Network

Анализ трафика и PCAP-файлы

Анализ трафика — это изучение того, что передаётся по сети: какие сообщения отправляют устройства, куда они идут, что содержат. PCAP-файл — это запись всего сетевого «разговора» в удобном формате. В категории network и forensics на CTF эта тема встречается очень часто: флаг обычно передаётся по сети, прячется в запросе, ответе или необычном пакете. Новичку важно освоить основы, потому что большинство задач начинается с «вот вам файл с перехватом — найдите секрет». Знание анализа трафика позволяет быстро открыть запись, отфильтровать нужные пакеты и достать флаг из сообщений, даже если они выглядят запутанно.

Словарь терминов

Wireshark, tshark, tcpdump, Zeek для захвата и анализа

Wireshark — это программа с удобным окном, где видно все пакеты: кто с кем говорил, по какому протоколу, что передавалось. Можно кликать по пакетам и видеть их содержимое.

tshark — та же Wireshark, но без окна, только в командной строке. Удобна, когда нужно быстро что-то проверить или автоматизировать.

tcpdump — самая простая консольная утилита. Записывает трафик в файл и может показывать базовую информацию.

Zeek (раньше Bro) — не просто записывает пакеты, а анализирует их: создаёт отчёты о соединениях, файлах, скриптах и подозрительных действиях.

В CTF эти программы — основа задач на трафик. Обычно дают готовый PCAP-файл, и нужно найти флаг в нём.

На практике: открываешь PCAP в Wireshark — сразу видишь список пакетов — ищешь HTTP, DNS или подозрительные соединения, где может быть флаг.

Фильтры Wireshark (display filters) и их продвинутые варианты

Display filters — это способ показать только нужные пакеты. Например, http — только HTTP, tcp.port == 80 — пакеты на порт 80, ip.src == 192.168.1.1 — от определённого адреса.

Продвинутые фильтры позволяют искать по содержимому: http contains "flag", dns.qry.name contains "ctf", tcp.flags.syn == 1 — начало соединения.

В CTF фильтры экономят время: трафик может содержать тысячи пакетов, а флаг — в одном.

На практике: видишь огромный PCAP — пишешь http.request или dns — сразу видишь запросы; ищешь "flag" в теле — http contains "flag" — находишь нужный пакет.

Реконструкция потоков (TCP reassembly), извлечение файлов из трафика

TCP разбивает большие данные на маленькие пакеты. Реконструкция (reassembly) — это сборка всех пакетов в цельное сообщение: веб-страницу, файл, почту.

Извлечение файлов — когда из потока пакетов собирают картинку, документ, архив или исполняемый файл, который передавали по HTTP, FTP, SMB.

В CTF реконструкция — один из главных навыков. Флаг часто лежит в переданном файле или в собранном HTTP-запросе.

На практике: видишь TCP-соединение — правой кнопкой → Follow → TCP Stream — видишь весь разговор; если там файл — экспортируешь его и смотришь содержимое.

Анализ TLS/SSL трафика (decryption с ключами, JA3/JA3S fingerprinting)

TLS — это шифрование поверх HTTP (HTTPS). Без ключа трафик выглядит как бессмысленный набор байтов.

Decryption с ключами — если знаешь ключ шифрования (часто он лежит в дампе памяти браузера или сервера) — можно расшифровать трафик и увидеть обычный HTTP.

JA3/JA3S — отпечатки клиента и сервера по параметрам handshake. Помогают понять, какой браузер или программа использовалась.

В CTF TLS-трафик — частая задача. Если дают PCAP с HTTPS — ищут ключ в дампе памяти или подменяют сертификат.

На практике: видишь TLS-пакеты — ищешь ключ в дампе браузера — расшифровываешь трафик — видишь обычные HTTP-запросы с флагом.

Итог

Анализ трафика и PCAP-файлы — это чтение записей сетевого «разговора», чтобы найти переданные секреты. В network и forensics CTF это одна из самых важных тем: флаг почти всегда проходит по сети.

Главное запомнить: PCAP — запись пакетов; TCP нужно собирать в поток; HTTP/FTP передают файлы открыто; TLS расшифровывается с ключом; фильтры помогают найти нужные пакеты.

Ключевые слова/термины выучить: PCAP, пакет, TCP, UDP, HTTP, FTP, SMB, DNS, TCP reassembly, TLS decryption, display filter, JA3/JA3S.

Эти знания помогут тебе сразу после получения PCAP-файла отфильтровать HTTP или DNS и найти флаг в запросах или ответах. В задачах ты сможешь собрать скачанный файл из HTTP-потока, расшифровать TLS с ключом из дампа или найти подозрительный DNS-запрос с закодированным флагом — и получить флаг без лишнего поиска.

Атаки на DNS и доменную инфраструктуру

DNS — это система, которая превращает удобные имена сайтов (google.com) в IP-адреса, понятные компьютерам. Атаки на DNS и доменную инфраструктуру — это способы обмануть эту систему, подменить ответы, перенаправить трафик или захватить чужой домен. В категориях network и web на CTF такие задачи встречаются очень часто — флаг почти всегда прячут за подменённым доменом, в поддомене или в DNS-записи. Новичку важно понять, что DNS работает открыто и доверчиво, поэтому его легко обмануть. Знание этих атак позволяет быстро находить уязвимые поддомены, подменять ответы и получать флаг из перехваченного или перенаправленного трафика.

Словарь терминов

DNS cache poisoning, NXDOMAIN attack

DNS cache poisoning — это когда атакующий подсовывает серверу ложный ответ раньше настоящего. Сервер верит и кэширует неправильный IP. Потом все клиенты, которые спрашивают этот домен, получают фальшивый адрес.

NXDOMAIN attack — заставляешь сервер кэшировать ответ «домена не существует» (NXDOMAIN). После этого легитимный домен становится недоступным, пока не истечёт кэш.

В CTF cache poisoning — классика для перехвата трафика или перенаправления. NXDOMAIN используют, чтобы отключить настоящий сервис и подсунуть свой.

На практике: видишь незащищённый DNS-сервер без DNSSEC — отправляешь фальшивый ответ раньше настоящего — сервер кэширует твой IP — клиенты идут к тебе.

DNS rebinding, DNS amplification

DNS rebinding — атака, когда браузер запрашивает домен, получает внешний IP, а через несколько секунд — внутренний (192.168.x.x). Браузер думает, что это один и тот же сайт, и разрешает доступ к локальной сети.

