فارسی

EnglishEnglish

EspañolSpanish

简体中文Chinese

FrançaisFrench

DeutschGerman

日本語Japanese

PortuguêsPortuguese

ItalianoItalian

한국어Korean

РусскийRussian

NederlandsDutch

العربيةArabic

PolskiPolish

हिन्दीHindi

Tiếng ViệtVietnamese

SvenskaSwedish

ΕλληνικάGreek

TürkçeTurkish

ไทยThai

ČeštinaCzech

RomânăRomanian

MagyarHungarian

УкраїнськаUkrainian

Bahasa IndonesiaIndonesian

DanskDanish

SuomiFinnish

БългарскиBulgarian

עבריתHebrew

NorskNorwegian

HrvatskiCroatian

CatalàCatalan

SlovenčinaSlovak

LietuviųLithuanian

SlovenščinaSlovenian

СрпскиSerbian

EestiEstonian

LatviešuLatvian

فارسیPersian

മലയാളംMalayalam

தமிழ்Tamil

اردوUrdu

CEH Certified Ethical Hacker All-in-One Exam Guide

Name: CEH Certified Ethical Hacker All-in-One Exam Guide
Rating: 4.4 (4 reviews)
ISBN: 9780071772297

توسط Matt Walker 2011 395 صفحات

3.98

100+ امتیازها

Technology Hackers Reference

گوش دادن

Summary Reviews Author

Listen to Summary

نکات کلیدی

1. دانش ضروری امنیت و شبکه

کسانی که به دنبال سوالات دقیق امتحانی و حفظ کردن مطالب برای قبولی در آزمون هستند، نه تنها در این نشریه بلکه در هیچ نشریه‌ی دیگری چنین چیزی نخواهند یافت.

پایه‌های دانش. هک اخلاقی نیازمند درک عمیق از اصول امنیت و مبانی شبکه است. این شامل آشنایی با مدل OSI، پروتکل‌های TCP/IP و اصطلاحات رایج امنیتی می‌باشد.

مبانی امنیت. مفاهیم کلیدی شامل مثلث CIA (محرمانگی، یکپارچگی، در دسترس بودن)، مدیریت ریسک و سیاست‌های امنیتی است. درک این عناصر برای شناسایی آسیب‌پذیری‌ها و پیاده‌سازی تدابیر مؤثر بسیار حیاتی است. به عنوان مثال:

تدابیر پیشگیرانه مانند احراز هویت
تدابیر تشخیصی مانند لاگ‌های حسابرسی
تدابیر اصلاحی مانند پشتیبان‌گیری

شبکه‌سازی کلید است. درک قوی از شبکه‌سازی TCP/IP ضروری است. این شامل درک زیرشبکه‌ها، شماره‌های پورت و سه‌طرفه دست دادن است. این مفاهیم برای درک نحوه‌ی عملکرد حملات و چگونگی دفاع در برابر آن‌ها بنیادی است.

2. تسلط بر تکنیک‌های شناسایی

شناسایی غیرفعال شامل جمع‌آوری اطلاعات درباره هدف شما بدون آگاهی آن‌ها است، در حالی که شناسایی فعال از ابزارها و تکنیک‌هایی استفاده می‌کند که ممکن است کشف شوند یا نشوند، اما فعالیت‌های شما به عنوان یک هکر را در معرض خطر بیشتری قرار می‌دهد.

جمع‌آوری اطلاعات. شناسایی، یا ردپاییابی، مرحله اولیه هک اخلاقی است که شامل جمع‌آوری اطلاعات درباره هدف می‌باشد. این کار می‌تواند به صورت غیرفعال یا فعال انجام شود.

ردپاییابی غیرفعال. ردپاییابی غیرفعال شامل جمع‌آوری اطلاعات عمومی در دسترس بدون تعامل مستقیم با هدف است. این شامل:

استفاده از موتورهای جستجو
بررسی پروفایل‌های شبکه‌های اجتماعی
تحلیل داده‌های وب‌سایت

ردپاییابی فعال. ردپاییابی فعال شامل تعامل مستقیم با هدف است که خطر شناسایی بیشتری دارد. این شامل:

مهندسی اجتماعی
شنود شبکه
جستجوی زباله

3. مبانی اسکن و شمارش

اسکن فرآیند کشف سیستم‌ها در شبکه و بررسی پورت‌ها و برنامه‌های باز است.

