دانلود کتاب آموزشی GCIA (GIAC Certified Intrusion Analyst) جلد اول

دوره آموزشی GCIA (GIAC Certified Intrusion Analyst) به متخصصان امنیت سایبری کمک می‌کند تا مهارت‌های خود را در زمینه تحلیل ترافیک شبکه و شناسایی تهدیدات امنیتی تقویت کنند. این دوره بر تحلیل داده‌های شبکه و شناسایی حملات تمرکز دارد و برای افرادی که می‌خواهند در زمینه پاسخ به تهدیدات و شناسایی نفوذهای شبکه فعالیت کنند، طراحی شده است.

بخش 1. مقدمه‌ای بر امنیت شبکه و تجزیه و تحلیل ترافیک

فصل 1. مفاهیم پایه‌ای امنیت شبکه

• اهداف اصلی امنیت شبکه (Confidentiality، Integrity، Availability)

• مفاهیم Threat، Vulnerability و Risk

• تفاوت بین امنیت محیطی (Perimeter Security) و امنیت داخلی (Internal Security)

• معرفی مدل‌های امنیتی (Defense-in-Depth، Zero Trust)

فصل 2. معماری پایه شبکه

• اجزای اصلی شبکه (Switch، Router، Firewall، IDS/IPS)

• مدل‌های مرجع مانند OSI و TCP/IP و نقش آن‌ها در تحلیل ترافیک

• مفاهیم Subnetting، Routing، NAT و VPN در تحلیل امنیتی

فصل 3. معرفی ابزارهای پایه تحلیل ترافیک شبکه

• انواع ابزارهای Packet Capture (Wireshark، tcpdump)

• ابزارهای Flow Monitoring (NetFlow، sFlow)

• معرفی مفاهیم PCAP، session و stream در تحلیل بسته‌ها

• نقش ابزارهای شناسایی نفوذ در بررسی ترافیک (Snort، Suricata)

فصل 4. تفاوت بین تحلیل ترافیک معمولی و تحلیل حملات

• تفاوت رفتار عادی کاربران با ترافیک مخرب

• معرفی الگوهای رفتاری در حملات (Scanning، Enumeration، Exploitation)

• تعریف Normal Traffic Baseline و تشخیص Anomaly

فصل 5. مروری بر انواع حملات در سطح شبکه

• حملات DoS و DDoS: نحوه عملکرد و نمونه‌هایی از ترافیک

• حملات Man-in-the-Middle، ARP Spoofing و DNS Poisoning

• حملات باج‌افزاری و بدافزارهایی با ارتباطات شبکه‌ای مشکوک

• تکنیک‌های Evading Detection در حملات مدرن

فصل 6. مسیر تحلیل ترافیک در عملیات امنیتی

• جایگاه تحلیل ترافیک در چرخه تشخیص و پاسخ به حوادث (Incident Response)

• نقش تحلیلگر ترافیک در تیم‌های SOC و Blue Team

• اهمیت تحلیل Packet-Level و Protocol-Level در تحقیقات

فصل 7. ملاحظات حقوقی و قانونی در مانیتورینگ ترافیک

• اصول Ethical Hacking و رعایت حریم خصوصی

• آشنایی با قوانین مرتبط (مانند GDPR، قانون جرائم رایانه‌ای ایران)

• سیاست‌های داخلی سازمان برای لاگ‌گیری و ذخیره‌سازی ترافیک

بخش 2. شناسایی تهدیدات و آسیب‌پذیری‌ها

فصل 1. معرفی تهدیدات امنیتی شبکه

• تعریف تهدید، آسیب‌پذیری و ریسک

• طبقه‌بندی تهدیدات (داخلی، خارجی، انسانی، فنی)

• مدل‌های تهدید مانند STRIDE و DREAD

فصل 2. شناسایی رفتارهای مشکوک در شبکه

• تشخیص ارتباطات غیرعادی (مثل Beaconing و C&C)

