Henry Isakoff 🥕 Verkkoon tunkeutuminen

| Verkkoon tunkeutuminen | 4 min

Sniff ja tshark.

Aloitetaan asentamalla Kali uudelle virtuaalikoneelle ja tutustumalla uusiin työkaluihin.

Lyhyesti Kali on Linuxpohjainen käyttöjärjestelmä jossa monet verkkotyökalut löytyvät itsestään jo pohjalta. Tunkeutumiskurssille pidetään tämä siis hyvänä lähtökohtana.

Käytän Unraidin virtualisointijärjestelmää ajaakseni kalia omassa verkkoympäristössäni. Unraidin kautta luon oman virtuaalikortin järjestelmälle käyttäen virtio-net järjestelmää. Asennan vain yhden virtuaalisen verkkokortin, joten helppo olettaa tämän olevan asennuksen jälkeen eth0 järjestelmän sisällä.

Unraid verkkokortti

Asennus itsessään on nopea, mutta

`sudo apt update`
`sudo apt upgrade`

Päivittää koko järjestelmän ja tässä menee n 30 min. Tämä aika hyvä tutkia wireshark järjestelmän dokumentaatiota.

Tarkastetaan verkon järjestelmät Kalista.

ip addr show

ipaddr.

Verkkokortti voidaan ajaa alas/ylös komenolla

sudo ifconfig eth0 down/up

Ja netin tila voidaan tarkastaa pingaamalla vaikka google.com

ping -c 3 google.com

Tshark

Ensimmäisenä haluan tarkastaa cli- version WireSharkista verkkorajapinnat.

tshark -D

tshark

Tässä hetkessä keskitytään eth0 rajapintaan joka toimii verkkokorttina raudan ja verkon välillä. Ajetaan kaappaus verkosta 10-sekunnin näytteellä tiedostoon oma_liikenne.pcap

tshark -i eth0 -a duration:10 -w oma_liikenne.pcap

Näytteen jälkeen voidaan lukea tiedosto

tshark -r oma_liikenne.pcap

tshark

Jo rivillä 3 näemme nykyisen tietokoneeni SSH yhteyden paketteja toimimassa kalin virtuaalikoneelle. Teen tehtävää SSH serverin ylitse läppärini Mac os ympäristöstä.

Otetaan siis koppi kyseisestä ja tarkastetaan lähemmin

tshark -r oma_liikenne.pcap -V -Y "frame.number==3"

tshark

Tämä antaa todella pitkän litanian kokonaisuudesta, mutta meidän tavoite on tästä etsiä TCP-IP mallin kerrokset. Tähän lisätään grep ja putket. Näillä tarkastetaan tarkemmin vain kerroksia.

tshark -r oma_liikenne.pcap -V -Y "frame.number==3" | grep -E "Ethernet|Internet Protocol|Transmission Control Protocol|Secure Shell"

tshark

Ensimmäinen kerros on rauta - Encapsulation type: Ethernet (1)

Tämä viittaa suoraan, että paketit kulkevat ethernet portin lävitse.

Toinen kerros toimii linkkikerroksena kahden MAC osoitteen välissä.

Kolmas kerros on ipv4 kerros jossa identifoituu lähettäjä 42.0.0.3 ja vastaanottaja 42.0.0.25.

Ja neljäs kerros on TCP (transmission control protocol) kuljetuskerros. Valistuneena arvauksena arvaisin, että lähettäjältä toiminta kuljetettiin portin 56222 kautta kohteen porttiin 22 vastaavalle prosessille. Sekvenssinumerolla 37. Koska Len: 0 niin kyseessä ei kulkenut paketteja vaan kyseessä oli vain kuittauspaketti koneiden välille.

Yleinen analyysi kokonaisuudesta.

Suurin osa näytteen sisällöstä on itseasiassa kahden koneen välistä SSH liikennettä, mutta mukana on myös kotiverkkoni laitteita. Otetaan pari tutkintaan tarkemmin.

250 9.549305752    42.0.0.41 → 224.0.0.251  MDNS 99 Standard query response 0x0000 A, cache flush 42.0.0.41 NSEC, cache flush mt7687.local

Tutkittuani omaa verkkoani tarkemmin huomaan, että x.x.41 on meross pistoke joka osana kotini älyjärjestelmää.

tshark

Silmäilessäni

tshark -r oma_liikenne.pcap -V -Y "ip.dst == 224.0.0.251 || ip.src == 224.0.0.251"

Huomaan monta vastaanottopakettia kyseiseen osoitteeseen. Tämä vaikuttaa olevan kotijärjestelmäni sisäinen DNS osoite jossa thread järjestelmä toimii.

235 8.704518888   42.0.0.117 → 239.255.255.250 SSDP 213 M-SEARCH * HTTP/1.1

Toinen näyte. Tietokoneeni on kiinni verkossa kahdella yhteydellä. Osoitteella .3 ja wifillä osoitteella .117.

Näytteestä löydetty kokonaisuus voisi viitata osoitteeseen joka toimii palvelunpyyntöön verkon sisällä. M-Search viittaisi nopealla googlen etsinnällä ”Multicast Search” toimintoon. Jossa Mac koneeni etsii yleisiä palveluja kyseiseltä sisäverkon osoitteelta. Voi viitata applen homekit järjestelmään tai esim. kotiverkossa olevaan printteriini. Kotonani on myös kaiutinjärjestelmä tukemassa useaa vastaanottoprotokollaa, joten tämä voi myös olla esimerkiksi Airplay-tarkastus yleisesti kokonaisuudelle.

Kommentit

Verkkoni tuntuu toimivan 10-sekunnin näytteellä juuri kuten se on rakennettu. Toki wireshark on erittäin monipuolinen työkalu näytteiden tarkastukseen ja jo pienellä skannauksella saa erittäin laajan käsityksen verkon toiminnasta ja laajuudesta.

Lähteet

https://terokarvinen.com/verkkoon-tunkeutuminen-ja-tiedustelu/ https://terokarvinen.com/wireshark-getting-started/ https://terokarvinen.com/network-interface-linux/

Tshark https://www.wireshark.org/docs/man-pages/tshark.html

Unraid http://unraid.net/

Oma_liikenne.pcap tiedoston analysoinnissa käytetty apuna Gemma3:27b ja mistal-small:22b lokaaleja tekoäly-malleja. Gemma pääosin toiminut kielellisenä kääntäjänä Suomen kielelle. Ollama toiminut suorana tulkkina ja välissä käytetty WilmerAI tulkitsemaan/lähettämään data kahden mallin välillä.

http://ollama.com/ https://ollama.com/library/mistral-small:22b https://ollama.com/library/gemma3:27b https://github.com/SomeOddCodeGuy/WilmerAI

Marked toimii md muuntimena sivulla. https://github.com/markedjs/marked

Kuvat optimoitu https://optimage.app

Käytetty aika tulkintaan tai itse toimintaan. 1h 30min

Käytetty aika työkalujen opiskeluun ja asennukseen. 2h 30min

Yhteensä 4h.

tietoturvaverkottiedusteluwiresharktsharkpakettianalyysi