DNS amplification — маленький запрос (например ANY к DNS) вызывает огромный ответ (до 50 раз больше). Атакующий отправляет запрос от имени жертвы — ответ идёт на жертву и перегружает её канал.

В CTF DNS rebinding — частая тема для доступа к внутренним сервисам через браузер жертвы. Amplification — для DDoS или перегрузки.

На практике: регистрируешь домен — меняешь IP в DNS каждые 60 секунд — браузер жертвы запрашивает — получает сначала твой IP, потом 192.168.1.1 — получает доступ к роутеру жертвы.

Domain hijacking, subdomain takeover

Domain hijacking — захват всего домена. Обычно через слабый пароль у регистратора, утечку email или social engineering.

Subdomain takeover — когда владелец забыл удалить CNAME-запись на удалённый сервис (AWS S3, GitHub Pages, Heroku), а домен освободился. Атакующий регистрирует этот сервис и получает контроль над поддоменом.

В CTF subdomain takeover — очень популярная тема. Флаг часто лежит на заброшенном поддомене.

На практике: видишь CNAME на s3.amazonaws.com — проверяешь, свободен ли бакет — регистрируешь его — получаешь контроль над поддоменом и находишь флаг.

DANE, DNSSEC слабости и атаки

DNSSEC — подпись DNS-записей криптографией, чтобы их нельзя было подделать. DANE использует DNSSEC для проверки сертификатов (TLSA-записи вместо CA).

Слабости DNSSEC: цепочка доверия может быть сломана на любом уровне; некоторые реализации позволяют подмену при атаке на цепочку; ключи могут быть слабые.

Атаки на DNSSEC — подмена DS-записи у регистратора, подделка RRSIG, атака на алгоритмы подписи (SHA-1).

В CTF DNSSEC/DANE дают в задачах на подмену сертификатов или перехват TLS. Если DNSSEC включён — ищи слабые места в цепочке доверия.

На практике: видишь TLSA-запись — проверяешь цепочку DNSSEC — если где-то слабый ключ или SHA-1 — подменяешь подпись и перенаправляешь трафик.

Итог

Атаки на DNS и доменную инфраструктуру — это обман системы имён и адресов в интернете. В network и web CTF это одна из самых частых тем: флаг прячут за подменённым доменом или поддоменом.

Главное запомнить: DNS cache poisoning подменяет ответы; rebinding обманывает браузер; subdomain takeover захватывает заброшенные поддомены; DNSSEC/DANE защищают, но имеют слабые места в цепочке.

Ключевые слова/термины выучить: DNS cache poisoning, NXDOMAIN attack, DNS rebinding, DNS amplification, domain hijacking, subdomain takeover, DANE, DNSSEC.

Эти знания помогут тебе сразу по домену или поддомену проверить, можно ли его захватить или подменить. В задачах ты сможешь найти заброшенный поддомен и зарегистрировать сервис (takeover), подменить DNS-ответ для перенаправления трафика или сломать DNSSEC в цепочке доверия — и получить флаг из внутренней системы или перехваченного соединения.

Атаки на протоколы прикладного уровня

Протоколы прикладного уровня — это правила, по которым программы (браузер, почта, FTP-клиент) общаются друг с другом поверх TCP/UDP. Это HTTP, DNS, SMTP, FTP и другие — именно они передают команды, файлы, письма и запросы. В категориях web, network и forensics на CTF атаки на эти протоколы встречаются очень часто — флаг обычно прячут в запросе, ответе, письме или подменённом сообщении. Новичку важно понять, что эти протоколы часто работают открыто и имеют простые ошибки в обработке, которые легко использовать. Знание этих уязвимостей позволяет быстро находить флаг в перехваченном трафике, подменять запросы или извлекать данные из необычных каналов.

Словарь терминов

HTTP/HTTPS smuggling, request/response desync

HTTP smuggling — это атака, когда клиент и сервер по-разному понимают, где заканчивается один запрос и начинается следующий. Используют разницу в обработке заголовков Content-Length и Transfer-Encoding (chunked).

Request/response desync — более общий термин: расхождение между фронтендом (прокси) и бэкендом (сервер) в том, как они читают поток байтов. Это позволяет «спрятать» вредоносный запрос или подменить ответ.

В CTF smuggling — очень частая тема в web-задачах. Флаг часто лежит за WAF или в админке, и smuggling позволяет обойти фильтры.

На практике: видишь, что сервер и прокси по-разному считают длину — пробуешь разные комбинации Content-Length и chunked — отправляешь запрос так, чтобы бэкенд увидел другой запрос, чем прокси.

DNS tunneling, DNS exfiltration, cache poisoning

DNS tunneling — передача любых данных внутри DNS-запросов и ответов. Клиент кодирует данные в поддомене (например base32), сервер отвечает закодированными данными в TXT-записи.

DNS exfiltration — тайный вынос данных: программа отправляет секрет в поддомене запроса (flag.ctf.example.com), атакующий контролирует домен и видит запросы.

DNS cache poisoning — подмена ответа DNS-сервера, чтобы он запомнил ложный IP. Старые серверы без DNSSEC легко обманываются.

В CTF DNS tunneling и exfiltration — классика для вывода флага из закрытой сети. Cache poisoning — для подмены домена или MITM.

На практике: видишь много DNS-запросов на один домен с длинными поддоменами — собираешь их и декодируешь (base32/base64); видишь подозрительный ответ — это может быть poisoning.

SMTP, IMAP, POP3 перехват и инъекции

SMTP — протокол отправки почты. Команды HELO/EHLO, MAIL FROM, RCPT TO, DATA. Часто передаёт данные открыто, без шифрования.

IMAP — получение почты с сервера, поддерживает папки и синхронизацию. Команды LOGIN, SELECT, FETCH.

POP3 — простой протокол получения почты: скачивает письма и может удалять с сервера. Команды USER, PASS, RETR.

Перехват — прослушка трафика. Инъекции — подмена команд или добавление своих (например в SMTP — инъекция получателей).

В CTF почтовые протоколы дают в задачах на перехват или MITM. Флаг часто в письме или в команде.

На практике: видишь SMTP-трафик — читаешь письмо в DATA; видишь IMAP/POP3 — ищешь FETCH/RETR с письмом, где лежит флаг.

FTP, TFTP, SNMP слабости и эксплуатация

FTP — протокол передачи файлов. Работает в двух режимах: active (сервер подключается к клиенту) и passive (клиент подключается к серверу). Передаёт логин/пароль открыто.