• رفتارهای خاص بدافزارها در لایه‌های مختلف شبکه

• بررسی ترافیک غیرمنتظره یا پرتکرار در زمان‌های خاص

فصل 3. بررسی آسیب‌پذیری‌های رایج شبکه

• آسیب‌پذیری‌های شناخته‌شده در لایه‌های مختلف OSI

• بررسی آسیب‌پذیری‌های TCP/IP (مثل SYN Flood، TCP Reset)

• مشکلات پیکربندی در سرویس‌ها و پروتکل‌ها

فصل 4. ابزارهای شناسایی آسیب‌پذیری

• معرفی ابزارهای اسکن آسیب‌پذیری:

  • Nessus

  • OpenVAS (Greenbone)

  • Qualys

• نحوه راه‌اندازی اسکن و تفسیر نتایج خروجی

• ارزیابی False Positive در گزارش‌های آسیب‌پذیری

فصل 5. تکنیک‌های جمع‌آوری اطلاعات اولیه (Reconnaissance)

• Passive vs Active Reconnaissance

• استفاده از ابزارهایی مانند:

  • Shodan

  • Censys

  • Maltego

  • theHarvester

فصل 6. شناسایی تهدیدات با تحلیل ترافیک شبکه

• بررسی Sessionهای مشکوک

• تحلیل حملات شناخته‌شده مانند:

  • Port Scan

  • Brute Force

  • DNS Tunneling

  • Malicious Payloads

• نمونه‌برداری از ترافیک با ابزارهایی مانند tcpdump و Wireshark

فصل 7. استفاده از سیستم‌های تشخیص تهدید

• IDS/IPSها و نقش آن‌ها در شناسایی تهدید

• Signature-Based vs Anomaly-Based Detection

• تنظیم و به‌کارگیری قوانین Snort یا Suricata

فصل 8. تحلیل تهدیدات مبتنی بر تهدیدات نوظهور

• بررسی روند تهدیدات نو مانند:

  • حملات بدون فایل (Fileless Attacks)

  • حملات مبتنی بر رمزنگاری (Ransomware over SSL)

  • حملات IoT و OT

• جمع‌آوری Indicators of Compromise (IoC) از منابع Threat Intelligence

بخش 3. تجزیه و تحلیل پروتکل‌های شبکه

فصل 1. مروری بر مدل‌های OSI و TCP/IP

• تفاوت مدل OSI و TCP/IP از منظر عملیاتی

• بررسی لایه‌های مختلف و نقش هر لایه در انتقال داده

• مرزهای تحلیل امنیتی در هر لایه

فصل 2. تحلیل لایه شبکه (IP Layer)

• ساختار و اجزای Header در IPv4 و IPv6

• تحلیل حملات IP Spoofing و Fragmentation

• تشخیص اسکن‌های مخفی مبتنی بر Fragmentation

فصل 3. تحلیل پروتکل‌های انتقال (TCP/UDP/ICMP)

• ساختار بسته‌های TCP و تجزیه Flagهای آن (SYN, ACK, FIN, RST)

• تحلیل حملات TCP مانند SYN Flood، TCP Reset و Session Hijacking

• تحلیل بسته‌های UDP و شناسایی حملات UDP Flood و Amplification

• کاربردهای ICMP و سوءاستفاده‌های رایج (ICMP Tunneling، Ping Flood)

فصل 4. تحلیل لایه کاربرد (Application Layer Protocols)

• بررسی ساختار و رفتار پروتکل‌های رایج:

  • HTTP/HTTPS: شناسایی الگوهای حملات XSS، Command Injection، URL Obfuscation

  • DNS: تحلیل حملات DNS Spoofing، DNS Tunneling، NXDOMAIN Flood

  • FTP/SMB: بررسی سوءاستفاده از Anonymous Access، Directory Traversal

  • SMTP/POP/IMAP: تحلیل Email Spoofing، حملات Phishing، Abuse of Mail Relays

فصل 5. شناسایی الگوهای حمله در سطح پروتکل

• تحلیل الگوهای حمله در پکت‌ها با استفاده از Wireshark

• کشف رفتاری غیرعادی در پروتکل‌ها مانند Port 0 یا استفاده از TTL پایین

• شناسایی Misconfiguration یا استفاده نادرست از پروتکل‌ها

فصل 6. بررسی حملات بر اساس ترکیب پروتکل‌ها (Protocol Stack Abuse)

