Глубокое погружение в сетевую безопасность — от TCP/IP до захвата контроллера домена Active Directory. Научишься проводить MITM-атаки, взламывать Wi-Fi, эксплуатировать Kerberos и двигаться по сети как настоящий пентестер. 45 уроков, после которых любая корпоративная сеть станет для тебя открытой книгой.
Чему ты научишься
✓Глубоко понимать стек TCP/IP и уязвимости протоколов на каждом уровне
✓Проводить OSINT-разведку через Shodan, Maltego, SpiderFoot
✓Выполнять продвинутое сканирование и перечисление с Nmap и AutoRecon
✓Проводить ARP Spoofing, MITM и DNS Poisoning атаки
✓Взламывать Wi-Fi сети (WPA/WPA2/WPA3, Evil Twin)
✓Перечислять SMB, LDAP, SNMP и другие сетевые сервисы
✓Атаковать Active Directory — Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket
✓Выполнять Pivoting и туннелирование через скомпрометированные хосты
✓Обходить IDS/IPS и сетевые средства защиты
Что нужно знать
•Уверенное владение Linux (терминал, пакеты, права)
•Понимание базовых сетевых протоколов
•Опыт работы с Nmap и базовыми инструментами разведки
Программа
T1
Сети изнутри
Прежде чем атаковать сеть, нужно понять её изнутри: протоколы, маршрутизация, DNS — каждый слой скрывает уязвимости, которые ты научишься находить.
M1
TCP IP deep dive
5 карт · 5 шагов · тест 14 вопросов
OSI, TCP-флаги, ARP, DNS — разбираешь каждый протокол так, чтобы видеть в трафике не пакеты, а возможности для атаки.
1.
Модель OSI и TCP/IP: стек протоколовСеть — это слоёный пирог. 7 уровней OSI, 4 уровня TCP/IP — каждый решает свою задачу. Понимание стека протоколов позволяет атаковать на любом уровне и читать трафик как открытую книгу.1 шагов
2.
Ethernet, ARP и MAC-адресаEthernet — фундамент локальных сетей. MAC-адреса идентифицируют устройства на L2, а ARP связывает IP с MAC. Проблема в том, что ARP не имеет никакой аутентификации — и это открывает дверь для перехвата всего трафика в сети.1 шагов
3.
IP-адресация, подсети и маршрутизацияIP-адрес — это почтовый адрес в интернете. CIDR и подсети определяют, кто находится рядом, а кто — за роутером. NAT прячет целые сети за одним IP. Понимание IP-адресации — ключ к сканированию, спуфингу и обходу сегментации.1 шагов
4.
TCP и UDP: порты, соединения и состоянияTCP — надёжный протокол с подтверждениями и состояниями. UDP — быстрый и без гарантий. Порты определяют, какому приложению адресованы данные. 3-way handshake, TCP-флаги и состояния — основа для сканирования портов, SYN Flood и перехвата сессий.1 шагов
5.
DNS, DHCP и вспомогательные протоколыDNS превращает домены в IP-адреса, DHCP автоматически настраивает сеть, ICMP диагностирует проблемы. Все три протокола проектировались без аутентификации — и все три активно эксплуатируются для атак: DNS-спуфинг, Rogue DHCP, ICMP-туннелирование.1 шагов
M2
Разведка и OSINT
5 карт · 5 шагов · тест 15 вопросов
Shodan, Maltego, Google Dorking — собираешь полную картину цели ещё до первого сканирования.
1.
Пассивная разведка: OSINT-методологияOSINT — это искусство находить всё о цели, не отправив ей ни одного пакета. Разбираем полный жизненный цикл разведки, границу между пассивной и активной, ключевые инструменты и юридические рамки.1 шагов
2.
Google Dorking и поисковые операторыGoogle — это не просто поисковик, а мощнейший инструмент разведки. Операторы site:, inurl:, filetype:, intitle: превращают обычный запрос в точечное оружие для поиска конфигов, паролей, бэкапов и забытых админок.1 шагов
3.
