Преминете към съдържанието

МЕУ организира кампания за пентестове в държавната администрация

Целта на кампанията е да подобри киберсигурността в държавната администрация, като участието в нея е доброволно и не се обвързва с възнаграждение.
Прочети повече за програмата

Добре дошли в Хакинг.БГ! 

Всеки един от нас стои на раменете на гигантите, споделили знанията и опита си с нас.

Този форум е нашият начин да върнем жеста за бъдещите и текущите кадри в киберсигурността.

Стремим се да предоставим платформа, където членовете могат да развиват своите умения, като се дава приоритет на етиката, сигурността и поверителността!

Препоръчан пост


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

BS Ping е локално приложение с доста интересна история.

Официално се предлага само за Windows, но има версии за Linux, iOS и Android. между тези верси обаче има доста съществени различия.

Нека се спрем на това, което може официално да се достъпи в MS Store.

Като начало е нужно да споменем, че ping тук е доста различен като функция от този, които познаваме в Linix и Windows. 

На изображението може да видите допълнителната информация, която се извежда при команда ping в стандартен режим.

 

BSP_FE_006.thumb.png.841aed817f007e99c5221df551e54b72.png

 

Друга специгфика на ping модула (модулите в приложението са повече от един, че може да получите непосредствен резултат за геолокацията на internet адресите.

 

BSP_FE_009.thumb.png.6cb771b5ea5451c211cb3d378d0a5601.png

 

Ако ползвате TCP/PID сканиране, информацията се извежда напълно автоматично, за всеки един PID. В ниските версии на приложението (тези, които са публично достъпни) информацията е сходна с тази, кочто се получава от конзолните команди. При високите версии обаче има доста данни, които няма да може да получите от конзолните приложения.

При трасирането също има специфика. Освен стандартното трасиране има и ETR (Extended Trace Roote). Също така може да формирате извеждането на резултати според своите нужди.

BSP_FE_016.thumb.png.6293d491874373e8b496b857c4a99c51.png

 

Както и при ping така и тук имаме геолокация, но в този случай се визуализира маршрута.

Моят съвет е да тествате ETR за различни преовайдери, като посочвате едни и същи адреси. Ще останете доста сериозно изненадани от резултатите.

Получените резултати могат да бъдат записани в защитени таблици, както и като като XML,  JSON или бинарни файлове.

 

BSP_FE_019.thumb.png.9379b8743ba5a33973b5081b950ed8c0.png

 

Тази версия ползва BingMap, но има версии и с Google Мап, Free Map, както и с други API, предлагащи подобен вид услуги.

Естествено е редно да поговорим и за системните отчети. 

Получените резултати много лесно могат да бъдат експортирани в XML, JSON, HTML, RTF, CSV, TXT и PDF.

BSP_FE_017.thumb.png.03c60dfe79df8920474f690258745e49.png

 

За тези, които обичат да ползват конзола има CMD Manager, който позволява бързо създаване на BAT файлове и тяхното тестване.

 

BSP_FE_014.thumb.png.815a4161b3f522a79cd4a698d0f586c5.png

 

Сканирането на портове и мрежовото сканиране са нещо, което се подразбира. Аз лично бих пртепоръчал да погледнете модулите за ревизия на мрежовите интерфейси.

 

BSP_FE_004.thumb.png.3e570dcf5ff823a5ad7eea3164db1093.png

 

Всеки който желае може да прегледа учебната версия на продукта. Достъпна е на адрес: BS Ping II fe

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде


  • Група:  [Администратор]
  • Последователи:  15
  • Брой мнения:  135
  • Репутация:   87
  • Спечелени дни:  37
  • Регистриран на:  11.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Интересно е от гледна точка на функционалнотите, които поддържа, но ми изглежда като твърде много труд с фокус върху няколко системни команди. С няколко команди в терминала и един сърч повечето информация може да бъде изкарана. 

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Абсолютно съм съгласен, но ако позволите няколко малки разяснения.

Да започнем с най-елементарното - конзолните команди.

Проблемът при стандартните конзолни команди са вградените в тях ограничения, които повярвайте никак не са случайни.

