Network recon tools part 1 (6) - Programmer Tech
Security PlusBlog

Network recon tools part 1 (6)

Assess organizational security with network reconnaissance tools.

Network recon tools part 1

يشير التقييم الأمني إلى العمليات والإجراءات والأدوات المستخدمة لكشف ما إذا كانت المنظمة تعاني من بعض نقاط الضعف التي يمكن أن تستغلها Threat actors. حرفيا، التقييم الأمني هو مسح أمني أو عملية دراسة تغطي جميع خدمات المؤسسة، بما في ذلك البنية التحتية Network و Web Applications . من المحتمل أن يكون Threat Victor ضعيفًا، ولست قويًا مثل Penetration Testing Engineer. ويتمثل ناتج التقييم في توصيات تتعلق بنشر الضوابط الأمنية أو تعزيزها أو إعادة هيكلتها للتخفيف من خطر استغلال نقاط الضعف من قبل Threat agent.

يعد reconnaissance  أحد أنشطة التقييم الأمني الفعالة التي ترسم خرائط للبنية التحتية لخدمة المؤسسة من خلال تحديد الاتصالات التي تشكل الشبكة، ونحتاج دائمًا إلى إجراء فحوصات على البنية التحتية للشبكة باستخدام مجموعة من الأدوات التي يمكن أن تكون command line interface  (CLI ) أو (GUI ) Graphical User Interface  باستخدام هذه الأدوات يمكننا تحليل البيانات التي تمر على الشبكة، ومتابعة حزم البيانات، و Scanning  المفصل على الشبكة، واكتشاف الخدمات التي تعمل في البنية التحتية، وما إذا كانت الخدمة بها ضعف خاص. يجب أن تفهم أيضًا كيف يمكن استخدام الأدوات لصنع Backdoor للمضيف حتى يتم تسريب البيانات سرًا.

ipconfig, Ping, Arp

يشار إلى عملية رسم خرائط سطح الهجوم باسم استطلاع الشبكة واكتشافها. يمكن استخدام تقنيات الاستطلاع من قبل الجهات الفاعلة المهددة، ولكن يتم استخدامها أيضًا من قبل المتخصصين الأمنيين للتحقيق في أنظمتهم الأمنية واختبارها، كجزء من تقييم أمني ومراقبة مستمرة.

Topology discovery (footprinting) 

يشير المصطلح إلى المسح الكامل للشبكة والكشف عن طرق الاتصال والتحليل وجميع الأجهزة الموجودة على الشبكة، سواء كانت موظفين أو أجهزة حماية مثل firewall، من أجل رسم خريطة لهيكل الشبكة المستهدفة لغرض الكشف عن نقاط الضعف الحالية أو أخطاء تكوين الشبكة.

يمكن إنجاز مهام اكتشاف الطوبولوجيا الأساسية باستخدام أدوات سطر الأوامر المدمجة في Windows و Linux. تبلغ الأدوات التالية عن تكوين IP واتصال الاختبار على قطاع الشبكة المحلية أو الشبكة الفرعية.

ipconfig: أظهر التكوين المخصص لواجهة الشبكة في Windows او ما يعرف ب (network interfaces)، بما في ذلك عنوان الجهاز أو التحكم في الوصول إلى الوسائط (MAC)، وعناوين IPv4 و IPv6، والبوابة الافتراضية (network gateway)، وما إذا كان العنوان ثابتًا أو تم تعيينه بواسطة DHCP. إذا كان العنوان DHCP مخصصا، فإن الناتج يظهر أيضا عنوان خادم DHCP.

C:\Users\Afaq_Lite>ipconfig

Windows IP Configuration


Ethernet adapter VirtualBox Host-Only Network:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::65c3:aab5:f1d4:1159%8
   IPv4 Address. . . . . . . . . . . : 192.168.56.1
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . :
   Link-local IPv6 Address . . . . . : fe80::51e1:110:5807:346d%17
   IPv4 Address. . . . . . . . . . . : 192.168.1.9
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1

ifconfig: يقوم هذا الامر بتنفيذ مهام ipconfig لكن يعمل هذا علي انظمة لينكس وهو ايضا يقوم باظهار التكوين المخصص لواجهة الشبكة.

┌──(kali㉿kali)-[~]
└─$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.7  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::cf23:5146:ee16:7ac0  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:22:46:4f  txqueuelen 1000  (Ethernet)
        RX packets 29  bytes 2762 (2.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 28  bytes 4571 (4.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 4  bytes 240 (240.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4  bytes 240 (240.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

Ping: يعتبر هذا الامر من اشهر ادوات التأكد من الاتصالات لدي مهندسين الشبكات بشكل عام حيث يقوم هذا الامر بارسال رساله عن طريقة بروتوكول ICMP بين جهازين أو أكثر لضمان الاتصال بين الأجهزة المختلفة ويمكن أيضًا التأكد من الاتصال على الشبكة ككل.

C:\Users\Afaq_Lite>ping 192.168.1.7

Pinging 192.168.1.7 with 32 bytes of data:
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64
Reply from 192.168.1.7: bytes=32 time<1ms TTL=64

Ping statistics for 192.168.1.7:
    Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

arp: عرض ذاكرة التخزين المؤقت لبروتوكول حل عناوين الآلة المحلية (ARP). يُظهر مخبأ ARP عنوان MAC للواجهة المرتبطة بكل عنوان IP الذي تواصل معه المضيف المحلي مؤخرًا. قد يكون هذا مفيدًا إذا كنت تحقق في هجوم انتحال مشتبه به.