Shodan, Censys и поиск устройствShodan и Censys — поисковики, которые сканируют весь интернет и индексируют открытые порты, баннеры, сертификаты. Через них можно найти незащищённые камеры, базы данных, SCADA-системы и забытые серверы — без единого пакета в сторону цели.1 шагов
4.
Maltego, theHarvester и сбор данных
T2
Сетевые атаки
Теория позади — время ломать. ARP Spoofing, MITM, Wi-Fi cracking, брутфорс сервисов — атакуешь сеть на всех уровнях.
M3
Nmap advanced
5 карт · 5 шагов · тест 14 вопросов
OSI, TCP-флаги, ARP, DNS — разбираешь каждый протокол так, чтобы видеть в трафике не пакеты, а возможности для атаки.
1.
Nmap: типы сканирования и стелс-техникиNmap поддерживает 12+ типов сканирования. SYN scan (-sS) не завершает TCP-хендшейк и невидим для логов. FIN/XMAS/NULL обходят простые файрволы. Timing-шаблоны (-T0..T5) управляют скоростью и скрытностью.1 шагов
2.
Nmap NSE: скрипты для автоматизацииNSE (Nmap Scripting Engine) — встроенный Lua-движок с 600+ скриптами. Категории: vuln, exploit, auth, brute, discovery. Скрипты превращают Nmap из сканера портов в полноценный фреймворк пентеста. Можно писать собственные NSE-скрипты.1 шагов
3.
T3
Active Directory и инфраструктура
90% корпоративных сетей работают на AD — и почти все из них уязвимы. Kerberoasting, DCSync, Golden Ticket — ты берёшь домен под полный контроль.
M6
Перечисление сервисов SMB LDAP SNMP
5 карт · 5 шагов · тест 14 вопросов
OSI, TCP-флаги, ARP, DNS — разбираешь каждый протокол так, чтобы видеть в трафике не пакеты, а возможности для атаки.
1.
SMB enumeration и атаки — null sessions, shares и EternalBlueSMB — любимый протокол хакеров в корпоративных сетях. Учимся вытаскивать shares, пользователей и пароли через smbclient, smbmap и CrackMapExec, а также понимаем, почему EternalBlue до сих пор работает.1 шагов
2.
LDAP enumeration и сбор из AD — пользователи, группы и GPOLDAP — открытая книга Active Directory. Через ldapsearch и windapsearch вытаскиваем пользователей, группы, GPO, описания с паролями и сервисные аккаунты для Kerberoasting — часто без единого пароля.1 шагов
3.
T4
Продвинутые техники
M9
Pivoting и port forwarding
5 карт · 5 шагов · тест 13 вопросов
OSI, TCP-флаги, ARP, DNS — разбираешь каждый протокол так, чтобы видеть в трафике не пакеты, а возможности для атаки.
1.
SSH tunneling: Local, Remote, DynamicОсваиваем три типа SSH-туннелей — Local (-L) для доступа к внутренним сервисам, Remote (-R) для пробития NAT, Dynamic (-D) для SOCKS-прокси через ProxyChains — превращаем один SSH-доступ в полный пивот1 шагов
2.
Chisel и SOCKS proxyingChisel — один бинарник, который создаёт TCP-туннели и SOCKS5-прокси через HTTP. Работает когда SSH закрыт — пробиваем файрволы через порты 80/443, настраиваем reverse SOCKS и forwarding без привилегий1 шагов
3.
Ligolo-ng и Metasploit pivotingLigolo-ng создаёт виртуальный TUN-интерфейс — работает как VPN без ProxyChains, все инструменты нативно видят внутреннюю сеть. Metasploit autoroute и portfwd дают pivoting прямо из meterpreter-сессии
Maltego строит визуальные графы связей между доменами, IP, email и людьми. theHarvester, SpiderFoot и Recon-ng автоматизируют сбор данных из десятков источников. Вместе они превращают часы ручной работы в минуты.
