

1 پچ کردن (Patching)

در این روش، فایل‌های اجرایی نرم‌افزار (مثل .exe یا .dll) دستکاری میشن تا مکانیزم‌های امنیتی مثل بررسی سریال یا لایسنس دور زده بشن معمولاً با ابزارهایی مثل OllyDbg، x64dbg یا IDA Pro انجام میشه

2 کیجن (Keygen)

کیجن (Key Generator) نرم‌افزاری است که یک سریال معتبر برای فعال‌سازی برنامه تولید می‌کنه معمولاً با تحلیل الگوریتم تولید کلید در نرم‌افزار اصلی ساخته میشه

3 سریال جعلی (Fake Serial)

بعضی از برنامه‌ها به‌صورت ساده یک سریال مشخص رو قبول میکنن کرکرها این سریال رو پیدا کرده و منتشر می‌کنن

4 امولیتور Dongle

بعضی نرم‌افزارها برای اجرا به یک دانگل سخت‌افزاری نیاز دارن کرکرها دانگل رو با نرم‌افزار شبیه‌سازی (emulator) جایگزین می‌کنند تا نرم‌افزار فکر کند دانگل متصله

5 مهندسی معکوس (Reverse Engineering)

در این روش، سورس‌کد باینری برنامه بررسی و تحلیل میشه تا مکانیزم امنیتی اون شناسایی و دور زده شه

6 تغییرات رجیستری

بعضی از نرم‌افزارها اطلاعات لایسنس رو در رجیستری ویندوز ذخیره می‌کنن با تغییر کلیدهای رجیستری میتونیم اون ها رو فعال کتیم

7 دور زدن سرور تأیید لایسنس (License Server Bypass)

در این روش، ارتباط نرم‌افزار با سرور لایسنس مسدود شده یا به یک سرور جعلی هدایت میشه که پاسخ‌های معتبر ارسال می‌کننه

8 دی‌کامپایل و اصلاح سورس کد

در برخی زبان‌های سطح بالا (مثل جاوا، پایتون، C#)، باینری‌های برنامه رو می‌تونیم دی‌کامپایل کنیم و مستقیما کد را تغییر بدیم

9 مانیتورینگ API

کرکرها با ابزارهایی مثل API Monitor یا Process Hacker درخواست‌های نرم‌افزار را بررسی میکنن تا بخش‌هایی که لایسنس رو بررسی می‌کند شناسایی و دستکاری کنن

10 حملات Brute Force

در برخی موارد که نرم‌افزار از مکانیزم‌های ساده‌ای برای اعتبارسنجی استفاده میکنه می‌تونیم با امتحان کردن ترکیب‌های مختلف، رمز عبور یا سریال صحیح رو پیدا کنیم

دوستان اگه میخاین وارد باگ بانتی بشین این پادکست رو حتما گوش کنین مسیر خوبیه

شماره پورت هایی که لازمه بدونید

@sec_netw🕷

این کتاب شامل تمرین‌ها و راه‌حل‌هایی با ویروس‌ها و روت‌کیت‌های واقعی و مخربه نویسندگان این کتاب عمدا این کار رو انجام دادن تا اطمینان پیدا کنن که خوانندگان می‌تونن فورا مهارت‌های که یاد گرفتن خودشون استفاده کنن نمونه‌های بدافزار به ترتیب حروف الفبا (نمونه A، B، C، …)
انواع معماری رو هم میگه Arm x64 x86

🛑چگونه متوجه شویم چه دامنه‌هایی روی یک IP خاص ثبت شده‌اند؟ 

➖بررسی دامنه‌های مرتبط با یک آدرس ایپی (Reverse IP Lookup)
یکی از روش‌های رایج برای شناسایی وب‌سایت‌ها یا سرویس‌هایی است که روی یک سرور مشترک میزبانی می‌شوند. این فرآیند به شما کمک می‌کند تا با وارد کردن یک آدرس IP، لیستی از دامنه‌های متصل به آن را پیدا کنید. در این مقاله، با روش‌ها و ابزارهای انجام این کار آشنا می‌شوید.


