Network recon tools part 1 (6)
Assess organizational security with network reconnaissance tools.
Network recon tools part 1
يشير التقييم الأمني إلى العمليات والإجراءات والأدوات المستخدمة لكشف ما إذا كانت المنظمة تعاني من بعض نقاط الضعف التي يمكن أن تستغلها Threat actors. حرفيا، التقييم الأمني هو مسح أمني أو عملية دراسة تغطي جميع خدمات المؤسسة، بما في ذلك البنية التحتية Network و Web Applications . من المحتمل أن يكون Threat Victor ضعيفًا، ولست قويًا مثل Penetration Testing Engineer. ويتمثل ناتج التقييم في توصيات تتعلق بنشر الضوابط الأمنية أو تعزيزها أو إعادة هيكلتها للتخفيف من خطر استغلال نقاط الضعف من قبل Threat agent.
يعد reconnaissance أحد أنشطة التقييم الأمني الفعالة التي ترسم خرائط للبنية التحتية لخدمة المؤسسة من خلال تحديد الاتصالات التي تشكل الشبكة، ونحتاج دائمًا إلى إجراء فحوصات على البنية التحتية للشبكة باستخدام مجموعة من الأدوات التي يمكن أن تكون command line interface (CLI ) أو (GUI ) Graphical User Interface باستخدام هذه الأدوات يمكننا تحليل البيانات التي تمر على الشبكة، ومتابعة حزم البيانات، و Scanning المفصل على الشبكة، واكتشاف الخدمات التي تعمل في البنية التحتية، وما إذا كانت الخدمة بها ضعف خاص. يجب أن تفهم أيضًا كيف يمكن استخدام الأدوات لصنع Backdoor للمضيف حتى يتم تسريب البيانات سرًا.
ipconfig, Ping, Arp
يشار إلى عملية رسم خرائط سطح الهجوم باسم استطلاع الشبكة واكتشافها. يمكن استخدام تقنيات الاستطلاع من قبل الجهات الفاعلة المهددة، ولكن يتم استخدامها أيضًا من قبل المتخصصين الأمنيين للتحقيق في أنظمتهم الأمنية واختبارها، كجزء من تقييم أمني ومراقبة مستمرة.
Topology discovery (footprinting)
يشير المصطلح إلى المسح الكامل للشبكة والكشف عن طرق الاتصال والتحليل وجميع الأجهزة الموجودة على الشبكة، سواء كانت موظفين أو أجهزة حماية مثل firewall، من أجل رسم خريطة لهيكل الشبكة المستهدفة لغرض الكشف عن نقاط الضعف الحالية أو أخطاء تكوين الشبكة.
يمكن إنجاز مهام اكتشاف الطوبولوجيا الأساسية باستخدام أدوات سطر الأوامر المدمجة في Windows و Linux. تبلغ الأدوات التالية عن تكوين IP واتصال الاختبار على قطاع الشبكة المحلية أو الشبكة الفرعية.
ipconfig: أظهر التكوين المخصص لواجهة الشبكة في Windows او ما يعرف ب (network interfaces)، بما في ذلك عنوان الجهاز أو التحكم في الوصول إلى الوسائط (MAC)، وعناوين IPv4 و IPv6، والبوابة الافتراضية (network gateway)، وما إذا كان العنوان ثابتًا أو تم تعيينه بواسطة DHCP. إذا كان العنوان DHCP مخصصا، فإن الناتج يظهر أيضا عنوان خادم DHCP.
C:\Users\Afaq_Lite>ipconfig Windows IP Configuration Ethernet adapter VirtualBox Host-Only Network: Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::65c3:aab5:f1d4:1159%8 IPv4 Address. . . . . . . . . . . : 192.168.56.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : Ethernet adapter Ethernet: Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::51e1:110:5807:346d%17 IPv4 Address. . . . . . . . . . . : 192.168.1.9 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1
ifconfig: يقوم هذا الامر بتنفيذ مهام ipconfig لكن يعمل هذا علي انظمة لينكس وهو ايضا يقوم باظهار التكوين المخصص لواجهة الشبكة.
┌──(kali㉿kali)-[~]
└─$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.7 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::cf23:5146:ee16:7ac0 prefixlen 64 scopeid 0x20<link>
ether 08:00:27:22:46:4f txqueuelen 1000 (Ethernet)
RX packets 29 bytes 2762 (2.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 28 bytes 4571 (4.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 4 bytes 240 (240.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4 bytes 240 (240.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Ping: يعتبر هذا الامر من اشهر ادوات التأكد من الاتصالات لدي مهندسين الشبكات بشكل عام حيث يقوم هذا الامر بارسال رساله عن طريقة بروتوكول ICMP بين جهازين أو أكثر لضمان الاتصال بين الأجهزة المختلفة ويمكن أيضًا التأكد من الاتصال على الشبكة ككل.
C:\Users\Afaq_Lite>ping 192.168.1.7
Pinging 192.168.1.7 with 32 bytes of data:
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.1.7:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0msarp: عرض ذاكرة التخزين المؤقت لبروتوكول حل عناوين الآلة المحلية (ARP). يُظهر مخبأ ARP عنوان MAC للواجهة المرتبطة بكل عنوان IP الذي تواصل معه المضيف المحلي مؤخرًا. قد يكون هذا مفيدًا إذا كنت تحقق في هجوم انتحال مشتبه به.