شناسایی اهداف. اسکن و شمارش بر اساس شناسایی با فعال‌سازی شبکه هدف بنا می‌شود. این شامل شناسایی سیستم‌های زنده، پورت‌های باز و خدمات در حال اجرا است.

تکنیک‌های اسکن. تکنیک‌های کلیدی شامل:

اسکن‌های اتصال TCP
اسکن‌های SYN (اسکن‌های نیمه باز)
اسکن‌های UDP
اسکن‌های XMAS

شمارش. شمارش شامل جمع‌آوری اطلاعات دقیق درباره سیستم‌های هدف، مانند حساب‌های کاربری، اشتراک‌های شبکه و نسخه‌های نرم‌افزار است. این اطلاعات برای شناسایی آسیب‌پذیری‌های بالقوه بسیار حیاتی است.

4. تکنیک‌های شنود و فرار

شنود (که به عنوان شنود قانونی نیز شناخته می‌شود، موضوعی که بعداً به تفصیل بررسی خواهیم کرد) هنر ضبط بسته‌ها در حین عبور از یک سیم یا امواج هوایی برای بررسی اطلاعات جالب است.

ضبط بسته‌ها. شنود شامل ضبط ترافیک شبکه برای تحلیل بسته‌های داده است. این کار می‌تواند به صورت غیرفعال یا فعال انجام شود.

شنود فعال در مقابل غیرفعال. شنود غیرفعال شامل ضبط ترافیک بدون تغییر آن است، در حالی که شنود فعال شامل تکنیک‌هایی مانند مسمومیت ARP برای هدایت ترافیک است.

تکنیک‌های فرار. برای جلوگیری از شناسایی، هکرهای اخلاقی باید با تکنیک‌های فرار آشنا باشند، مانند:

تکه‌تکه کردن بسته‌ها
جعل آدرس IP
استفاده از پروکسی‌ها و ناشناس‌سازها

5. روش‌های هک سیستم

در مرحله دسترسی، حملات واقعی علیه اهداف شناسایی شده در مرحله دوم انجام می‌شود.

دست‌یابی به دسترسی. هک سیستم شامل بهره‌برداری از آسیب‌پذیری‌ها برای دسترسی غیرمجاز به سیستم‌ها است. این شامل شکستن رمز عبور، افزایش امتیاز و اجرای برنامه‌ها می‌باشد.

حملات رمز عبور. حملات رمز عبور می‌توانند آنلاین (مستقیم علیه سیستم) یا آفلاین (علیه یک پایگاه داده رمز عبور دزدیده شده) باشند. تکنیک‌های رایج شامل:

حملات دیکشنری
حملات نیروی brute
حملات ترکیبی

افزایش امتیاز. پس از دسترسی اولیه، افزایش امتیاز شامل بهره‌برداری از پیکربندی‌های نادرست سیستم یا آسیب‌پذیری‌ها برای به دست آوردن دسترسی بالاتر، مانند امتیازات مدیر یا ریشه است.

6. استراتژی‌های هک مبتنی بر وب

سرورهای وب موجودیت‌های منحصر به فردی در دنیای مجازی هستند که در آن بازی می‌کنیم.

معماری سرور وب. سرورهای وب به دلیل ماهیت عمومی خود، هدف‌های اصلی برای حمله‌کنندگان هستند. درک معماری سرور وب، از جمله نرم‌افزارهای رایج سرور وب (Apache، IIS، Nginx)، برای شناسایی آسیب‌پذیری‌ها بسیار حیاتی است.

حملات برنامه‌های وب. حملات برنامه‌های وب به آسیب‌پذیری‌های موجود در برنامه‌های وب هدف قرار می‌گیرند، مانند:

تزریق SQL
اسکریپت‌نویسی بین‌سایتی (XSS)
جعل درخواست بین‌سایتی (CSRF)

تدابیر مقابله. تدابیر مقابله شامل شیوه‌های کدنویسی امن، اعتبارسنجی ورودی و ارزیابی‌های امنیتی منظم است.

7. تکنیک‌های نفوذ به شبکه‌های بی‌سیم

اگر داده‌ها از طریق امواج هوایی ارسال شوند، می‌توانند از طریق امواج هوایی دریافت شوند—توسط هر کسی (شاید نه به صورت متن واضح و شاید نه به راحتی قابل تشخیص، اما می‌توانند دریافت شوند).