🗯وب سایت هایی که فرایند Reverse ip Lookup رو انجام میدن عبارتند از ؛

1- Domain tools
Aderess :  https://www.domaintools.com

- نحوه کار: 
   - وارد وب‌سایت Domain Tools شوید. 
   - از منوی بالای صفحه، گزینه Reverse IP Lookup را انتخاب کنید. 
   - آدرس IP مورد نظر خود را وارد کرده و روی Search کلیک کنید. 
   - لیست دامنه‌های مرتبط با آن IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه اطلاعات دقیق درباره مالک IP و تاریخچه دامنه. 
  - امکان مشاهده دامنه‌های فعال و غیرفعال. 

2-MXToolBox 
Aderess: https://mxtoolbox.com
- نحوه کار: 
  - وارد بخش Reverse IP Lookup شوید. 
  - ایپی مورد نظر را وارد کرده و روی Reverse Lookup کلیک کنید. 
  - لیست دامنه‌ها و رکوردهای DNS مرتبط نمایش داده می‌شود. 
- ویژگی‌ها: 
  - رایگان و سریع. 
  - امکان بررسی وضعیت سرور (Online/Offline). 

3-SecurityTrails 
Aderess:
https://securitytrails.com
- نحوه کار: 
  - در بخش Search، گزینه IP را انتخاب کنید. 
  - آدرس IP را وارد کرده و Enter بزنید. 
  - در قسمت Hosted Domains، دامنه‌های مرتبط با IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه جزئیات امنیتی مانند تاریخچه DNS و اطلاعات سرور. 

4-ViewDNS.info 
aderess: https://viewdns.info
- نحوه کار: 
  - از منوی Tools، گزینه Reverse IP Lookup را انتخاب کنید. 
  - ایپی را وارد کرده و روی Lookup کلیک کنید. 
- ویژگی‌ها: 
  - رابط کاربری ساده و رایگان. 

➖➖➖➖➖

@sec_netw🕷

#سوال
معمولاً چگونه به یک شبکه هدف دسترسی اولیه پیدا می‌کنید؟

این سوال یک پاسخ ثابت نداره چرا که روش‌های دسترسی اولیه به شبکه بسیار متنوع هستند و بستگی به عوامل زیر دارد:
مهارت مهاجم (مبتدی vs حرفه‌ای)،
سطح امنیت شبکه هدف،
نوع سیستم‌ها و سرویس‌های در دسترس،
منابع و زمان در اختیار مهاجم.
و موارد دیگر


⭕ | روش‌های دیگری نیز برای دسترسی اولیه به شبکه هدف وجود دارد. برخی از این روش‌ها عبارتند از:

+ مهندسی اجتماعی
+ دسترسی فیزیکی
+ حمله زنجیره تامین
+ استفاده از اعتبارنامه های لو رفته
+ و موارد دیگه

هر یک از این روش‌ها بسته به سطح امنیت شبکه هدف، پیچیدگی فنی، و منابع مهاجم ممکن است استفاده شوند.

🧩 مثال برای درک بهتر:

اگر سازمانی کاربران آموزش‌ندیده داشته باشد، احتمال موفقیت فیشینگ یا مهندسی اجتماعی بیشتر است.
اگر سازمانی سرویس‌های قدیمی با آسیب‌پذیری‌های شناخته‌شده داشته باشد، سوءاستفاده از اکسپلویت‌ها روش کارآمدتری است.

اگر مهاجم دسترسی فیزیکی به تجهیزات داشته باشد، ممکن است از کیلاگر یا دستگاه‌های مخرب USB استفاده کند.

💢 حال ما فرض میکنیم جواب این سوال :

دسترسی اولیه به یک شبکه هدف معمولاً از طریق تکنیک‌هایی مانند فیشینگ، سوءاستفاده از آسیب‌پذیری‌ها یا استفاده از پیکربندی‌های نادرست به دست می‌آید.

⭕ | خب بریم کمی وارد این جواب بشیم و به طور عملی کار کنیم :

اول فشینگ را بررسی میکنیم :

چگونه اتفاق می‌افتد؟

مهاجمان با ارسال ایمیل‌ها، پیام‌ها یا لینک‌های جعلی، کاربران را فریب می‌دهند تا اطلاعات حساس مانند نام کاربری، رمز عبور یا سایر داده‌ها را افشا کنند. این لینک‌ها ممکن است به صفحات ورود جعلی هدایت شوند یا حاوی فایل‌های مخرب باشند.