TFTP — очень простой протокол для загрузки файлов (bootloader, прошивки). Нет аутентификации, работает по UDP.

SNMP — протокол управления сетевыми устройствами. Версия 1 и 2c используют community string вместо пароля — часто «public» или «private».

В CTF FTP/TFTP — классика для получения файлов с флагом. SNMP — для чтения конфигурации или выполнения команд.

На практике: видишь FTP-трафик — читаешь USER/PASS и RETR — получаешь файл с флагом; TFTP — скачиваешь файл по имени; SNMP — пробуешь community public и читаешь строки с секретом.

Итог

Атаки на протоколы прикладного уровня — это эксплуатация ошибок в HTTP, DNS, почте, FTP и других протоколах, которые работают поверх TCP/UDP. В network и web CTF это одна из самых частых тем: флаг передаётся или прячется именно в сообщениях этих протоколов.

Главное запомнить: HTTP smuggling использует разницу в обработке заголовков; DNS позволяет туннелировать и выносить данные; почтовые протоколы передают письма открыто; FTP/TFTP/SNMP часто не имеют нормальной защиты.

Ключевые слова/термины выучить: HTTP smuggling, request/response desync, DNS tunneling, DNS exfiltration, cache poisoning, SMTP, IMAP, POP3, FTP, TFTP, SNMP.

Эти знания помогут тебе сразу по дампу трафика понять, какой протокол используется и где искать флаг. В задачах ты сможешь подменить HTTP-запрос через smuggling, собрать данные из DNS-поддоменов, прочитать письмо из SMTP/IMAP/POP3 или скачать файл по FTP/TFTP — и получить флаг без сложного анализа.

Атаки на транспортный уровень

Атаки на транспортный уровень — это способы нарушить или обмануть работу протоколов TCP и UDP, которые отвечают за доставку данных между программами на разных компьютерах. TCP гарантирует надёжную передачу, UDP — просто и быстро отправляет пакеты без гарантий. В категориях network и иногда pwn на CTF такие атаки встречаются очень часто — флаг прячут за сервисом, который можно «залить», подменить соединение или обмануть через слабости протокола. Новичку важно понять, что TCP и UDP — это не просто «интернет», а конкретные правила, которые можно сломать или использовать в свою пользу. Знание этих атак помогает быстро распознавать уязвимые сервисы и находить флаг через перехват сессии, подмену пакетов или перегрузку.

Словарь терминов

TCP SYN flood, ACK flood, RST injection

TCP SYN flood — атака, когда атакующий шлёт серверу тысячи пакетов SYN (запрос на соединение), но не завершает рукопожатие. Сервер держит эти полусоединения в очереди и в итоге перестаёт принимать нормальные соединения.

ACK flood — засыпание сервера подтверждениями (ACK-пакетами) без реального соединения. Сервер тратит ресурсы на проверку этих пакетов.

RST injection — отправка пакета с флагом RST (reset), чтобы принудительно разорвать существующее TCP-соединение. Если угадать номера последовательности — соединение рвётся.

В CTF эти атаки дают в задачах на DoS или на перехват. Часто нужно понять, как сервер реагирует на flood или RST.

На практике: видишь, что сервис перестаёт отвечать после большого количества SYN — это SYN flood; если соединение рвётся — проверяешь, можно ли подделать RST.

TCP sequence prediction и session hijacking

TCP sequence prediction — угадывание номера последовательности (sequence number) в TCP. Каждый пакет имеет такой номер — если его угадать, можно вставить свой пакет в чужое соединение.

Session hijacking — захват чужой сессии: атакующий угадывает sequence и отправляет свои пакеты, выдавая себя за легитимного пользователя.

В CTF session hijacking — классика для задач на перехват сессии или кражу аутентификации.

На практике: видишь TCP-соединение с предсказуемыми номерами (старые реализации) — угадываешь следующий sequence — вставляешь свой пакет и получаешь флаг или доступ.

UDP reflection/amplification (NTP, DNS, Memcached)

UDP reflection — атака, когда отправляешь маленький UDP-запрос от имени жертвы на сервер, который отвечает большим пакетом. Ответ идёт на IP жертвы.

Amplification — усиление: маленький запрос вызывает огромный ответ. Классические сервисы: NTP (команда monlist), DNS (ANY-запрос), Memcached (stats items).

В CTF UDP amplification часто дают в задачах на DDoS или на перегрузку сервиса. Флаг может быть в ответе сервера.

На практике: видишь маленький запрос и огромный ответ от сервера — это amplification; смотришь, какой протокол (NTP, DNS) — понимаешь, как подделать запрос от жертвы.

Slowloris, RUDY, HTTP pipelining атаки

Slowloris — атака, которая медленно отправляет заголовки HTTP-запроса, держа соединение открытым. Сервер ждёт окончания запроса и не может принять новые.

RUDY (R U Dead Yet?) — похожая атака, но медленно отправляет тело POST-запроса по одному байту.

HTTP pipelining — отправка нескольких запросов по одному TCP-соединению без ожидания ответа. Если сервер плохо обрабатывает — можно создать путаницу.

В CTF эти атаки дают в задачах на DoS или на эксплуатацию веб-сервиса. Флаг может быть в ответе перегруженного сервера.

На практике: видишь, что сервер медленно отвечает — это может быть Slowloris-подобная атака; если много запросов в одном соединении — проверяешь pipelining.

Итог

Атаки на транспортный уровень — это способы сломать или обмануть работу TCP и UDP, а также протоколов, которые на них работают. В network и web CTF это очень частая тема: флаг прячут за сервисом, который можно перегрузить, подменить или захватить.

Главное запомнить: TCP SYN flood перегружает сервер полусоединениями; sequence prediction позволяет hijack сессию; UDP reflection использует чужие серверы; Slowloris держит соединения открытыми медленно.

Ключевые слова/термины выучить: TCP SYN flood, ACK flood, RST injection, TCP sequence prediction, session hijacking, UDP reflection, UDP amplification, Slowloris, RUDY, HTTP pipelining.

Эти знания помогут тебе сразу по поведению сервиса понять, какая атака используется. В задачах ты сможешь заметить SYN flood по огромному количеству полусоединений, угадать sequence и захватить сессию, использовать NTP/DNS для reflection или держать соединение медленно через Slowloris — и получить флаг через перегрузку или перехват.

