از /

ابزارهای جادویی برای هر عاشق امنیت!

امنیت را لمس کن، ولی نفوذ نکن

کالی لینوکس

چه تازه‌کار باشید، چه نیمه‌حرفه‌ای، قراره با هم سری بزنیم به چند ابزار معروفِ توی Kali Linux.

⚠️ هشدار دوستانه: این ابزارها برای آزمون‌های قانونی طراحی شدن. سو استفاده = دردسر بزرگ!

چی هست Kali Linux؟

کالی لینوکس یه توزیع لینوکس مبتنی بر دبیان هست که مخصوص تست نفوذ، تحلیل امنیتی، تحقیق جرایم سایبری و هک اخلاقی طراحی شده. 
یعنی به‌جای اینکه خودتون ابزارها رو به‌دونه‌دونه نصب کنید، آماده‌شون دارید، مثل یه جعبه ابزارِ همه‌کاره.

ابزارهای کلیدی با مثال‌های خفن

۱. Nmap

ابزار کاوش شبکه: میگه «هی! کی اونجا هست؟» 😎

nmap -sV 192.168.1.10

این دستور سرویس‌ها و نسخه‌ها رو روی IP مشخص‌شده نشون میده. 
انگار دارید از پشت پنجره نگاه می‌کنید ببینید چه کسی تو خونش تلویزیونش رو روشن گذاشته.

۲. Metasploit Framework

ابزاری برای اجرای اکسپلویت‌ها و تست نفوذ.

msfconsole

بعد می‌تونید ماژول‌ها رو برای مثلا ویندوز یا لینوکس انتخاب کنید.

۳. Aircrack‑ng

ابزاری برای حملات وای‌فای، شکست پسورد‌های WEP/WPA.
مثال:
بررسی شبکه و گرفتن handshake، بعدش:

aircrack-ng -w wordlist.txt capturefile.cap

۴. Burp Suite

ابزاری برای تست برنامه‌های تحت وب (مثلاً وب‌سایتی که شما طراحی کردید)
– راه‌اندازی proxy در Burp
– مرور درخواست‌ها/پاسخ‌ها بین مرورگر و سرور
– دیدن اینکه آیا تزریق SQL یا XSS ممکنه باشه

۵. John the Ripper

ابزاری برای شکستن پسوردها، بررسی قدرت پسوردها.

john –wordlist=rockyou.txt hashfile

روزمرگی😁😁

Nmap — «زنگ در شبکه» 🔎

  • مثلِ اینکه توی همسایگی وایسی و با شیپور کوچیک بپرسی: «کی خونه‌ست؟» — میگه چه دستگاه‌هایی روشن‌اند.

  • مثل لیست مهمانای یه مهمونی: می‌گیره چه سرویس‌هایی (مهمونا) اومدن و با چه ورژنی (لباسشون).

  • مثل چک‌لیست قبلِ خواب: از در و پنجره بگردی ببینی کدوم‌ها قفل‌اند/بازن.

  • مثل جستجوی کانال تلویزیون روی رادیو: می‌فهمی کدوم کانال‌ها تو شبکه‌ت «پخش» می‌کنن.

Metasploit — «جعبه ابزارِ هکر اخلاقی» 🛠️

  • مثل کلیدسازیه که قبل از ساخت کلید، از صاحب خونه اجازه می‌گیره تا قفل رو تست کنه.

  • مثل یه بازی «تست قفل» تو شهربازی؛ می‌شه بازش کنی تا بدونی امنه یا نه.

  • مثل دکترِ کامپیوتر: با ابزارهاش علائم رو بررسی می‌کنه و درمان (پَچ) پیشنهاد می‌ده.

  • مثل اجرای یک سناریوی فیلم دزدی توی شبیه‌ساز — فقط به‌قصد اینکه بفهمی چه جاهایی باید چراغ بذاری.

Aircrack-ng — «حمله وای‌فای» 📶

  • مثل امتحان کردن همه کلیدها — تا ببینی کدوم کلید به قفل وای‌فای می‌خوره.