ابزارها و کدهای مورد استفاده:
ابزارهایی مانند SET (Social-Engineer Toolkit) یا Gophish برای ایجاد صفحات فیشینگ و ارسال ایمیل‌های جعلی.
کدهای HTML و JavaScript برای طراحی صفحات جعلی.
فایل‌های مخرب مانند اسکریپت‌های PowerShell یا ماکروهای Office که پس از اجرا، دسترسی مهاجم را فراهم می‌کنند.

این پست ادامه دارد ...
@TryHackBox

SET یا Social-Engineer Toolkit 
یکی از ابزارهای قدرتمند و محبوب برای انجام حملات فیشینگ است. این ابزار به مهاجمان اجازه می‌دهد تا صفحات ورود جعلی ایجاد کنند، ایمیل‌های فیشینگ ارسال کنند و حتی بدافزارها را توزیع کنند. در اینجا مراحل انجام یک حمله فیشینگ با استفاده از SET به طور کامل و با جزئیات توضیح داده شده است:


مراحل انجام فیشینگ با SET:

۱. نصب و راه‌اندازی SET:

معمولاً به صورت پیش‌فرض در توزیع‌های لینوکس مانند Kali Linux نصب شده است. اگر نصب نیست، می‌توانید آن را با دستور زیر نصب کنید:

sudo apt install setoolkit

پس از نصب، SET را با دستور زیر اجرا کنید:

setoolkit

۲. پیکربندی اولیه SET:
پس از اجرای SET، ممکن است از شما خواسته شود که برخی تنظیمات اولیه را انجام دهید. این تنظیمات شامل انتخاب نوع حمله، پیکربندی سرور و غیره است. برای شروع، معمولاً گزینه‌های پیش‌فرض کافی هستند.

۳. انتخاب نوع حمله:

پس از اجرای SET، منوی اصلی نمایش داده می‌شود. گزینه‌های مختلفی برای حملات وجود دارد. برای فیشینگ، گزینه ۱) Social-Engineering Attacks را انتخاب کنید.

Select from the menu:
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration 6) Help, Credits, and About set> 1

۴. انتخاب روش فیشینگ:
در مرحله بعد، گزینه‌های مختلفی برای حملات فیشینگ نمایش داده می‌شود. برای ایجاد یک صفحه ورود جعلی، گزینه ۲) Website Attack Vectors را انتخاب کنید.

Select from the menu:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector 7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors 10) Third Party Modules
set> 2

۵. انتخاب نوع حمله وب‌سایت:
حالا باید نوع حمله وب‌سایت را انتخاب کنید. برای ایجاد یک صفحه ورود جعلی، گزینه ۳) Credential Harvester Attack Method را انتخاب کنید.

Select from the menu:
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
7) HTA Attack Method
set> 3

۶. انتخاب روش ایجاد صفحه جعلی:
در این مرحله، SET از شما می‌پرسد که آیا می‌خواهید از یک قالب آماده استفاده کنید یا یک صفحه وب را کپی کنید. برای سادگی، گزینه ۲) Site Cloner را انتخاب کنید.

Select from the menu:
1) Web Templates
2) Site Cloner
3) Custom Import
set> 2

۷. وارد کردن آدرس وب‌سایت واقعی:
حالا باید آدرس وب‌سایت واقعی را وارد کنید که می‌خواهید از آن تقلید کنید. برای مثال، اگر می‌خواهید یک صفحه ورود جعلی برای Gmail ایجاد کنید، آدرس زیر را وارد کنید:

Enter the url to clone: https://www.gmail.com

۸. راه‌اندازی سرور فیشینگ:

به طور خودکار صفحه ورود جعلی را ایجاد می‌کند و یک سرور محلی راه‌اندازی می‌کند. این سرور در آدرس IP شما (مثلاً 192.168.1.100) و پورت پیش‌فرض (مثلاً ۸۰) در دسترس خواهد بود.