Беспроводные сети и Wi-Fi

Беспроводные сети — это когда устройства общаются по воздуху без проводов: Wi-Fi, Bluetooth, Zigbee, RFID. Wi-Fi — самая популярная технология для интернета дома и в офисе. В категории network и hardware на CTF задачи на беспроводные сети встречаются очень часто — флаг прячут в пароле Wi-Fi, в трафике Bluetooth или в подменённой точке доступа. Новичку важно понять, что Wi-Fi и другие беспроводные протоколы часто имеют слабые места в защите, которые повторяются из года в год. Знание этих уязвимостей позволяет быстро находить открытые сети, перехватывать трафик и получать флаг через подмену или взлом пароля.

Словарь терминов

WEP/WPA/WPA2/WPA3 cracking (Aircrack-ng, hashcat)

WEP — первый стандарт защиты Wi-Fi. Ключ всего 40 или 104 бита — сейчас ломается за минуты через сбор IV (инициализационных векторов).

WPA/WPA2-PSK — защита паролем. Пароль превращается в PMK (Pairwise Master Key), а потом в PTK для каждого клиента. Взлом — сбор handshake (рукопожатия) и brute-force или словарная атака на пароль.

WPA3 — новый стандарт с защитой от словарных атак (SAE — Simultaneous Authentication of Equals) и лучшей защитой от KRACK. Пока взломать сложно.

В CTF WEP/WPA2 — самые частые задачи на Wi-Fi. WPA3 дают редко и обычно с ошибками настройки.

На практике: видишь Wi-Fi с WPA2 — собираешь handshake (4-way handshake) — запускаешь словарь на пароле — получаешь пароль и подключаешься к сети, где лежит флаг.

Evil Twin, KARMA, PMKID attack, KRACK

Evil Twin — создаёшь фальшивую точку доступа с таким же именем (SSID), как настоящая. Клиенты подключаются к тебе, ты перехватываешь трафик или просишь ввести пароль.

KARMA — точка доступа отвечает на любой probe request (запрос клиента «есть ли сеть X?»), даже если клиент искал скрытую сеть. Клиент думает, что сеть есть, и подключается.

PMKID attack — способ собрать материал для взлома WPA2 без подключения клиента. Некоторые роутеры выдают PMKID сразу при запросе — этого хватает для оффлайн-атаки.

KRACK — атака на WPA2: заставляешь клиента повторно использовать nonce, что позволяет расшифровать трафик.

В CTF Evil Twin и PMKID — классика для получения пароля или трафика. KARMA и KRACK дают в задачах на перехват.

На практике: видишь точку доступа — создаёшь Evil Twin с тем же именем — клиент подключается — читаешь трафик; видишь PMKID — запускаешь hashcat на handshake и получаешь пароль.

Deauthentication, beacon flood, rogue AP

Deauthentication — отправка пакета deauth от имени точки доступа клиенту. Клиент думает, что точка его отключила, и отсоединяется. Можно заставить всех отключиться или собрать handshake при повторном подключении.

Beacon flood — засыпание эфира фальшивыми маячками (beacon frames) с разными SSID. Делает список сетей огромным и запутывает пользователя.

Rogue AP — поддельная точка доступа, которую создаёт атакующий. Может быть открытой или с фальшивым паролем, чтобы заманить клиентов.

В CTF deauth — самый простой способ собрать handshake для WPA2. Rogue AP — для MITM и перехвата логина/пароля.

На практике: видишь WPA2-сеть — шлёшь deauth всем клиентам — они переподключаются — собираешь handshake; создаёшь rogue AP без пароля — клиент подключается — читаешь его трафик.

Bluetooth, Zigbee, RFID sniffing и replay

Bluetooth — беспроводная связь на короткие расстояния. Перехват пакетов показывает имя устройства, сервисы, ключи pairing.

Zigbee — протокол для умного дома (лампочки, датчики). Перехват даёт команды управления.

RFID — бесконтактные метки и карты. Sniffing — запись команд и ответов, replay — повтор сообщения.

В CTF Bluetooth/Zigbee/RFID — частые темы для IoT и доступа. Флаг в ответе устройства или в блоке карты.

На практике: видишь Bluetooth-устройство — перехватываешь pairing — получаешь ключ; RFID-карту — записываешь обмен — повторяешь команду READ — получаешь данные с флагом.

Итог

Атаки на беспроводные сети — это взлом Wi-Fi, Bluetooth, Zigbee и RFID через слабые пароли, подмену точек доступа и перехват трафика. В network и hardware CTF это одна из самых популярных тем: флаг почти всегда лежит за беспроводным устройством.

Главное запомнить: WEP/WPA2 ломаются через handshake и словарь; Evil Twin и rogue AP обманывают клиента; deauth помогает собрать handshake; Bluetooth/RFID — перехват и replay.

Ключевые слова/термины выучить: WEP, WPA, WPA2, WPA3, Evil Twin, KARMA, PMKID attack, KRACK, deauthentication, beacon flood, rogue AP, Bluetooth, Zigbee, RFID sniffing, replay.

Эти знания помогут тебе сразу после получения SSID или MAC-адреса точки доступа начать атаку. В задачах ты сможешь собрать handshake через deauth, взломать WPA2 словарём, создать Evil Twin и перехватить логин, или повторить RFID-команду для чтения блока с флагом — и получить доступ или секрет за минуты.

Эксплуатация сетевых устройств

Эксплуатация сетевых устройств — это поиск и использование ошибок или слабых мест в роутерах, коммутаторах, IoT-гаджетах и VPN-серверах, чтобы получить доступ, перехватить трафик или выполнить код. Это как найти открытую дверь в доме или слабый замок на окне. В категориях network, hardware и IoT на CTF такие задачи встречаются очень часто — флаг почти всегда лежит на роутере, умной розетке, коммутаторе или VPN-сервере. Новичку важно понять, что большинство устройств в сети настроены по умолчанию или с типичными ошибками, которые повторяются из года в год. Знание этих слабостей позволяет за минуты находить стандартные пароли, подменять VLAN или использовать известные уязвимости — и получать флаг без сложного реверса.

Словарь терминов

Атаки на роутеры (default credentials, UPnP, remote code execution)

Большинство домашних и офисных роутеров поставляются с заводскими логином и паролем: admin/admin, root/root, admin/password. Если администратор их не сменил — можно войти в веб-интерфейс и получить полный контроль.

UPnP (Universal Plug and Play) — протокол, который позволяет устройствам в сети автоматически открывать порты на роутере. Многие роутеры имеют уязвимости в UPnP — можно открыть порт на любой IP или выполнить код.

Remote code execution — прямое выполнение своего кода на роутере. Часто через уязвимости в веб-интерфейсе, прошивке или UPnP.