امنیت بی‌سیم. شبکه‌های بی‌سیم به دلیل ماهیت باز خود در برابر حملات مختلف آسیب‌پذیر هستند. درک استانداردهای بی‌سیم (802.11)، پروتکل‌های رمزنگاری (WEP، WPA، WPA2) و روش‌های احراز هویت برای تأمین امنیت شبکه‌های بی‌سیم ضروری است.

تکنیک‌های هک بی‌سیم. تکنیک‌های رایج شامل:

جنگ رانندگی
نقاط دسترسی جعلی
جعل آدرس MAC
شکستن WEP/WPA

حملات موبایل. دستگاه‌های موبایل به طور فزاینده‌ای هدف حمله‌کنندگان قرار می‌گیرند. حملات رایج موبایل شامل:

فیشینگ SMS (smishing)
برنامه‌های مخرب
حملات بلوتوث

8. اصول امنیت رایانش ابری

رایانش ابری ارائه‌دهنده خدمات IT مختلف به کاربران و مشترکین سازمانی به صورت خدمات درخواستی و بر اساس شبکه است.

مدل‌های رایانش ابری. رایانش ابری مدل‌های خدمات مختلفی را ارائه می‌دهد، از جمله:

زیرساخت به عنوان خدمت (IaaS)
پلتفرم به عنوان خدمت (PaaS)
نرم‌افزار به عنوان خدمت (SaaS)

مدل‌های استقرار ابری. خدمات ابری می‌توانند در مدل‌های مختلفی مستقر شوند، از جمله:

ابر عمومی
ابر خصوصی
ابر جامعه
ابر ترکیبی

تهدیدات امنیت ابری. تهدیدات رایج امنیت ابری شامل نقض داده‌ها، سوءاستفاده از منابع ابری، رابط‌ها و API‌های ناامن و عدم دقت کافی است.

9. تروجان‌ها و سایر حملات

تروجان نرم‌افزاری است که به نظر می‌رسد عملکرد مطلوبی برای کاربر قبل از اجرا یا نصب آن انجام می‌دهد، اما در واقع عملکردی را انجام می‌دهد که معمولاً بدون آگاهی کاربر، اطلاعات را سرقت می‌کند یا به سیستم (یا داده‌ها) آسیب می‌زند.

انواع بدافزار. بدافزار شامل انواع مختلف نرم‌افزارهای مخرب است، مانند:

تروجان‌ها
ویروس‌ها
کرم‌ها
باج‌افزارها

حملات DoS. حملات انکار خدمات (DoS) به هدف مختل کردن دسترسی به سیستم‌ها یا خدمات است. تکنیک‌های رایج DoS شامل:

سیل‌های SYN
سیل‌های ICMP
حملات در سطح برنامه

10. رمزنگاری 101

رمزنگاری علم یا مطالعه حفاظت از اطلاعات، چه در حال انتقال و چه در حالت استراحت، با استفاده از تکنیک‌هایی برای غیرقابل استفاده کردن اطلاعات برای هر کسی است که وسایل لازم برای رمزگشایی آن را ندارد.

الگوریتم‌های رمزنگاری. رمزنگاری شامل استفاده از الگوریتم‌های رمزنگاری برای حفاظت از داده‌ها است. این الگوریتم‌ها می‌توانند متقارن (استفاده از یک کلید برای رمزنگاری و رمزگشایی) یا نامتقارن (استفاده از یک جفت کلید) باشند.

الگوریتم‌های متقارن. مثال‌ها شامل:

DES
3DES
AES

الگوریتم‌های نامتقارن. مثال‌ها شامل:

RSA
دیفی-هلمن
ECC

الگوریتم‌های هش. الگوریتم‌های هش توابع یک‌طرفه‌ای هستند که برای اطمینان از یکپارچگی داده‌ها استفاده می‌شوند. مثال‌ها شامل MD5، SHA-1 و SHA-2 است.

11. فناوری‌های کم‌تکنیک: مهندسی اجتماعی و امنیت فیزیکی

مهندسی اجتماعی هنر دستکاری یک فرد یا گروهی از افراد برای ارائه اطلاعات یا خدماتی است که در غیر این صورت هرگز ارائه نمی‌کردند.

