00 05 73 a0 00 00 e0 69 95 d8 5a 13 86 dd 60 00 00 00 00 9b 06 40 26 07 53 00 00 60 2a bc 00 00 00 00 ba de c0 de 20 01 41 d0 00 02 42 33 00 00 00 00 00 00 00 04 96 74 00 50 bc ea 7d b8 00 c1 d7 03 80 18 00 e1 cf a0 00 00 01 01 08 0a 09 3e 69 b9 17 a1 7e d3 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 0d 0a 41 75 74 68 6f 72 69 7a 61 74 69 6f 6e 3a 20 42 61 73 69 63 20 59 32 39 75 5a 6d 6b 36 5a 47 56 75 64 47 6c 68 62 41 3d 3d 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 49 6e 73 61 6e 65 42 72 6f 77 73 65 72 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 6d 79 69 70 76 36 2e 6f 72 67 0d 0a 41 63 63 65 70 74 3a 20 2a 2f 2a 0d 0a 0d 0a 

В коммментариях уже был подробный разбор фрейма из вчерашней задачи. Но я постараюсь сделать это более наглядно. Итак, что же мы можем узнать из этого набора симовлов?


<-- Мы знаем, что это ETHERNET фрейм. Вспомним формат фрейма. Следующий пост -->

- Первые 6 байт - source address: 00-05-73-a0-00-00
- Следующие 6 байт - destination address: e0-69-95-d8-5a-13
По OUI (первые три байта MAC адреса) можем узнать производителей общающихся устройств. Это Cisco и Pegatron

Следующие два байта ethertype: 86dd. Смотрим в таблице ethertype - это IPv6


<-- Разберем заголовки IPv6. Картинка ниже -->
- Первые 4 бита - 6 - версия: 6
- Следующие 8 бит - 00 - Traffic Class: 0. Трафик не приоритезирован
- Следующие 20 бит - 0 00 00 - Flow Label
- Два байта - 00 9b - Объём полезной нагрузки. Переводим 9b в десятичное и получаем 155 байт. Тут небольшая путаница в формулировке Payload Length. Это означает всю полезную нагрузку + следующие заголовки самого IPv6. То есть получаем 155 - следующие 32 байта = 123 байта вложений
- Следующий байт - 06 - Next Header. Тут закодирована информация о протоколе, инкапсулированном внутрь IPv6. В данном случае это TCP (6 - TCP, 18 - UDP, 47 - GRE. Вы видели эти числа в фаерволе RouterOS при выборе протокола)
- Два байта - 40 - Hop Limit. То же, что TTL в IPv4. 0x40 = 64 в десятичной. Зная кол-во роутеров до нашей цели можно вычислить операционную систему источника. По дефолту Hop Limit в Windows 128, Linux 255, Cisco 64. У нас Cisco (но мы и так об этом знали по MAC адресу)
- Следующие 128 бит - 20 01 41 D0 00 02 42 33 00 00 00 00 00 00 00 04 - адрес источника. Переведем его в привычный вид: 2607:5300:60:2abc::bade:c0de
- И 128 бит адрес назначения 2001:41d0:2:4233::4


<-- Следующие 20 байт - заголовки TCP (о том, что это TCP мы узнали из поля Next Header IPv6) -->

- 2 байта - 96 74 - source port: 0x9674 = 38516 в десятичной
- 2 байта - 00 50 - destination port: 0x0050 = 80 в десятичной
Там мы узнали какие протоколы могут быть уровнем выше (TCP 80 = HTTP) и кто является сервером. Конечно, порты можно переназначить, но мы то знаем, что мало кто этим занимается
- 4 байта - BC EA 7D B8 - sequence number
- 4 байта - 00 C1 D7 03 - acknowledgement number
- следующие 2 байта - 80 18 - Data Offset, Reserved bits и флаги. Флаги нам интересны больше всего. 0x18 = 0b11000. Первый бит (единичка) тут указывает на флаг ACK, второй - PUSH
- 2 байта - 00 E1 - Window size: 225
- 2 байта - CF A0 - контрольная сумма
- 2 байта - 00 00 - Urgent Pointer. Не установлено
- 12 байт опций, которые как и предыдущие данные не дадут нам полезной информации