В CTF роутеры — самая частая цель. Флаг обычно лежит в веб-интерфейсе или в конфиге после входа.

На практике: видишь IP роутера — пробуешь admin/admin, root/123456 — заходишь в веб; ищешь UPnP в настройках — если включён и старая версия — можно открыть порт или выполнить команду.

Cisco/Juniper/HP switches (VLAN hopping, DTP, VTP attacks)

VLAN hopping — атака, когда устройство в одном VLAN получает доступ к другому VLAN без разрешения. Два основных способа: double tagging (двойная метка 802.1Q) и switch spoofing.

DTP (Dynamic Trunking Protocol) — Cisco-протокол автоматического согласования trunk-порта. Если включён — атакующий может заставить порт стать trunk и видеть все VLAN.

VTP (VLAN Trunking Protocol) — распространяет настройки VLAN по всей сети. Если сервер VTP с низким revision — можно подсунуть свою конфигурацию и стереть VLAN.

В CTF коммутаторы дают в задачах на локальную сеть. Флаг часто в другом VLAN или в конфиге коммутатора.

На практике: видишь Cisco-коммутатор — проверяешь, включён ли DTP — если да, заставляешь порт стать trunk и видишь трафик других VLAN; VTP — подменяешь revision и стираешь VLAN.

IoT-устройства (Mirai, UPnP exploits, Telnet/SSH weak auth)

IoT-устройства (умные розетки, камеры, лампочки) часто имеют слабые пароли (admin/admin, root/xuLi) или открытые Telnet/SSH.

Mirai — ботнет, который сканирует интернет и заражает устройства с простыми паролями (admin/1234, root/root и т.д.).

UPnP exploits — уязвимости в реализации UPnP на IoT, позволяют выполнить код или открыть порт.

Telnet/SSH weak auth — пароли по умолчанию или слабые ключи.

В CTF IoT — очень частая тема. Флаг лежит в веб-интерфейсе камеры или в конфиге после входа.

На практике: видишь IP IoT-устройства — пробуешь Telnet с root/root — заходишь; если UPnP — ищешь уязвимость для выполнения команды.

VPN и туннелирование (OpenVPN, WireGuard, IPsec misconfigs)

OpenVPN — популярный VPN с открытым кодом. Часто используют слабые сертификаты, старые шифры или неправильную конфигурацию.

WireGuard — современный и простой VPN. Уязвим, если приватный ключ утёк или конфиг позволяет подключаться без проверки.

IPsec — набор протоколов для туннелей. Слабости в IKE (обмен ключами), слабые DH-группы, неправильная настройка политик.

Misconfigs — ошибки настройки: открытые порты, слабые ключи, отсутствие проверки сертификатов.

В CTF VPN — классика для доступа к внутренней сети. Флаг часто за VPN-туннелем.

На практике: видишь OpenVPN-конфиг — проверяешь слабые шифры или сертификаты — подключаешься; WireGuard — ищешь приватный ключ в дампе; IPsec — пробуешь слабые DH-группы.

Итог

Эксплуатация сетевых устройств — это использование слабых паролей, открытых протоколов и ошибок настройки роутеров, коммутаторов, IoT и VPN. В network и hardware CTF это одна из самых частых тем: флаг лежит за устройством с default-паролем или уязвимостью.

Главное запомнить: роутеры ломаются default-креденшалами и UPnP; коммутаторы — через DTP/VTP и VLAN hopping; IoT — слабые пароли и Telnet; VPN — misconfigs и слабые шифры.

Ключевые слова/термины выучить: default credentials, UPnP, remote code execution, VLAN hopping, DTP, VTP, Mirai, Telnet/SSH weak auth, OpenVPN, WireGuard, IPsec misconfigs.

Эти знания помогут тебе сразу после получения IP устройства пробовать стандартные пароли и проверять открытые сервисы. В задачах ты сможешь зайти на роутер с admin/admin, поднять trunk-порт через DTP, подключиться к IoT по Telnet с root/root или использовать слабый OpenVPN-конфиг — и достать флаг из внутренней сети или конфига устройства.

Инструменты для сетевой категории

Инструменты для сетевой категории — это программы и утилиты, которые помогают захватывать, анализировать, сканировать и атаковать сеть: от простого просмотра пакетов до подмены трафика и взлома Wi-Fi. В CTF категории network они используются почти в каждой задаче — без них невозможно понять, что происходит в трафике, найти открытые порты или перехватить флаг. Новичку важно знать хотя бы основные инструменты, потому что именно они превращают непонятный набор байтов в читаемые запросы, пароли и секреты. Знание этих инструментов позволяет быстро открывать дампы, сканировать сеть, подменять пакеты и доставать флаг из HTTP, DNS, Wi-Fi или ARP-трафика.

Словарь терминов

Wireshark, tcpdump, tshark, Zeek

Wireshark — программа с удобным интерфейсом, где видно все пакеты: кто с кем говорил, по какому протоколу, что внутри. Можно кликать по пакетам, фильтровать и собирать потоки.

tcpdump — простая консольная утилита: быстро записывает трафик в файл и показывает базовую информацию. Удобна, когда нет графического интерфейса.

tshark — та же Wireshark, но только в командной строке. Можно фильтровать, извлекать поля и автоматизировать анализ.

Zeek (раньше Bro) — не просто записывает пакеты, а понимает протоколы: создаёт отчёты о соединениях, файлах, скриптах, подозрительных действиях.

В CTF эти инструменты — основа любой сетевой задачи. Обычно дают PCAP-файл — и нужно найти флаг в нём.

На практике: открываешь дамп в Wireshark — сразу видишь HTTP, DNS или подозрительные соединения; фильтруешь http.request — находишь запросы с флагом в параметрах.

Nmap, Masscan, ZMap, Responder, Bettercap

Nmap — универсальный сканер: ищет открытые порты, версии программ, ОС и запускает скрипты на уязвимости.

Masscan и ZMap — сверхбыстрые сканеры для больших диапазонов IP. Masscan похож на Nmap по синтаксису, но в сотни раз быстрее.

Responder — инструмент для отравления LLMNR/NBNS в Windows-сетях: отвечает на запросы имён и получает NTLM-хэши аутентификации.

Bettercap — современный инструмент для MITM: ARP/DNS spoofing, перехват HTTPS, инъекция JavaScript, атаки на Wi-Fi.

В CTF Nmap — первый шаг в любой сетевой задаче; Responder и Bettercap — для локальных сетей и MITM.