И за да не бъдем голословни нека разгледаме един класически пример, свързан с анализа на т.н. "мрежова осциалция", която е критично важен компонент не само в големите мрежи, при стриминга на аудио и видео и в редица други случаи.

Всеки който познава в детайли Windows и Linux (при BS Ping операционните системи Linux, iOS, Android, Solaris и др. се разглеждат като UNIX системи), няма как да не си е задавал въпроса:

А защо има разлика между това което получавам като ping в Windows и това, което получавам в Linux? 

И тук става определено забавно, защото говорим за разлики от порядъка на 5 ms и по големи, което определено е критично.

Да започнем с Linux (UNIX) и какво реално получаваме като информация.

В стандарния случай на използване на конзиола виждаме следния резултат:

 

PING example.com (93.184.215.14) 32 bytes of data.

32 bytes from example.com (93.184.215.14): icmp_seq=1 ttl=54 time = 140,2602 ms
32 bytes from example.com (93.184.215.14): icmp_seq=2 ttl=54 time = 139,1832 ms
32 bytes from example.com (93.184.215.14): icmp_seq=3 ttl=54 time = 139,0530 ms

--- example.com ping statistic ---

3 packets transmitted, 3  received, 0%  packet loss, time 418,4964 ms
rtt min/avg/max/mdev = 139,0530/139,4988/140,2602/0,5410 [ 0,5410 ] 

 

Example_003.thumb.png.23b0f95f37c20c84018a33549b57dfa7.png

Резултати от Linux (UNIX) стандартен пинг 

 

Tъй като това е пример, който е получен в конзолата на BS Ping трябва да отбележим някои "малки" различия.

Като начало как в BS Ping се отазяват микросекундите. 

Linux - time = 140,2 ms

BS Ping - time = 140,2602 ms

В зависимост от използвания дистрибутив при Linux имаме една или друга форма на закръгление. При повече отчети това води до натрупване на грешка от порядъка ня милисекунди.

Нека да видим обаче още един параметър, който е стандартен, а именно mdev (средно квадратично отклонение)

rtt min/avg/max/mdev = 139,0530/139,4988/140,2602/0,5410 [ 0,5410

 

Интересното в случая е това, което е в оранжев цвят. В случая имаме пълно съвпадение, което е повече от добре, но на практика двата резултата за mdev се изчисляват по две различни статистически методики. Резултатът в оранжево е с пъти по-прецизен.

 

Example_002.thumb.png.c16e81d1078825815b4b7062305ecef5.png

Ако обаче отново пингваме example.com, в режим Linux (UNIX) няма как да не забележим нещо интересно.

В стандартния режим на BS Ping имаме още една величина освен Standard Deviation и Hight Standard Deviation, a именно Mean Squared (средно квадратично). Това определено го няма в нито едно конзолно приложение, а то е от огромно значение.

Защо е така?

Никога не забравяйте, че ping води своето начало от сонарите за подводници, а това е и ще си остане военна технология с всички произтичащи от това последствия.

Военната статистика е сериозна наука и там няма нишо случайно или излищшно. Да, но във всички версии на ping приложенията (конзолни или не) липсват много от функциите, които може да бъдат използвани в процеса на анализ и диагностика.

Но това е само "повърхността на айсберга".

 

Example_001.thumb.png.3284265a5aaad76fc54fbd05f398c3f0.png

Стандартен ping с редуцуран набор от резултати

 

Нека сега да видим как изглежда стандартният единичен ping в BS.

Определено има сериозни различия от конзолните резултати.

Това, което не се вижда (но го има) e IPv6, тип на адреса, маски, CIDR и пр. и пр..

Но не това е важно. По важно е това, което е в полето Replay data. Ако сте работили с iOS или Solaris няма как да не ме разберете.

Тук информацията се извежда в шестнадесетичен код, но няма проблем и да е в двоичен вид, а там се виждат много неща.

Лично аз не знам конзолна команда, която да позволи да разгледам този параметър в двоичен вид.

 

Както казах това е мног, много малка част от това, което не се вижда на пръв поглед.

 

Както казвате може да се използват конзолни команди. Прекрасно и за ртова има CMD Manager, който позволява не само да напишете скрипт, но и да го тествате, да го запишете и пр. и пр. и пр.