1 шагов
5.
OSINT по людям и организациямЛюди — самое слабое звено. LinkedIn, социальные сети, breach-базы и email enumeration позволяют собрать полное досье на сотрудников: имена, должности, email-паттерны, утёкшие пароли. Это основа для фишинга и социальной инженерии.1 шагов
Nmap: OS detection и version scanning
Nmap определяет ОС (-O) по 12+ TCP/IP-особенностям: TTL, window size, DF-бит, опции TCP. Version scanning (-sV) отправляет пробы и сравнивает ответы с базой из 11000+ сигнатур. Banner grabbing — первый и часто достаточный шаг.
1 шагов
4.
Nmap evasion: обход файрволов и IDSФайрволы и IDS можно обойти фрагментацией (-f), decoy-адресами (-D), подменой source port (--source-port 53), idle scan (-sI) через зомби-хост, и правильным timing (-T0/-T1). Ни одна техника не даёт 100% — комбинируй.1 шагов
5.
Masscan, Rustscan и альтернативы NmapMasscan сканирует весь интернет (4.3 млрд IP) за 6 минут при 10M пакетов/сек. Rustscan находит порты за секунды и передаёт их в Nmap для глубокого анализа. Zmap — для исследований. Каждый инструмент решает свою задачу: скорость, глубина или масштаб.1 шагов
M4
Сетевые атаки MITM и спуфинг
5 карт · 5 шагов · тест 13 вопросов
Shodan, Maltego, Google Dorking — собираешь полную картину цели ещё до первого сканирования.
1.
ARP Spoofing и ARP PoisoningARP — протокол без аутентификации, который связывает IP с MAC-адресами. Одна команда arpspoof — и весь трафик жертвы идёт через тебя. Это фундамент большинства MITM-атак в локальной сети.1 шагов
2.
Man-in-the-Middle: перехват трафикаMITM-атака превращает тебя в невидимого посредника между жертвой и сервером. С ettercap и bettercap ты перехватываешь credentials, стрипаешь SSL и видишь всё, что передаётся по сети — даже то, что казалось защищённым.1 шагов
3.
DNS Spoofing и DNS PoisoningDNS переводит домены в IP-адреса, но не проверяет подлинность ответов. Подменив DNS-ответ, ты перенаправляешь жертву на свой сервер с фейковой страницей — и собираешь пароли, не ломая ничего.1 шагов
4.
VLAN Hopping и атаки на коммутаторыКоммутаторы — не файрволы. VLAN Hopping, MAC Flooding, CDP-атаки позволяют выйти за пределы своего сегмента сети, перехватить чужой трафик и получить доступ к управлению сетевым оборудованием.1 шагов
5.
LLMNR/NBT-NS Poisoning и ResponderWindows-сети используют LLMNR и NBT-NS как fallback для DNS. Responder отвечает на эти запросы, притворяясь любым сервером, и перехватывает NTLMv2-хеши — без единого эксплойта. Это самая простая атака для получения доменных учёток.1 шагов
M5
Wi-Fi атаки
5 карт · 5 шагов · тест 13 вопросов
Nmap, Netcat, AutoRecon — от обнаружения хостов до полного перечисления сервисов и версий.
1.
Основы Wi-Fi: стандарты и безопасностьКак работает Wi-Fi на уровне радиочастот, чем отличаются стандарты 802.11a/b/g/n/ac/ax, почему WEP мёртв, как устроены WPA/WPA2/WPA3, и какие механизмы шифрования и аутентификации защищают беспроводные сети.1 шагов
2.
Мониторный режим и перехват handshakeКак перевести Wi-Fi адаптер в режим монитора через airmon-ng, сканировать эфир через airodump-ng, принудительно отключить клиента deauth-атакой через aireplay-ng и перехватить WPA2 4-way handshake для последующего взлома.1 шагов
3.