На практике: видишь IP — запускаешь Nmap — находишь порт 80 с уязвимым вебом; в локалке запускаешь Responder — получаешь NTLM-хэш и ломаешь пароль.

Aircrack-ng, hashcat, hcxtools, John the Ripper

Aircrack-ng — набор утилит для Wi-Fi: захват handshake, взлом WEP/WPA2, генерация трафика для сбора пакетов.

hashcat — самая быстрая программа для подбора паролей по хэшам. Поддерживает GPU и сотни алгоритмов.

hcxtools — набор для захвата и конвертации Wi-Fi handshake в формат для hashcat.

John the Ripper — ещё один мощный инструмент для подбора паролей, особенно хорош для Unix-хэшей и простых паролей.

В CTF эти инструменты — стандарт для задач на Wi-Fi и хэши. WPA2-handshake → hashcat — классика.

На практике: собрал handshake — конвертируешь в hashcat-формат — запускаешь словарь или brute-force — получаешь пароль от Wi-Fi с флагом.

Scapy, mitmproxy, Burp Suite, sqlmap

Scapy — библиотека Python для создания, отправки и анализа любых сетевых пакетов. Можно написать свой протокол или подделать любой пакет.

mitmproxy — прокси для перехвата и изменения HTTP/HTTPS-трафика. Можно смотреть, менять запросы и ответы в реальном времени.

Burp Suite — профессиональный прокси для веб-атак: перехват, повтор запросов, инъекции, сканирование уязвимостей.

sqlmap — автоматический инструмент для поиска и эксплуатации SQL-инъекций.

В CTF Scapy используют для кастомных протоколов и подмены пакетов; mitmproxy и Burp — для веб-задач; sqlmap — для баз данных.

На практике: видишь кастомный протокол — пишешь в Scapy свой пакет — отправляешь и получаешь флаг; перехватываешь веб-запрос — меняешь параметр — получаешь доступ.

Итог

Инструменты для сетевой категории — это программы для сканирования, захвата, анализа и подмены сетевого трафика. В network CTF они используются почти всегда — без них невозможно найти открытые порты, перехватить сессию или взломать Wi-Fi.

Главное запомнить: Wireshark/tcpdump — для анализа трафика; Nmap/Masscan — для поиска устройств и портов; Aircrack-ng/hashcat — для Wi-Fi; Scapy/mitmproxy — для подмены и кастомных пакетов.

Ключевые слова/термины выучить: Wireshark, tcpdump, tshark, Zeek, Nmap, Masscan, ZMap, Responder, Bettercap, Aircrack-ng, hashcat, Scapy, mitmproxy, Burp Suite, sqlmap.

Эти знания помогут тебе сразу после получения IP или PCAP-файла выбрать правильный инструмент. В задачах ты сможешь быстро просканировать сеть Nmap, захватить handshake Aircrack-ng и взломать пароль hashcat, перехватить HTTP mitmproxy, подменить пакет Scapy или собрать NTLM-хэш Responder — и получить флаг через разведку, перехват или взлом.

Основы сетевых протоколов

Сетевые протоколы — это правила, по которым компьютеры, телефоны, роутеры и другие устройства договариваются, как отправлять и получать данные по сети. Это как язык, на котором они общаются. В категориях network, forensics и иногда pwn на CTF эта тема встречается почти в каждой второй задаче — флаг прячут в заголовках пакетов, в запросах DNS, в ARP-ответах или в ICMP-сообщениях. Новичку важно понять основы, потому что большинство задач на сетях строится именно на понимании, как устроены пакеты и что в них можно подменить или прочитать. Знание этих протоколов помогает быстро разбирать дампы трафика, находить подозрительные пакеты и доставать флаг из заголовков или полезной нагрузки.

Словарь терминов

Модель OSI и TCP/IP, инкапсуляция и деинкапсуляция пакетов

Модель OSI — это 7 уровней, как данные проходят от программы до провода:

1. Прикладной (HTTP, DNS, FTP)

2. Представления (кодировки, шифрование)

3. Сеансовый (управление соединением)

4. Транспортный (TCP/UDP)

5. Сетевой (IP, маршрутизация)

6. Канальный (Ethernet, MAC-адреса)

7. Физический (кабели, сигналы)

Модель TCP/IP — практическая 4-уровневая версия: прикладной, транспортный, сетевой, канальный+физический.

Инкапсуляция — когда данные идут сверху вниз: каждый уровень добавляет свой заголовок. На выходе получается кадр Ethernet → внутри IP-пакет → внутри TCP-сегмент → внутри данные приложения.

Деинкапсуляция — обратный процесс: принимающее устройство снимает заголовки слой за слоем и передаёт данные вверх.

В CTF понимание инкапсуляции нужно всегда. Флаг может быть в любом заголовке или в полезной нагрузке любого уровня.

На практике: видишь дамп трафика — смотришь, какие заголовки идут друг в друге — понимаешь, где искать флаг (в IP-опциях, TCP-портах, DNS-запросах).

Заголовки Ethernet, IP, TCP, UDP, ICMP

Ethernet-заголовок — MAC-адреса отправителя и получателя, тип протокола выше (обычно 0x0800 для IP).

IP-заголовок — версия (4 или 6), длина, TTL, протокол выше (TCP=6, UDP=17, ICMP=1), IP-адреса отправителя и получателя.

TCP-заголовок — порты отправителя и получателя, номера последовательности, подтверждения, флаги (SYN, ACK, FIN, RST), окно, контрольная сумма.

UDP-заголовок — порты, длина, контрольная сумма. Очень простой — нет соединения.

ICMP — сообщения об ошибках и диагностике: echo request/reply (ping), destination unreachable, time exceeded (traceroute).

В CTF заголовки — самое частое место для флага. Часто прячут в IP-опциях, TCP-опциях, UDP-портах или ICMP-данных.

На практике: видишь ICMP-пакет — читаешь поле данных; видишь TCP с флагом PSH — смотришь payload; видишь странные порты — это может быть флаг.

ARP, DNS, DHCP, NTP и их эксплуатация

ARP — протокол в локальной сети: «чей IP 192.168.1.1?» → «мой MAC aa:bb:cc:dd:ee:ff». Можно подменить ответ (ARP spoofing) и перехватывать трафик.

DNS — «какой IP у example.com?» → «93.184.216.34». Можно подменить ответ (DNS spoofing) или передать данные в поддоменах (DNS exfiltration).

DHCP — автоматическая выдача IP, маски, шлюза, DNS. Можно подсунуть свой DHCP-сервер и выдать фальшивые настройки.