Но по-важни са таблиците.

Когато получавате резултати в конзола едва ли ще можете да изготвите сложна SQL заявка и да я изпълните спрямо резултатите.

Тук може да го направите. Да не споменавам, че всички резултати може да експортирате в XML, JSON, CSV, RTF, DOC, ODF, Excel и пр..

Но и това не е кой знае какво. Какво е някаква проверка на 100 000 или 1 000 000 адреса. Нищо.

Но ревизията на 1 000 000 мрежови устройства вече е нешо сериозно. И ако са отдалечени е оше по-сериозно.

Но нека видим какво дава BS Ping за най-елементарна мрежова карта.

 

МНОГО МАЛЪК РЕВИЗИОНЕН ОТЧЕТ:

 

Adapter Type ID ................. 0
Adapter Type ID ................. 0
Auto Sense ...................... Empty
Availability .................... Running or Full Power
Caption ......................... [00000010] Intel(R) 82579LM Gigabit Network Connection
Config Manager Error Code ....... Device is working properly
Config Manager User Config ...... FALSE
Creation Class Name ............. Win32_NetworkAdapter
Description ..................... Intel(R) 82579LM Gigabit Network Connection
Device ID ....................... 10
Error Cleared ................... Empty
Error Description ............... Empty
GUID ............................ {3335479C-1F07-410C-905E-4662303AFF5E}
Index ........................... 10
Install Date .................... Empty
Installed ....................... TRUE
Interface Index ................. 4
Last Error Code ................. Empty
MAC Address ..................... 74:46:A0:B2:A7:2A
Manufacturer .................... Intel Corporation
Max Number Controlled ........... 0
Max Speed ....................... Empty
Name ............................ Intel(R) 82579LM Gigabit Network Connection #2
Net Connection ID ............... Ethernet 2
Net Connection Status ........... Connected
Net Enabled ..................... TRUE
Network Addresses ............... Empty
Permanent Address ............... Empty
Physical Adapter ................ TRUE
PNP Device ID ................... PCI\VEN_8086&DEV_1502&SUBSYS_3397103C&REV_04\3&11583659&0&C8
Power Management Capabilities ... Empty
Power Management Supported ...... FALSE
Product Name .................... Intel(R) 82579LM Gigabit Network Connection
Service Name .................... e1i65x64
Speed ........................... 100 MBit/s
Status .......................... Empty
Status Info ..................... Empty
System Creation Class Name ...... Win32_ComputerSystem
System Name ..................... DESKTOP-PIB3BPA
Time Of Last Reset .............. 2024-05-15 | 08:05:03
Date ............................ 2024-05-15
Time ............................ 23:23:31:750 ms
Note ............................ N/A

 