[*] Cloning the website: https://www.gmail.com [*] This could take a little bit...
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed below:

۹. ارسال ایمیل فیشینگ:
حالا باید کاربران را به صفحه جعلی هدایت کنید. این کار معمولاً با ارسال یک ایمیل فیشینگ انجام می‌شود که حاوی لینک به صفحه جعلی است. متن ایمیل ممکن است شبیه به این باشد:

موضوع: امنیت حساب کاربری شما متن: برای حفظ امنیت حساب کاربری خود، لطفاً روی لینک زیر کلیک کنید و وارد شوید: http://192.168.1.100



۱۰. جمع‌آوری اطلاعات:
وقتی کاربران روی لینک کلیک کنند و اطلاعات ورود خود را وارد کنند، این اطلاعات به سرور SET ارسال می‌شود و در ترمینال نمایش داده می‌شود:

[*] WE GOT A HIT! Email: user@example.com Password: password123

نکات امنیتی برای جلوگیری از فیشینگ:

کاربران:

هرگز روی لینک‌های ناشناس کلیک نکنید.

همیشه آدرس وب‌سایت را به دقت بررسی کنید.

از احراز هویت دو مرحله‌ای (2FA) استفاده کنید.

سازمان‌ها:

آموزش کاربران درباره فیشینگ و تکنیک‌های مهندسی اجتماعی.

استفاده از ابزارهای ضد فیشینگ و فیلتر کردن ایمیل‌های مخرب.

نظارت مداوم بر ترافیک شبکه برای شناسایی فعالیت‌های مشکوک.


اگر موافق هستید توی کامنت ها بگید روش های دیگه دسترسی به شبکه را هم توضیح بدیم .

ما را معرفی کنید ❤
@TryHackBox

mechanism for allocation of network addresses to hosts.

شاید اولین چیزی که با دیدن کلمه Allocation به ذهنت برسه، پروتکل DHCP باشه. اما یه نکته مهم این وسط هست
باید به کلمه Mechanism دقت کنیم. اینجا بحث سر نحوه اختصاص آدرس IP به هاست‌هاست، نه صرفاً پروتکل DHCP.

خب، حالا سؤال اینه:
پس آدرس IP چطور به یه هاست اختصاص داده می‌شه؟
دو روش کلی داریم:
روش اول Static (دستی): یعنی خودمون به‌صورت مستقیم یه IP روی دستگاه ست می‌کنیم.
روش دوم Dynamic (خودکار): یعنی یه سیستم خودش بر اساس یه مکانیزم، IP رو اختصاص می‌ده.

حالا این داینامیک می‌تونه به روش‌های مختلفی انجام بشه، که فقط یکی از این روش‌ها DHCP هست.

مثلاً وقتی از VPN یا Hotspot میکروتیک استفاده می‌کنی، بدون اینکه DHCP فعال باشه، هاستت داره IP می‌گیره. پس DHCP تنها روش نیست!

حتی باید دقت کنیم که داریم درباره اختصاص IP در یه شبکه LAN صحبت می‌کنیم یا در شبکه‌های وسیع‌تری مثل اینترنت؟ چون مکانیزم‌ها نسبت به ابعاد شبکه فرق دارن.

یه مثال دیگه: زمانی که برای خونه اشتراک adsl تهیه میکنی مگه روی مودم dhcp فعاله که بخواد از isp ادرس ایپی دریافت کنه؟!!! معلوم که نه، چون از pppoe استفاده میکنه برای احراز هویت و از همین طریق ادرس آیپی رو دریافت میکنه.

-------------------------------------

اینو میدونستی که حتی خود DHCP سه تا روش زیر رو برای اختصاص آدرس آیپی به هاست داره؟!
1.automatic allocation
2.dynamic allocation
3.manual allocation

-------------------------------------
چطور از یادگیری سطحی به یادگیری عمیق برسیم؟
۱. سوالات "چرا؟" و "چطور؟" بپرس
فقط حفظ نکن، سعی کن بفهمی "چرا اینطوریه؟" و "چطور کار می‌کنه؟".

۲. سناریوهای واقعی تمرین کن
به‌جای حفظ تعاریف، اونا رو توی محیط واقعی پیاده‌سازی کن و تست بگیر.