C:\Users\Afaq_Lite>arp -a

Interface: 192.168.56.1 --- 0x8
  Internet Address      Physical Address      Type
  192.168.56.255        ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  224.0.0.252           01-00-5e-00-00-fc     static
  239.255.255.250       01-00-5e-7f-ff-fa     static

Interface: 192.168.1.9 --- 0x11
  Internet Address      Physical Address      Type
  192.168.1.1           74-da-88-7f-c1-84     dynamic
  192.168.1.255         ff-ff-ff-ff-ff-ff     static
  224.0.0.22            01-00-5e-00-00-16     static
  224.0.0.251           01-00-5e-00-00-fb     static
  239.255.255.250       01-00-5e-7f-ff-fa     static
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Route and traceroute

يمكن استخدام الأدوات لمعرفة طرق التوجيه بمعني اخر الأجهزة الوسيطة بين عمليات الاتصال مثال علي ذلك PC1 يريد الاتصال PC2 ما هي الأجهزة التي تمر علية الاتصال حتي تصل الي PC2 يمكن استخدام الأدوات التالية لمعرفة عناوين تلك الأجهزة الوسيطة.

tracert: تُستخدم هذه الأداة لاستخراج الأجهزة الوسيطة في عمليات الاتصال حيث تتتبع أداة بروتوكول ICMP ذهابًا وإيابًا أو ما يُعرف Round Trip Time (RTT)، وتستخرج تلك الأداة عناوين الأجهزة الوسيطة على الشبكات البعيدة أو ما يسمى hops والشبكة البعيدة من المفترض أن تكون شبكات غير موجودة في نفس جهاز router . و (الاداة تعمل علي Windows ).

C:\Users\Afaq_Lite>tracert google.com

Tracing route to google.com [216.58.205.206]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     8 ms     6 ms     6 ms  10.45.10.23
  3     7 ms     7 ms     6 ms  10.29.26.161
  4     7 ms     6 ms     7 ms  10.37.93.42
  5     7 ms     7 ms     7 ms  10.39.13.93
  6    11 ms    10 ms    11 ms  10.39.15.174
  7     9 ms    15 ms    11 ms  60-60-60-41.rev.home.ne.jp [60.60.60.41]
  8    16 ms    19 ms    17 ms  10.39.16.69
  9    43 ms    43 ms    44 ms  74.125.118.226
 10    44 ms    44 ms    44 ms  108.170.227.165
 11    44 ms    44 ms    43 ms  142.250.46.97
 12    51 ms    43 ms    42 ms  mil04s29-in-f206.1e100.net [216.58.205.206]

Trace complete.

traceroute: إنها أداة تعمل على أنظمة Linux لأنها تقوم بنفس أعمال tracert حيث يمكنها أيضًا استخراج عناوين القفز hops باستخدام بروتوكول UDP افتراضيًا بدلاً من ICMP المستخدم مع tracert.

┌──(kali㉿kali)-[~]
└─$ traceroute google.com
traceroute to google.com (172.217.171.238), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  0.693 ms  0.642 ms  4.035 ms
 2  10.45.10.23 (10.45.10.23)  6.815 ms  6.895 ms  8.547 ms
 3  10.29.26.182 (10.29.26.182)  8.245 ms 10.29.26.174 (10.29.26.174)  7.936 ms 10.29.26.161 (10.29.26.161)  8.400 ms
 4  10.37.93.42 (10.37.93.42)  8.118 ms  8.388 ms  8.024 ms
 5  10.29.27.5 (10.29.27.5)  13.440 ms  11.773 ms 10.39.13.93 (10.39.13.93)  7.833 ms
 6  10.39.13.89 (10.39.13.89)  11.976 ms  10.933 ms  11.671 ms
 7  * * *
 8  10.39.16.73 (10.39.16.73)  10.451 ms  11.028 ms  10.852 ms
 9  72.14.209.20 (72.14.209.20)  46.706 ms  49.402 ms  45.582 ms
10  * * *
11  108.170.252.241 (108.170.252.241)  46.738 ms 142.251.78.86 (142.251.78.86)  48.233 ms 108.170.252.241 (108.170.252.241)  49.448 ms
12  108.170.252.242 (108.170.252.242)  450.568 ms  450.659 ms 172.253.67.151 (172.253.67.151)  47.159 ms
13  mrs09s07-in-f14.1e100.net (172.217.171.238)  45.896 ms 74.125.244.209 (74.125.244.209)  46.237 ms mrs09s07-in-f14.1e100.net (172.217.171.238)  45.641 ms

pathping: توفر هذه الأداة الكشف عن الاتصالات بالإضافة إلى استخراج الأجهزة الوسيطة أثناء الاتصال وتعمل تلك الأداة على نظام Windows ، حيث توجد أداة مماثلة على أنظمة Linux وهي mtr.  

C:\Users\Afaq_Lite>pathping google.com

Tracing route to google.com [172.217.171.238]
over a maximum of 30 hops:
  0  DESKTOP-108946N [192.168.1.9]
  1  192.168.1.1
  2  10.45.10.23
  3  10.29.26.166
  4  10.37.93.42
  5  10.29.27.5
  6  10.39.13.89
  7  60-60-60-41.rev.home.ne.jp [60.60.60.41]
  8  10.39.16.73
  9  72.14.209.20
 10  108.170.227.165
 11  172.253.67.153
 12  mrs09s07-in-f14.1e100.net [172.217.171.238]
Computing statistics for 300 seconds...

Ahmedkaissar

من مصر من محافظة الجيزة مبرمج ويب و خبير أمن معلومات محب للتقنية و الأمن المعلوماتي مدرب للغات "Python,html, css, php, js, laravel"
زر الذهاب إلى الأعلى