Caption ........................... [00000010] Intel(R) 82579LM Gigabit Network Connection
Description ....................... Intel(R) 82579LM Gigabit Network Connection #2
Setting ID ........................ {3335479C-1F07-410C-905E-4662303AFF5E}
Arp AlwaysSource Route ............ Empty
Arp UseEther SNAP ................. Empty
Database Path ..................... %SystemRoot%\System32\drivers\etc
Dead GW Detect Enabled ............ Empty
Default IP Gateway ................ 192.168.1.1
Default TOS ....................... Empty
Default TTL ....................... Empty
DHCP Enabled ...................... TRUE
DHCP Lease Expires ................ 2024-05-16 | 20:05:54
DHCP Lease Obtained ............... 2024-05-15 | 20:05:54
DHCP Server ....................... 192.168.1.1
DNS Domain ........................ vivacom-vdsl
DNS Domain Suffix Search Order .... vivacom-vdsl
DNS Enabled For WINS Resolution ... FALSE
DNS Host Name ..................... DESKTOP-PIB3BPA
DNS Server Search Order ........... 212.39.90.42 | 212.39.90.43
Domain DNS Registration Enabled ... FALSE
ForwardBufferMemory ............... Empty
Full DNS Registration Enabled ..... TRUE
Gateway Cost Metric ............... 0
IGMP Level ........................ Empty
Index ............................. 10
Interface Index ................... 4
IPv4 Address ...................... 192.168.1.2
IPv4 Address ...................... 0:0:0:0:0:ffff:c0a8:0102
IP Connection Metric .............. 35
IP Enabled ........................ TRUE
IP Filter Security Enabled ........ FALSE
IP Port Security Enabled .......... Empty
IP Sec Permit IP Protocols ........ N/A
IP Sec Permit TCP Ports ........... N/A
IP Sec Permit UDP Ports ........... N/A
IPSubnet .......................... 255.255.255.0 | 64 | 128 | 64
IP Use Zero Broadcast ............. Empty
IPX Address ....................... Empty
IPX Enabled ....................... Empty
IPX Frame Type .................... Empty
IPX Media Type .................... Empty
IPX Network Number ................ Empty
IPX Virtual Net Number ............ Empty
Keep Alive Interval ............... Empty
Keep Alive Time ................... Empty
MAC Address ....................... 74:46:A0:B2:A7:2A
MTU ............................... Empty
Num Forward Packets ............... Empty
PMTUBH Detect Enabled ............. Empty
PMTU Discovery Enabled ............ Empty
Service Name ...................... e1i65x64
TcpIP Netbios Options ............. 0
TCP Max Connect Retransmissions ... Empty
TCP Max Data Retransmissions ...... Empty
TCP Num Connections ............... Empty
TCP Use RFC1122 Urgent Pointer .... Empty
TCP Window Size ................... Empty
WINS Enable LM Hosts Lookup ....... TRUE
WINS Host Lookup File ............. Empty
WINS Primary Server ............... Empty
WINS Scope ID ..................... N/A
WINS Secondary Server ............. Empty
Date .............................. 2024-05-15
Time .............................. 23:23:31:898 ms
Note .............................. N/A

 

Може и да е възможно да получим тези резултати с конзолно приложение, но ако става дума за голяма мрежа, в която имаме ежедневни промени в хардуера (визирам такива над 50 милиона крайни потребители) не мисля, че нещата биха били толкова лесни.  И да не забравяме, че при Linux имаме опртеделени проблеми с мрежовите контролери. Това е проблем, който не еот вчера и до сега никой не е предложил работещо решение. В BS Ping се предлага просто някава алтернатива.

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде


  • Група:  [Член]
  • Последователи:  5
  • Брой мнения:  45
  • Репутация:   40
  • Спечелени дни:  13
  • Регистриран на:  16.04.2023
  • Статус:  Оффлайн
  • Система/OS::  Windows

Моля за извинение, но съм допуснал малка грешка. Причината е, че в момента ползвам тестова версия на продукта, при която има малки разминавания от това, което реално ползват потребителите.

Това е типичен резултат при Ping, за който са валидни ограниченията на Windows.

 

PING ADDRESS: facebook.com
-------------------------------------------------------------

Date: 2024-05-17
Time: 14:42:58.954 ms

Address Information:

Address Type ......... Internet Host
Address IPv4 ......... 157.240.***.***
Address IPv6 ......... 0:0:0:0:0:ffff:****:****

Address Byte 1 ....... Hex: 9D [ Binary: 1001 1101  ]
Address Byte 2 ....... Hex: F0 [ Binary: 1111 0000  ]
Address Byte 3 ....... Hex: 09 [ Binary: 0000 1001  ]
Address Byte 4 ....... Hex: 23 [ Binary: 0010 0011  ]
Address Byte 4 ....... Hex: 23 [ Binary: 0010 0011  ]

Network Information:

Size Of Rest ......... 16
Size Of Network ...... 16
Start Address ........ 128.0.0.0
End Address .......... 191.255.255.255
Subnet Mask .......... 255.255.0.0
CIDR Notation ........ /16


Ping properties:

Packet Size .......... 32 Bytes 
Timeout .............. 3000 ms
Time To Live (TTL) ... 128

-------------------------------------------------------------

Reply from 157.240.***.*** Bytes = 32 Time = 19 ms TTL = 128
Reply from 157.240.***.*** Bytes = 32 Time = 21 ms TTL = 128
Reply from 157.240.***.*** Bytes = 32 Time = 19 ms TTL = 128
Reply from 157.240.***.*** Bytes = 32 Time = 19 ms TTL = 128