NTP — синхронизация времени. Можно заставить устройство думать, что время другое, или передать данные в поле NTP.

В CTF эти протоколы дают в задачах на MITM, перехват или exfiltration. Флаг часто в DNS-запросе или в подменённом ответе.

На практике: видишь много ARP-запросов — это может быть спуфинг; длинные поддомены в DNS — exfiltration, собираешь и декодируешь; подозрительный DHCP — смотришь, что он выдаёт.

Разница между IPv4 и IPv6, переходные механизмы

IPv4 — старый протокол, адреса 32 бита (192.168.1.1), заголовок 20 байт + опции. Адресов почти не осталось.

IPv6 — новый, адреса 128 бит (2001:db8::1), заголовок фиксированный 40 байт, много расширений. Адресов хватит навсегда.

Переходные механизмы — как заставить старые и новые устройства общаться:

• Dual stack — устройство поддерживает оба протокола

• Tunneling (6to4, Teredo, 6in4) — IPv6 внутри IPv4

• NAT64/DNS64 — IPv6-клиент общается с IPv4-сервером через трансляцию

В CTF IPv6 встречается в задачах на туннелирование и переход. Флаг могут спрятать в IPv6-адресе или в туннельном пакете.

На практике: видишь IPv6-адрес — проверяешь, нет ли в нём закодированного флага; видишь туннельные пакеты — разбираешь вложенный трафик.

Итог

Основы сетевых протоколов — это понимание, как данные путешествуют по сети и что написано в каждом заголовке. В network и forensics CTF это одна из ключевых тем: флаг почти всегда лежит в заголовке или сообщении какого-то протокола.

Главное запомнить: OSI/TCP/IP показывают уровни; Ethernet/IP/TCP/UDP/ICMP — основные заголовки; ARP/DNS/DHCP — локальные протоколы; IPv4 → IPv6 переход создаёт туннели.

Ключевые слова/термины выучить: модель OSI, модель TCP/IP, инкапсуляция, Ethernet, IP, TCP, UDP, ICMP, ARP, DNS, DHCP, NTP, IPv4, IPv6.

Эти знания помогут тебе сразу по дампу трафика понять, какой протокол используется и где искать флаг. В задачах ты сможешь прочитать флаг из ICMP-данных, собрать его из DNS-поддоменов, найти подозрительный ARP-ответ или разобрать туннель IPv6 в IPv4 — и получить флаг без сложного анализа.

Сетевые сканы и разведка

Сетевые сканы и разведка — это способы узнать, какие устройства стоят в сети, какие порты открыты, какие программы и версии на них работают, и как можно к ним подобраться. Это как разведка перед боем: сначала смотришь, где противник, чем вооружён и где у него слабые места. В категориях network, web и иногда pwn на CTF эта тема встречается почти в каждой задаче — флаг обычно лежит на сервере, и чтобы его достать, сначала нужно понять, что там вообще есть. Новичку важно освоить базовые приёмы разведки, потому что 90% задач начинается именно с неё. Знание сканов и способов пассивного сбора информации помогает быстро находить открытые порты, сервисы и уязвимости, через которые можно получить флаг.

Словарь терминов

Nmap (SYN scan, version detection, OS fingerprinting, scripting engine)

Nmap — самая популярная программа для сетевой разведки. Она умеет сканировать порты, определять версии программ, угадывать ОС и запускать скрипты на уязвимости.

SYN scan — самый быстрый и скрытный способ: отправляет только SYN-пакет (начало соединения), смотрит ответ и не завершает соединение. Не оставляет следов в логах большинства серверов.

Version detection — после нахождения открытого порта Nmap подключается и читает приветственное сообщение (banner) или делает несколько запросов, чтобы понять, какая версия сервиса (например Apache 2.4.41).

OS fingerprinting — отправляет специальные пакеты и смотрит на особенности ответов (TTL, флаги, порядок опций) — по ним угадывает ОС (Windows 10, Linux 5.4, Cisco и т.д.).

Scripting engine — сотни готовых скриптов, которые проверяют известные уязвимости, читают конфиги, пытаются подобрать пароли.

В CTF Nmap — первый инструмент в любой сетевой задаче. Обычно дают IP или диапазон — нужно просканировать и найти сервис с флагом.

На практике: видишь IP — запускаешь SYN-скан на все порты — видишь открытые 80, 22, 445 — дальше version detection — понимаешь, что на 80 старая версия Apache с уязвимостью.

Masscan, ZMap для быстрого сканирования больших сетей

Masscan и ZMap — это сверхбыстрые сканеры портов, которые могут проверить весь интернет за минуты или часы. Они не такие «умные», как Nmap, но в десятки-сотни раз быстрее.

Masscan похож на Nmap по синтаксису, но использует асинхронную отправку пакетов и может сканировать миллионы хостов одновременно.

ZMap ещё проще и быстрее — предназначен для исследования больших диапазонов (например весь IPv4).

В CTF эти инструменты дают в задачах на большие сети или CTF с реальным интернетом. Нужно быстро найти живые хосты с открытым портом.

На практике: видишь диапазон 10.0.0.0/8 — запускаешь Masscan или ZMap на порт 80 или 445 — за минуты получаешь список серверов, среди которых прячется флаг.

ARP spoofing, DNS spoofing, LLMNR/NBNS poisoning

ARP spoofing — в локальной сети подменяешь ARP-ответы: говоришь всем, что твой MAC — это шлюз. Весь трафик идёт через тебя (MITM).

DNS spoofing — подмена ответа DNS-сервера. Жертва спрашивает example.com — ты отвечаешь своим IP.

LLMNR/NBNS poisoning — в Windows-сетях, когда компьютер не знает имя хоста, он кричит в сеть LLMNR или NBNS. Ты отвечаешь от имени сервера и получаешь NTLM-хэш аутентификации.

В CTF эти атаки — классика для локальных сетей и MITM. Флаг часто в перехваченном трафике или в NTLM-хэше.

На практике: видишь локальную сеть — запускаешь ARP spoofing — весь трафик идёт через тебя — читаешь пароли или куки; видишь LLMNR-запросы — отвечаешь и получаешь хэш.

Passive reconnaissance (traffic sniffing, banner grabbing)

Passive reconnaissance — сбор информации без активных запросов к цели. Просто слушаешь трафик или подключаешься и читаешь приветствия.

Traffic sniffing — прослушка сети (особенно в Wi-Fi без шифрования или при MITM). Можно увидеть логины, пароли, куки, DNS-запросы.