دستکاری انسانی. مهندسی اجتماعی شامل دستکاری افراد برای دسترسی به اطلاعات یا سیستم‌ها است. این کار می‌تواند از طریق تکنیک‌های مختلفی انجام شود، مانند:

جعل هویت
فیشینگ
پیش‌متن‌سازی

امنیت فیزیکی. امنیت فیزیکی شامل حفاظت از دارایی‌های فیزیکی در برابر دسترسی یا آسیب غیرمجاز است. این شامل تدابیری مانند:

قفل‌ها و آلارم‌ها
اسکنرهای بیومتریک
نگهبانان امنیتی

تاکتیک‌های مهندسی اجتماعی. تاکتیک‌های رایج مهندسی اجتماعی شامل:

جستجوی زباله
نگاه کردن بر شانه
مهندسی اجتماعی معکوس

12. تست نفوذ: جمع‌بندی همه چیز

تست‌کنندگان نفوذ در کار خود برای مشتری بسیار دقیق هستند. هکرها فقط آنچه را که برای رسیدن به هدف خود لازم است کشف می‌کنند.

آزمون جامع. تست نفوذ (تست پن) یک ارزیابی جامع از وضعیت امنیتی یک سازمان است. این شامل شبیه‌سازی حملات واقعی برای شناسایی آسیب‌پذیری‌ها و نقاط ضعف است.

مراحل تست پن. فرآیند تست پن معمولاً شامل سه مرحله است:

پیش از حمله (شناسایی و برنامه‌ریزی)
حمله (بهره‌برداری و دسترسی)
پس از حمله (پاکسازی و گزارش‌دهی)

تحویل‌های تست پن. تحویل نهایی یک تست پن گزارشی جامع است که شامل:

خلاصه اجرایی
فهرست یافته‌ها
تحلیل آسیب‌پذیری‌ها
مراحل پیشنهادی برای کاهش خطرات است.

آخرین به‌روزرسانی:: February 23, 2025

Report Issue

نقد و بررسی

3.98 از 5

میانگین از 100+ امتیازات از Goodreads و Amazon.

کتاب راهنمای جامع آزمون هکر اخلاقی CEH نظرات متفاوتی را به خود جلب کرده است. بسیاری از خوانندگان آن را برای آمادگی در آزمون مفید می‌دانند و از سبک نوشتاری جذاب و پوشش جامع آن تمجید می‌کنند. با این حال، برخی به اشتباهات موجود در سوالات تمرینی و اطلاعات قدیمی انتقاد کرده‌اند. این کتاب به خاطر داستان‌های سرگرم‌کننده و توضیحاتش شناخته شده است که محتوای فنی را قابل فهم‌تر می‌سازد. هرچند که این کتاب کامل نیست، اما به‌طور کلی به عنوان یک منبع ارزشمند برای آمادگی در آزمون CEH در کنار سایر منابع شناخته می‌شود. خوانندگان از لحن محاوره‌ای نویسنده قدردانی می‌کنند، اما توصیه می‌کنند که اطلاعات را تأیید کرده و از منابع مکمل استفاده کنند.

درباره نویسنده

مَت واکر نویسنده و مدرس با تجربه‌ای در زمینه‌ی هک اخلاقی و امنیت سایبری است. او به خاطر سبک نوشتاری جذاب و محاوره‌ای‌اش شناخته می‌شود و توانسته است موضوعات فنی را با شوخ‌طبعی، داستان‌های شخصی و توضیحات قابل درک به زندگی بیاورد. واکر به خاطر توانایی‌اش در ساده‌سازی موضوعات پیچیده برای خوانندگان شهرت دارد و معمولاً ارجاعات به فرهنگ عامه و مثال‌های واقعی را در نوشته‌هایش گنجانده است. رویکرد او در نوشتن راهنماهای مطالعه بر دانش عملی و آمادگی برای امتحان تأکید دارد و در عین حال محدودیت‌های هر منبع واحد را نیز در نظر می‌گیرد. کار او در کتاب «راهنمای جامع امتحان هکر اخلاقی CEH» نشان‌دهنده‌ی تخصص او در این زمینه و توانایی‌اش در ارائه‌ی مطالب به شیوه‌ای قابل دسترس است.

Compare Features	Free	Pro
📖 Read Summaries All summaries are free to read in 40 languages
🎧 Listen to Summaries Listen to unlimited summaries in 40 languages	—
❤️ Unlimited Bookmarks Free users are limited to 10	—
📜 Unlimited History Free users are limited to 10	—