• تحلیل حملات ترکیبی مانند HTTP over DNS، SSH over ICMP

• تشخیص استفاده غیرمجاز از پروتکل‌ها در کانال‌های ارتباطی رمز شده

• تشخیص ترافیک پنهان یا Covert Channels در شبکه

فصل 7. تحلیل جلسات (Sessions) و ارتباطات پیچیده

• شناسایی آغاز و پایان جلسات TCP

• تجزیه و تحلیل Reassembly در پروتکل‌های Stream-oriented

• تحلیل فایل‌های Session-based مثل PCAP و ایجاد Session Flow Graph

فصل 8. کاربرد ابزارهای تحلیل پروتکل‌ها

• استفاده از Wireshark برای Deep Packet Inspection

• بررسی پروتکل‌ها با tcpdump و فیلترهای دقیق BPF

• شناسایی انحرافات پروتکل‌ها با Zeek (Bro)

بخش 4. استفاده از ابزارهای تحلیل شبکه

فصل 1. Wireshark – تحلیلگر گرافیکی بسته‌های شبکه

• نصب و پیکربندی Wireshark در محیط‌های ویندوز و لینوکس

• کار با Interfaceهای مختلف و انتخاب فیلتر مناسب

• استفاده از Display Filterها برای جداسازی ترافیک خاص (مثلاً http.request.method == "POST")

• تشخیص الگوهای حمله (DNS tunneling، TCP retransmission، malformed packets)

• بازسازی فایل‌ها و محتوای جابه‌جا شده از طریق بسته‌ها

فصل 2. tcpdump – ابزار خط فرمان برای Capture ترافیک

• بررسی syntax و گزینه‌های مهم (-i, -nn, -s, -X, -v)

• فیلترگذاری بر اساس پروتکل، پورت، IP و عبارت‌های منطقی (مثلاً tcp and port 443 and not host 10.10.10.1)

• ذخیره ترافیک برای تحلیل آفلاین با -w و بازخوانی با -r

• کاربرد tcpdump در سیستم‌های Headless یا سرورهای بی‌واسطه گرافیکی

فصل 3. Tshark – نسخه خط فرمانی Wireshark

• تفاوت Tshark با tcpdump و Wireshark

• استفاده برای تحلیل خودکار ترافیک در اسکریپت‌ها و اتوماسیون

• استخراج داده‌های خاص از ترافیک (مثلاً فقط Hostnameهای DNS یا User-Agentهای HTTP)

• خروجی گرفتن در قالب CSV یا JSON برای تحلیل‌های آماری

فصل 4. NetworkMiner – ابزار تحلیل Forensics شبکه

• جمع‌آوری اطلاعات passively (بدون ایجاد ترافیک)

• استخراج اطلاعات فایل، credential، session از PCAPها

• بازسازی ساختار ارتباطات شبکه (IP ↔ Host ↔ Session)

• استفاده در پاسخ‌گویی به رخدادها و تحلیل post-attack

فصل 5. Zeek (Bro) – موتور تحلیل ترافیک هوشمند

• نصب و راه‌اندازی Zeek برای پایش ترافیک زنده

• ساختار logها (conn.log, dns.log, http.log, ssl.log و غیره)

• استفاده از اسکریپت‌های Zeek برای ایجاد قوانین شناسایی تهدید

• ادغام Zeek با ELK Stack یا Splunk برای مانیتورینگ پیشرفته

فصل 6. Suricata – IDS/IPS مبتنی بر تحلیل جریان شبکه

• نصب Suricata به عنوان تحلیل‌گر ترافیک شبکه

• تحلیل real-time با قوانین Emerging Threats و Snort

• ساختار logهای EVE JSON و قابلیت‌های alert، flow و protocol decode

• مانیتور کردن ترافیک رمزنگاری‌شده و بررسی TLS handshakeها

فصل 7. ابزارهای جمع‌آوری و تجزیه فایل‌های PCAP

• استفاده از Scapy برای تولید و تحلیل بسته‌های سفارشی

• Split کردن فایل‌های PCAP بزرگ با editcap یا pcap-splitter

• بررسی ساختارهای غیر استاندارد با pcapfix و tcpxtract

فصل 8. مقایسه و انتخاب ابزار مناسب برای سناریوهای مختلف

• تحلیل آفلاین vs آنلاین (Wireshark vs Zeek vs tcpdump)