C:\Users\Afaq_Lite>arp -a Interface: 192.168.56.1 --- 0x8 Internet Address Physical Address Type 192.168.56.255 ff-ff-ff-ff-ff-ff static 224.0.0.22 01-00-5e-00-00-16 static 224.0.0.251 01-00-5e-00-00-fb static 224.0.0.252 01-00-5e-00-00-fc static 239.255.255.250 01-00-5e-7f-ff-fa static Interface: 192.168.1.9 --- 0x11 Internet Address Physical Address Type 192.168.1.1 74-da-88-7f-c1-84 dynamic 192.168.1.255 ff-ff-ff-ff-ff-ff static 224.0.0.22 01-00-5e-00-00-16 static 224.0.0.251 01-00-5e-00-00-fb static 239.255.255.250 01-00-5e-7f-ff-fa static 255.255.255.255 ff-ff-ff-ff-ff-ff static
Route and traceroute
يمكن استخدام الأدوات لمعرفة طرق التوجيه بمعني اخر الأجهزة الوسيطة بين عمليات الاتصال مثال علي ذلك PC1 يريد الاتصال PC2 ما هي الأجهزة التي تمر علية الاتصال حتي تصل الي PC2 يمكن استخدام الأدوات التالية لمعرفة عناوين تلك الأجهزة الوسيطة.
tracert: تُستخدم هذه الأداة لاستخراج الأجهزة الوسيطة في عمليات الاتصال حيث تتتبع أداة بروتوكول ICMP ذهابًا وإيابًا أو ما يُعرف Round Trip Time (RTT)، وتستخرج تلك الأداة عناوين الأجهزة الوسيطة على الشبكات البعيدة أو ما يسمى hops والشبكة البعيدة من المفترض أن تكون شبكات غير موجودة في نفس جهاز router . و (الاداة تعمل علي Windows ).
C:\Users\Afaq_Lite>tracert google.com Tracing route to google.com [216.58.205.206] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms 192.168.1.1 2 8 ms 6 ms 6 ms 10.45.10.23 3 7 ms 7 ms 6 ms 10.29.26.161 4 7 ms 6 ms 7 ms 10.37.93.42 5 7 ms 7 ms 7 ms 10.39.13.93 6 11 ms 10 ms 11 ms 10.39.15.174 7 9 ms 15 ms 11 ms 60-60-60-41.rev.home.ne.jp [60.60.60.41] 8 16 ms 19 ms 17 ms 10.39.16.69 9 43 ms 43 ms 44 ms 74.125.118.226 10 44 ms 44 ms 44 ms 108.170.227.165 11 44 ms 44 ms 43 ms 142.250.46.97 12 51 ms 43 ms 42 ms mil04s29-in-f206.1e100.net [216.58.205.206] Trace complete.
traceroute: إنها أداة تعمل على أنظمة Linux لأنها تقوم بنفس أعمال tracert حيث يمكنها أيضًا استخراج عناوين القفز hops باستخدام بروتوكول UDP افتراضيًا بدلاً من ICMP المستخدم مع tracert.
┌──(kali㉿kali)-[~] └─$ traceroute google.com traceroute to google.com (172.217.171.238), 30 hops max, 60 byte packets 1 192.168.1.1 (192.168.1.1) 0.693 ms 0.642 ms 4.035 ms 2 10.45.10.23 (10.45.10.23) 6.815 ms 6.895 ms 8.547 ms 3 10.29.26.182 (10.29.26.182) 8.245 ms 10.29.26.174 (10.29.26.174) 7.936 ms 10.29.26.161 (10.29.26.161) 8.400 ms 4 10.37.93.42 (10.37.93.42) 8.118 ms 8.388 ms 8.024 ms 5 10.29.27.5 (10.29.27.5) 13.440 ms 11.773 ms 10.39.13.93 (10.39.13.93) 7.833 ms 6 10.39.13.89 (10.39.13.89) 11.976 ms 10.933 ms 11.671 ms 7 * * * 8 10.39.16.73 (10.39.16.73) 10.451 ms 11.028 ms 10.852 ms 9 72.14.209.20 (72.14.209.20) 46.706 ms 49.402 ms 45.582 ms 10 * * * 11 108.170.252.241 (108.170.252.241) 46.738 ms 142.251.78.86 (142.251.78.86) 48.233 ms 108.170.252.241 (108.170.252.241) 49.448 ms 12 108.170.252.242 (108.170.252.242) 450.568 ms 450.659 ms 172.253.67.151 (172.253.67.151) 47.159 ms 13 mrs09s07-in-f14.1e100.net (172.217.171.238) 45.896 ms 74.125.244.209 (74.125.244.209) 46.237 ms mrs09s07-in-f14.1e100.net (172.217.171.238) 45.641 ms
pathping: توفر هذه الأداة الكشف عن الاتصالات بالإضافة إلى استخراج الأجهزة الوسيطة أثناء الاتصال وتعمل تلك الأداة على نظام Windows ، حيث توجد أداة مماثلة على أنظمة Linux وهي mtr.
C:\Users\Afaq_Lite>pathping google.com Tracing route to google.com [172.217.171.238] over a maximum of 30 hops: 0 DESKTOP-108946N [192.168.1.9] 1 192.168.1.1 2 10.45.10.23 3 10.29.26.166 4 10.37.93.42 5 10.29.27.5 6 10.39.13.89 7 60-60-60-41.rev.home.ne.jp [60.60.60.41] 8 10.39.16.73 9 72.14.209.20 10 108.170.227.165 11 172.253.67.153 12 mrs09s07-in-f14.1e100.net [172.217.171.238] Computing statistics for 300 seconds...