Banner grabbing — подключение к сервису и чтение его приветственного сообщения (например telnet на порт 21 — видишь версию FTP).

В CTF passive recon — первый шаг в задачах на MITM или когда нельзя шуметь активными сканами.

На практике: видишь открытую Wi-Fi сеть или ARP spoofing — слушаешь трафик — видишь HTTP без HTTPS или FTP без шифрования — читаешь флаг прямо из пакетов.

Итог

Сетевые сканы и разведка — это первый и самый важный этап любой сетевой задачи в CTF: понять, что есть в сети и где слабые места. В network и web это основа — без разведки дальше не идёшь.

Главное запомнить: Nmap — универсальный сканер (SYN, version, OS, скрипты); Masscan/ZMap — для больших диапазонов; ARP/DNS/LLMNR poisoning — для MITM в локалке; passive recon — тихо собираешь информацию без шума.

Ключевые слова/термины выучить: скан портов, SYN scan, version detection, OS fingerprinting, scripting engine, ARP spoofing, DNS spoofing, LLMNR/NBNS poisoning, passive reconnaissance, banner grabbing.

Эти знания помогут тебе сразу после получения IP или PCAP-файла запустить скан и понять, какие сервисы открыты. В задачах ты сможешь быстро найти порт 80 с уязвимым вебом, перехватить трафик через ARP spoofing, прочитать пароль из FTP-banner или собрать NTLM-хэш из LLMNR — и получить флаг через разведку и MITM.

Сетевые туннели и C2-каналы

Сетевые туннели и C2-каналы — это способы спрятать передачу данных или команд внутри обычного сетевого трафика так, чтобы защитные системы (фаерволы, IDS) их не заметили. Туннель — как тайный ход внутри легального трафика, C2-канал — канал управления заражённой машиной. В категориях network, red teaming и forensics на CTF такие задачи встречаются очень часто — флаг или доступ к системе обычно лежат за туннелем или скрытым каналом. Новичку важно понять, что почти любой протокол можно использовать для передачи данных тайно, и многие защиты смотрят только на поверхностные признаки. Знание этих техник помогает быстро распознавать необычный трафик, понимать, как злоумышленник обходит защиту, и находить флаг в DNS-запросах, ICMP-пакетах или поддельных HTTP-сообщениях.

Словарь терминов

DNS, ICMP, HTTP/S tunneling (dnscat2, icmpsh, Covenant, Empire)

DNS tunneling — передача любых данных внутри DNS-запросов и ответов. Клиент кодирует команды в поддомене (base32 или base64), сервер отвечает закодированными данными в TXT-записях.

ICMP tunneling — то же самое, но внутри ping-пакетов. Полезная нагрузка ICMP может быть до 65535 байт — можно передавать файлы или команды.

HTTP/S tunneling — передача команд и ответов внутри обычных HTTP/HTTPS-запросов. Можно прятать в заголовках, куках, теле запроса или даже в User-Agent.

В CTF туннели — классика для задач на C2 и вынос флага из закрытой сети. DNS и ICMP особенно популярны, потому что их редко блокируют полностью.

На практике: видишь много странных DNS-запросов на один домен с длинными поддоменами — собираешь их и декодируешь — получаешь команды или флаг; видишь ping с большими пакетами — читаешь содержимое.

Protocol smuggling (gopher, dict, file в SSRF)

Protocol smuggling — использование одного протокола для выполнения команд другого протокола. Самые популярные в SSRF (Server-Side Request Forgery):

• gopher:// — позволяет отправить любой TCP-пакет, в том числе Redis-команды, SMTP, Memcached.

• dict:// — простой протокол запроса словарей, но можно использовать для проверки портов или отправки простых строк.

• file:// — чтение локальных файлов на сервере (file:///etc/passwd).

В CTF protocol smuggling — очень частая техника в web-задачах с SSRF. Флаг часто лежит в локальном файле или в Redis/Memcached.

На практике: видишь SSRF — пробуешь file:///flag.txt — читаешь флаг; gopher://127.0.0.1:6379 — отправляешь команды Redis и получаешь доступ к данным.

Covert channels (Steganography в сетевом трафике)

Covert channel — скрытый канал передачи информации, который не предназначен для этого. В сети это может быть:

• Временные задержки между пакетами (timing channel)

• Поля в заголовках (TTL, IP ID, TCP options)

• Размер пакетов или их порядок

• Steganography в полезной нагрузке (LSB в изображениях, эхо в аудио, но в пакетах)

В CTF covert channels дают в задачах на скрытную передачу флага из закрытой сети или между машинами.

На практике: видишь подозрительно регулярные задержки между пакетами — измеряешь их — декодируешь биты; видишь необычные значения TTL или IP ID — читаешь как бинарный код.

Pivot и lateral movement через прокси/туннели

Pivot — использование одной заражённой машины как точки входа для доступа к другой машине в той же сети.

Lateral movement — перемещение внутри сети от одной машины к другой (через SMB, RDP, SSH, прокси).

Через туннели (SSH, HTTP/S, DNS) создаётся канал, по которому можно сканировать внутреннюю сеть, подключаться к другим машинам или выносить данные.

В CTF pivot и lateral movement — классика для задач на многоуровневые сети. Флаг лежит на внутренней машине.

На практике: получил доступ к одной машине — создаёшь SSH-туннель или HTTP-прокси — сканируешь внутреннюю сеть — находишь следующую машину с флагом.

Итог

Сетевые туннели и C2-каналы — это способы спрятать передачу команд и данных внутри обычного трафика. В network, red teaming и forensics CTF это одна из самых важных тем: флаг или доступ почти всегда за туннелем или скрытым каналом.

Главное запомнить: DNS/ICMP/HTTP можно использовать для туннелей; SSRF позволяет выполнять команды через gopher/file/dict; covert channels прячут данные во времени или полях пакетов; pivot — способ попасть во внутреннюю сеть.

Ключевые слова/термины выучить: туннель, C2-канал, DNS tunneling, ICMP tunneling, HTTP/S tunneling, protocol smuggling, SSRF, covert channel, steganography в трафике, pivot, lateral movement.

Эти знания помогут тебе сразу по трафику понять, используется ли туннель. В задачах ты сможешь собрать флаг из DNS-поддоменов, отправить Redis-команды через gopher в SSRF, прочитать скрытые данные из задержек пакетов или создать туннель с заражённой машины для сканирования внутренней сети — и достать флаг без прямого доступа.