|
近几年国内外重大信息的安全事故数量直线上升,网络安全在整个IT行业也逐渐火爆,国内外渗透测试的从业者越来越多,但是网络安全体系庞大复杂,技术更新迭代也比较快,今天跟大家聊聊渗透测试前需要做哪些准备。 1、精通一个操作系统 这是最基本的常识,作为一个黑客来说,就算你拿到了root权限,但是却不知道它有什么用也无济于事。如果你对系统没有足够的了解,你怎么知道所有的事情是怎么被记入日志的? 2、良好的网络知识和协议知识 能够例举出OSI模型并能证明对网络和协议比较了解。你需要深入的理解TCP协议,并不只是知道它代表传输控制协议,你需要知道TCP包的结构和里面所装载的内容以及其工作的详细过程。另外,TCP和UDP的区别;了解路由,能够详细的描述一个包是怎样从一个地方发往另一个地方的;深入理解DNS,ARP是怎么工作的;了解DHCP,了解你终端是怎么动态获得IP地址的,想想当你插入网线的时候发生了什么?在你插入网线尝试获得一个动态分配的IP地址的时候,NIC建立了什么类型的通路?是第二层?还是第三层? 3、学习几种基本的脚本语言 从一些简单的开始,比如说:vbs或Bash。 4、了解一个基本的防火墙 学习怎么配置它来达到访问控制的目的,之后试着打败它。你可以找一个廉价的或者用过的路由器和防火墙做实验,去买一个或者向你的公司要一个旧的。从简单的配置访问控制表开始,学习怎么样通过简单的IP欺骗和其他基本的技术来扫描他们。你除了应用他们才能更深入的理解这些概念。一旦掌握了这些,你就可以转向PIX或ASA。 5、了解一定的取证技术 这会更好的掩盖你踪迹, 这对你的影响是显然的。 6、好好地学习一门编程语言 找出你想让它自动化完成的东西或者一些简单的你想创造的东西。比如端口扫描,你可以找一些类似的工具,看看它们的源代码,试着做出自己的端口扫描工具。 7、有一个明确的目标驱动自己学习新东西 这比其他所有的都重要,因为你要把自己的时间投入在上面并且随时都保持热情。 8、学习少量的数据库 学习数据库并了解它们是怎么工作的,下载各种数据库看看,查找资料并试着设计一个简单的数据库,不用成为数据库专家,了解基本知识将有很大的帮助。 |
|
|