• ابزارهای سبک برای محیط‌های Resource-Limited

• انتخاب ابزار مناسب برای تحلیل حملات خاص (مثلاً DNS-based Attacks یا TLS Fingerprinting)

بخش 5. شناسایی و تحلیل حملات مبتنی بر پروتکل‌های شبکه

فصل 1. تحلیل حملات اسکن پورت (Port Scanning)

• تشخیص انواع اسکن (TCP SYN Scan، Stealth Scan، FIN Scan، Null Scan، Xmas Scan)

• بررسی ترافیک نمونه با Wireshark و tcpdump

• ابزارهای تشخیص و تحلیل مانند Zeek و Snort برای کشف اسکن‌ها

فصل 2. شناسایی سوءاستفاده از پروتکل ARP (ARP Spoofing / Poisoning)

• ساختار پروتکل ARP و نقاط ضعف آن

• تحلیل حملات MITM مبتنی بر ARP

• شناسایی حملات با ابزارهایی مانند arpwatch و XArp

فصل 3. تحلیل حملات DNS

• بررسی حملات DNS Amplification و DNS Spoofing

• تحلیل درخواست‌ها و پاسخ‌های DNS در حمله

• استفاده از Zeek برای شناسایی رفتار مشکوک در ترافیک DNS

فصل 4. تحلیل حملات ICMP

• شناسایی حملات ICMP Tunneling و ICMP Flood

• تشخیص رفتارهای غیرمعمول در Ping Sweep و Smurf Attack

• استفاده از فیلترهای BPF برای تحلیل دقیق بسته‌های ICMP

فصل 5. حملات مربوط به پروتکل‌های سطح انتقال (TCP/UDP)

• شناسایی حملات TCP Session Hijacking و TCP Reset Attack

• تحلیل ترافیک UDP Flood و حملات مربوط به SNMP/NetBIOS

• استخراج Sessionهای مشکوک در ترافیک با ابزارهای flow-based

فصل 6. تحلیل حملات مبتنی بر HTTP

• شناسایی حملات XSS، SQLi، Directory Traversal از طریق لاگ‌ها و ترافیک

• تحلیل درخواست‌های غیر معمول و Payloadهای مخرب

• تشخیص Bot و C2 Communication با بررسی HTTP Headerها

فصل 7. تحلیل حملات FTP و Telnet

• شناسایی حملات Brute-force در پروتکل‌های بدون رمزنگاری

• استخراج اطلاعات حساس از Sessionهای FTP/Telnet

• تحلیل لاگ‌های FTP برای شناسایی انتقال غیرمجاز فایل

فصل 8. حملات SMTP و ایمیل

• تحلیل ترافیک برای شناسایی حملات فیشینگ، Spam و Spoofing

• بررسی ساختار ایمیل‌ها و شناسایی فایل‌های پیوست مشکوک

• ابزارهای تحلیل SMTP مانند SpamAssassin و Zeek SMTP parser

فصل 9. تحلیل حملات SMB و RPC

• شناسایی حملات EternalBlue، SMB Scanning و Lateral Movement

• بررسی بسته‌های SMB برای تشخیص Exploitهای شناخته‌شده

• ابزارهایی مانند Wireshark و Suricata برای تحلیل حملات SMB

فصل 10. تحلیل آسیب‌پذیری‌های پروتکل‌های رمزنگاری‌شده

• شناسایی حملات SSL Stripping، TLS Downgrade و Heartbleed

• بررسی Handshakeهای TLS/SSL برای تشخیص نسخه‌های آسیب‌پذیر

• تشخیص حملات از طریق JA3 Fingerprinting در تحلیل ترافیک رمزنگاری‌شده