WPA2 cracking: Aircrack-ng и HashcatКак взломать WPA2-PSK из перехваченного handshake: офлайн-атака словарём через aircrack-ng, GPU-ускоренный перебор через hashcat, конвертация cap в hccapx/hc22000, создание и оптимизация словарей с правилами, и почему слабые пароли падают за секунды.1 шагов
4.
Evil Twin и Rogue APКак работают атаки Evil Twin и Rogue AP: создание поддельной точки доступа через hostapd-mana, развёртывание captive portal для кражи учётных данных через Fluxion, перехват трафика жертвы и методы обнаружения и защиты от подобных атак.1 шагов
5.
WPA3 и современные атаки на Wi-FiКак работает WPA3 и протокол SAE (Dragonfly), уязвимости Dragonblood, атака PMKID без handshake и deauth, аппаратные платформы WiFi Pineapple и ESP8266, и комплексная защита корпоративных беспроводных сетей от современных угроз.1 шагов
SNMP enumeration и утечки — community strings, MIB и полный дампSNMP v1/v2c передаёт данные в открытом виде, а community string 'public' — это пароль по умолчанию на миллионах устройств. Через snmpwalk и onesixtyone вытаскиваем пользователей, процессы, интерфейсы и даже пароли.1 шагов
4.
NFS, RPC и другие сервисы — showmount, rpcclient, FTP, Redis, MemcachedЗа пределами SMB и LDAP скрываются десятки сервисов с дефолтными конфигурациями. NFS экспортирует файловые системы без аутентификации, RPC раскрывает внутренности Windows, FTP anonymous открывает файлы, а Redis/Memcached отдают данные любому подключившемуся.1 шагов
5.
Автоматизация перечисления — enum4linux-ng, AutoRecon и полный скриптРучное перечисление — хорошо для понимания, автоматизация — для продуктивности. enum4linux-ng собирает SMB/RPC/LDAP за минуту, AutoRecon запускает десятки инструментов параллельно, а собственный скрипт объединяет всё в один отчёт.1 шагов
M7
Active Directory архитектура и атаки
5 карт · 5 шагов · тест 15 вопросов
Shodan, Maltego, Google Dorking — собираешь полную картину цели ещё до первого сканирования.
1.
Active Directory: архитектура — домены, леса, DC, OU, GPO, trust relationships, NTDS.ditAD — это база данных всей корпоративной сети: домены, леса, контроллеры, групповые политики и trust-связи. Один NTDS.dit = все хеши компании1 шагов
2.
Kerberos: протокол аутентификации — AS-REQ/AS-REP, TGS-REQ/TGS-REP, TGT, service tickets, SPNKerberos — трёхголовый пёс аутентификации в AD: клиент, KDC и сервис обмениваются билетами. Понимание протокола = понимание всех атак на AD1 шагов
3.
AS-REP Roasting — учётки без pre-auth, GetNPUsers.py, hashcat mode 18200, массовый поискЕсли у аккаунта отключена Kerberos pre-authentication — KDC выдаёт зашифрованный blob любому без пароля. Оффлайн-брутфорс за минуты1 шагов
4.
Kerberoasting — SPN, GetUserSPNs.py, Rubeus, hashcat mode 13100, weak service passwordsЛюбой доменный пользователь может запросить Service Ticket для любого SPN и брутфорсить его оффлайн. 70% сервисных аккаунтов ломаются за минуты1 шагов
5.
BloodHound — установка, SharpHound/bloodhound-python, Neo4j, поиск путей к DA, ACL abuseBloodHound визуализирует все пути атаки в AD через граф. SharpHound собирает данные, Neo4j строит связи, Cypher-запросы находят путь от рядового юзера до Domain Admin1 шагов
M8
Active Directory продвинутые атаки
5 карт · 5 шагов · тест 14 вопросов
Nmap, Netcat, AutoRecon — от обнаружения хостов до полного перечисления сервисов и версий.
1.