۳. مفاهیم رو به هم مرتبط کن
مثلاً DHCP رو فقط یه پروتکل تخصیص IP نبین، بلکه بررسی کن که چطور با NAT، VLAN، و سایر مفاهیم شبکه ارتباط داره.

۴. به دیگران آموزش بده
اگه بتونی یه مفهوم رو برای کسی توضیح بدی، یعنی واقعاً عمیق درکش کردی

تو یه جامعه‌ای که اکثراً سطحی کار می‌کنن، تو عمیق شو ارزشش رو داره، چون سکوی پرتابت می‌شه.

#به_قلم_میلاد_احمدی✍️
🕡06:22

استدلال معکوس در امنیت سایبری – درس‌هایی از شرلوک هولمز
----------------------------------------------------------------------
"در حل یک مسئله از این نوع، مهم‌ترین چیز توانایی استدلال معکوس است... بیشتر مردم، اگر یک روند وقایع را برایشان توضیح دهید، می‌توانند نتیجه‌ی نهایی را پیش‌بینی کنند. آن‌ها می‌توانند این وقایع را در ذهن خود کنار هم قرار دهند و نتیجه بگیرند که چه اتفاقی خواهد افتاد. اما افراد بسیار کمی هستند که اگر فقط نتیجه نهایی را بدانند، بتوانند مراحل و وقایعی را که به آن نتیجه منجر شده است، بازسازی کنند. این توانایی همان چیزی است که من هنگام صحبت از استدلال معکوس یا تحلیل‌گرایانه به آن اشاره می‌کنم."
— شرلوک هولمز
مفهوم این اصل در امنیت سایبری
در امنیت سایبری، بسیاری از ابزارها و کارشناسان می‌توانند وقتی یک حمله یا رویداد مشکوک رخ می‌دهد، تأثیرات و پیامدهای آن را شناسایی کنند. اما تحلیل‌گران امنیتی خبره کسانی هستند که می‌توانند از یک نشانه یا رویداد نهایی، مسیر وقوع حمله را بازسازی کنند و بفهمند که حمله از کجا آغاز شده و چه مراحلی طی شده است.
به‌عبارت دیگر، متخصصان امنیتی باید همانند شرلوک هولمز، به‌جای پیش‌بینی حملات، مسیر آن‌ها را از آخر به اول بازسازی کنند. این کار به آن‌ها کمک می‌کند تا نقاط ضعف را کشف کرده و از حملات مشابه در آینده جلوگیری کنند.

کاربردهای عملی استدلال معکوس در امنیت سایبری
✅ تحلیل حملات سایبری
فرض کنید یک سازمان متوجه می‌شود که داده‌هایش به بیرون درز کرده‌اند. روش کلاسیک تحلیل ممکن است روی بررسی تأثیرات حمله تمرکز کند، اما روش استدلال معکوس به ما کمک می‌کند تا بفهمیم:
• نقطه ورود مهاجم به شبکه کجا بوده است؟
• مهاجم از چه آسیب‌پذیری‌هایی استفاده کرده است؟
• چگونه به داده‌های حساس دسترسی پیدا کرده و آن‌ها را خارج کرده است؟
✅ پاسخ به رخدادهای امنیتی
پس از شناسایی یک نفوذ یا رفتار مشکوک، تیم‌های امنیتی باید مسیر حرکت مهاجم را در شبکه به عقب دنبال کنند. این کار شامل بررسی لاگ‌ها، تغییرات در سیستم‌ها، و رفتارهای غیرعادی کاربران است تا متوجه شوند که مهاجم چگونه توانسته به سیستم نفوذ کند.
✅ تحلیل جرایم سایبری و مهندسی معکوس بدافزارها
در جرایم سایبری، محققان امنیتی و تیم‌های واکنش به رخدادها (CSIRT) باید از ردپاهای دیجیتالی استفاده کنند تا مراحل یک حمله را بازسازی کنند. همچنین، در مهندسی معکوس بدافزارها، تحلیل‌گران باید بفهمند که یک کد مخرب چگونه کار می‌کند و چه تغییراتی در سیستم ایجاد کرده است.
@TolueRise