-------------------------------------------------------------

Ping statistics for 157.240.9.35:

 Sent packets .............. 4
 Received packets .......... 4
 Lost packets .............. 0%

Approximate round trip times in milli-seconds:

 Minimum RTT ............... 19 ms
 Maximum RTT ............... 21 ms
 Average RTT ............... 20 ms

Analitica:

 Root Mean Square, RMS ..... 19,5192 ms
 Mean Squared Error, MSE ...  1,0000 ms
 Bessel's correction, BS ...  1,1547 ms
 

В случая се използват само три от всички възможни статистически отчети. В Linux се използва само една стойност и то в непълен вид, а в Windows не се използва нито една (а и самите резултати се закръгляват предварително).

От резултата ясно се вижда, че колебанията (осциалцията) са от порядъка на 1 ms.

При прецизиране на резултатите обаче грешката, която не се вижда е 1,1547 ms.

На пръв поглед това е незначително отклонение, но в случая имаме само четири замервания, което на практика е нищожно малко.

Ако сте се занимавали с HFT (high-frequency trading, HFT) , няма как да не знаете, че там всяка милисекунда е от критично значение. Една милисекунда колебания (или отклонение от допустимата средна стойност) може да доведе до огромни финансови загуби, изчисляващи се в милиони (за справка 2018 година и случилото се в Далечния Изток).

BC (Bessel's correction анализът на полчените резултати) обаче често се използва (най-вече от критиците на Linux) като доказателство за нарастването на загубата на пакети в резултат на специфични обстоятелства. Темата е доста сериозна и ако трябва да бъда искрен в по-голяматс си част има отношение към рутерите. Повечето китайски рутери използват силно "орязан" версии на Linux, а и в редица случаи елементна база, за която има какво да се желае. Анализа на BC, в комбинация с RMS и МСЕ спестява доста главоболия, а и каквото и да си говорим се използва като доказателство в съда (визирам експертна оценка).

При т.н. "разширени отчети" се получава информация за всеки един байт (тетрада и бит) от пакета. Тази информация е много полезна най-вече при iOS, Cisco и  не само. Но и това е обект за отделна дискусия.

Това, което обаче е добре да се знае, че BS е хибридно решение и на практика може да ползва стандатните  Internet Control Message Protocol (ICMP) пакети, но може и да използва съвсем друг подход. Това позволява да се прави ping на зададен порт или да се тества инатервал от портове, за конкретен URL или IP адрес, но без реално да се ползва ICMP. Протокола наподобява echo, но има свои специфики. Това е полезно при т.н. "специализирани протоколи", като DoD Standard Internet Protocol (RFC 760) и други, които се ползват и днес.

Много по-интересни са тестовете, при които се манипулират стойностите на  TTL (не визирам trace root, а друг вид тестове), най-вече когато се тестват мобилни комуникации.

Още веднъж се извинявам за допуснатата грешка. Благодаря за проявеното разбиране.

 

Забележка: Звездичките в IP адресите са за да спазим GDPR.

 

 

Редактирано от Avatara

Може да съм грозен, но имам свое мнение по въпроса.

Link to comment
Сподели другаде

Join the conversation

Можете да публикувате сега и да се регистрирате по-късно. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Поставено като форматиран текст.   Вместо това поставете като обикновен текст

  Разрешени са само 75 емотикони.

×   Вашата връзка е вградена автоматично.   Вместо това се показва като връзка

×   Вашето предишно съдържание е възстановено.   Изчистване на редактора

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

  • Регистрирайте се

    Регистрирайте се за да използвате пълната функционалност на форума 🙂

HACKING.BG Партньори

transparent1.png.c15979e1dc997cdd3a9941e342368a9b.png2.png.3e2592eadc660ecc831f1fdd569e8eb4.pngLogonobackground.thumb.png.546f31037e975b6fd85c69e35f300db6.png600_489534840.png.72981fb02b90f1986dd7ade4d561e6d0.pngcyberclub-logo-text.png.6e9d11752e2eade43d40337d83365e48.png

×
×
  • Създай ново...

Важна информация!

Политика за сигурност и условия на ползване Privacy Policy