Pass-the-Hash и Pass-the-TicketЗачем подбирать пароль, если можно украсть его хеш или Kerberos-тикет и аутентифицироваться напрямую? PtH и PtT — два столпа lateral movement в Active Directory, которые превращают одну скомпрометированную машину в ключ ко всему домену.1 шагов
2.
DCSync и репликация данных доменаDCSync позволяет атакующему притвориться контроллером домена и запросить у настоящего DC хеши паролей всех пользователей через легитимный протокол репликации DRSUAPI. Один вызов — и весь домен в кармане.1 шагов
3.
Golden Ticket и Silver TicketGolden Ticket — поддельный TGT, подписанный хешем krbtgt, даёт полный контроль над доменом на 10 лет. Silver Ticket — поддельный TGS для конкретного сервиса без обращения к KDC. Оба создаются офлайн и практически невидимы для стандартного мониторинга.1 шагов
4.
Delegation attacks и RBCDKerberos Delegation позволяет сервису действовать от имени пользователя. Unconstrained delegation отдаёт TGT любого подключившегося. Constrained — ограничена, но обходима. RBCD (Resource-Based Constrained Delegation) — самый актуальный вектор: контролируя одну машинную учётку, получаешь доступ к любому серверу.1 шагов
5.
AD persistence и доменная устойчивостьПосле компрометации домена атакующий закрепляется так, чтобы пережить смену паролей, аудит и даже переустановку серверов. AdminSDHolder, DCShadow, SID History injection, Skeleton Key, DSRM backdoor, GPO persistence — шесть техник, которые превращают временный доступ в постоянный.1 шагов
1 шагов
4.
Двойной pivoting и цепочки туннелейКогда одного pivot-хоста недостаточно — строим цепочки туннелей через 2-3 промежуточных хоста, комбинируем SSH + Chisel + Ligolo-ng, настраиваем ProxyChains chaining и добираемся до самых глубоких сегментов сети1 шагов
5.
Практика pivoting: полная цепочкаFull walkthrough — от первоначального foothold в DMZ до захвата контроллера домена через три сегмента сети. Разведка, pivoting, эксплуатация и lateral movement пошагово с Ligolo-ng и Chisel1 шагов
M10
IDS IPS evasion и финальный проект
5 карт · 5 шагов · тест 14 вопросов
Shodan, Maltego, Google Dorking — собираешь полную картину цели ещё до первого сканирования.
1.
IDS и IPS: как работает детекцияIDS наблюдает и алертит, IPS блокирует в реальном времени. Signature-based ловит известное, anomaly-based — неизвестное. Snort, Suricata и Zeek — три столпа сетевой детекции, и у каждого свои слепые зоны.1 шагов
2.
Evasion: техники обхода IDS/IPSIDS/IPS — не стена, а сетка с дырами. Фрагментация, кодирование, полиморфизм, медленные сканы и шифрованные каналы позволяют атакующему проходить мимо детекции. Если ты не тестируешь свой IDS на evasion — ты не знаешь, что он реально ловит.1 шагов
3.
Firewall bypass и packet craftingФайрволы фильтруют по правилам — а правила имеют исключения. Nmap, hping3 и Scapy позволяют создавать пакеты с нужными флагами, TTL, source port и payload, чтобы пройти через файрвол или определить его конфигурацию. Packet crafting — это язык, на котором ты говоришь с сетью напрямую.1 шагов
4.
Snort и Suricata глазами атакующегоПравила Snort/Suricata — открытые. Атакующий может скачать те же ET Open/Snort Community rules, прочитать каждую сигнатуру и спроектировать атаку так, чтобы ни одна не сработала. Знание правил IDS — суперсила Red Team.1 шагов
5.
Финальный проект: пентест корпоративной сетиВсё, что ты изучил за 49 уроков — от TCP/IP до IDS evasion — объединяется в одну операцию. Полная цепочка: OSINT → разведка сети → эксплуатация → Active Directory → lateral movement → pivoting → exfiltration → отчёт. Это не учебная задача — это то, как работает реальный пентест.1 шагов