  • مثل ایستادن جلوی کافه و گوش کردن به اسم رمزِ وای‌فای که صاحب کافه فریاد زد.

  • مثل تستِ قفلِ دوچرخه با دسته‌کلیدِ میلیونی: می‌بینی کدوم کلید کار می‌کنه (برای فهمیدن ضعف رمز).

  • مثل چک کردن اینکه آیا همسایه هنوز رمز پیش‌فرض مودمشو نگذاشته 

Burp Suite — «جاسوسِ مودبِ بینِ مرورگر و سرور» 🕵️‍♂️

  • مثل مترجمی که وسط حرف‌های دو تا دوست می‌نشیند و می‌گه «یه ثانیه، چی گفتی؟!» تا مطمئن شه حرف نادرست یا خطرناک رد نشده.

  • مثل اینکه بسته پستی میاد، شما بازش می‌کنی ببینی چیزی توش نیست که خطا داشته باشه، بعد دوباره می‌بندی و می‌فرستی.

  • مثلِ ویرایشگرِ زیرنویسِ فیلم: همه درخواست‌ها/جواب‌ها رو می‌بینی و می‌تونی جای اشتباه (XSS/SQLi) رو علامت بزنی.

  • مثلِ معلمی که امتحان‌های وب‌سایتت رو می‌خوانه و می‌پرسه «کَجاش می‌تونه تقلب باشه؟»

John the Ripper — «آزمون قدرت رمز» 🔐

  • مثل امتحان کردن رمز «۱۲۳۴۵۶»، «password»، یا اسم سگت برای باز کردن قفل گوشی‌ِ قدیمیت.

  • مثلِ بازی حدسِ پسورد بین دوستان: می‌بینی چقدر رمزت قابل حدسه.

  • مثلِ قرار دادن چندین کلید توی قفل‌گاه و دیدن اینکه کدوم قفل زود باز می‌شه — برای اینکه بفهمی رمزها چقدر امن‌اند.

  • مثلِ مشورت با یه نفر که می‌گه: «آره، اکثر آدم‌ها تاریخ تولد رو می‌ذارن» — یعنی هشدار برای انتخاب رمز بهتر.

جمع‌وجور و کاربردی — چی از این‌ها برداریم؟ ✅

  • اگر سایت وردپرس داری: اول با Nmap بررسی کن، بعد با Burp بررسی کن ورودی‌های فرم رو، و John رو برای تست رمزهای کاربران (روی یک دیتابیس آزمایشی) بذار.

  • همیشه اجازه بگیر؛ هر جا «شوخیِ امنیتی» می‌کنی، مستند کن و گزارش بده.

چرا باید این ابزارها رو بلد باشی؟

  • برای پیدا کردن نقاط ضعف قبل از اینکه مهاجم پیدا کنه.

  • برای یادگیری ساختاری امنیت و شبکه به‌صورت عملی.

  • اگر سایت دارید (مثل وردپرس)، می‌تونید خودتون چک کنید که حمله‌پذیر نیست.

  • یه امتیاز قشنگ توی CV یا مصاحبه‌های امنیتی: «آره با کالی و ابزارهاش کار کردم».

نکات مهم و ریسک‌ها

  • فقط روی سیستم‌هایی که اجازه دارید تست کنید. بدون اجازه = جرم.

  • ابزارها قدرتمندن ولی اگر اشتباه استفاده بشن، ممکنه سیستم خودتون آسیب ببینه.

  • یاد بگیرید که نتایج رو تفسیر کنید، نه فقط اجرا.

  • امنیت مثل یه سفره بی‌پایانه: فقط ابزار داشتن کافی نیست، فرآیند و مانیتورینگ هم لازمه.

جمع‌بندی

خب، تا اینجا با چند تا از ابزارهای مطرحِ کالی لینوکس آشنا شدید، می‌خوام شما رو تشویق کنم: کالی رو روی ماشین مجازی نصب کنید، باهاش بازی کنید، اشتباه کنید، یاد بگیرید. چون امنیت فقط ابزار نیست، تجربه هست.

دیدگاه‌ خود را بنویسید

پیمایش به بالا