<-- Следом идет L7 вложение. Как мы уже догадались, это HTTP -->

Передается он открытым текстом. Если взять все данные, начиная с 47 45 54 и раскодировать их любым инструментом (например xxd из ответа), то получим следующий текст:
GET / HTTP/1.1
Authorization: Basic Y29uZmk6ZGVudGlhbA==
User-Agent: InsaneBrowser
Host: www.myipv6.org
Accept: */*

Из которого мы узнаем UserAgent браузера, сайт, тип запроса GET и данные аавторизации.

Можете сами залить пакет из задачи сюда и наглядно все увидеть. Или использовать WireShark. А сейчас просто знайте сколько информации несет обычный Ethernet фрейм и сколько полезного можно узнать о сети из него. И это очень полезно при дебаге различных проблем.

Ehternet headers

IPv6 Headers

TCP Headers

До этого профессия человека, который обеспечивал систематическую доставку программного обеспечения, вообще говоря, не была айтишной. В 70-80-е это были люди, которые засовывали перфокарты в компьютеры, в 80-90-е —люди, которые грамотно вели переговоры с фабриками и заводами по производству дисков и занимались логистикой.

https://m.habr.com/ru/company/itsumma/blog/525070/

Что нужно знать, при пентесте 1С

* Иногда там выдаются имена пользователей (если включено) в автодополнении, либо можно попробовать обратиться на /ru_RU/e1cib/users.
* Пароли из коробки не чувствительны к регистру. "Пароль" и "пАрОль" - одно и тоже, что уменьшает количество для брута (особенно классно вместе с предыдущим пунктом).
* Внутри часто есть выполнение произвольного кода.

Провайдеры, которые предоставляют BGP
https://bgp.services

#bgp

How do debuggers (really) work

Низкоуровнево о работе дебаггеров в Linux
Видео: https://www.youtube.com/watch?v=WRDj3JYPjT4

Слайды: https://it-events.com/system/attachments/files/000/001/198/original/Pawel_Moll.pdf

#Linux #debugger #gdb

Для страдающих в чатах

Как правильно задавать вопросы в технических форумах

https://www.opennet.ru/docs/RUS/smart_question/

#правила #вопросы #форумы

Сегодня, в пятницу, в 14-00 по Мск состоится вебинар на тему: Стекирование коммутаторов Mikrotik с помощью 802.1br

Стандарт 802.1BR (Bridge Port Extension) предназначен для стекирования свичей и получил свою первую реализацию в Mikrotik.
В RouterOS 6.48 этот функционал уже появился и мы на вебинаре рассмотрим, что он нам дает. Плюсы и минусы текущей реализации. Можно ли ставить в Продакшн или пока стоит потерпеть.

Регистрация (участие бесплатно): https://mikrotik-training.ru/webinar/

Ссылка на трансляцию: https://youtu.be/X_eOkDYgIQg

Я как-то писал про необходимость фундаментальных знаний по Computer Science с набором бесплатных курсов. На английском.

Недавно наткнулся на замечательные лекции по операционным системам от Computer Science Center. Лектор классный - рассказывает доходчиво, сам курс на пятерку! В универе у меня не было курса по операционным системам и наконец-то я стал чуть глубже понимать их работу. Есть чуть более расширенная версия этого курса на YouTube. Правда без практики.

Давно знал про проект Лекториум, но обходил его стороной. А там кладезь информации по Computer Science, математике, биологии, истории и другим направлениям. Именно академической информации, а не поверхностно по конкретным технологиям.

Если вы хотите вспомнить университетские знания или, как я, просто не проходили это в универе и сегодня отсутствие фундамента мешает вам работать - не проходите мимо Stepik и Лекториум. Это очень классные ресурсы.

Ещё есть классные Курсы по Информационным Технологиям от Яндекс (Яндекс КИТ). Аж 4 потока! Я засматривался ими в начале прошлого десятилетия.

И что-то подобное от Mail.ru. Посмотрите на досуге вместо сериальчика. Полезней будет

UPD: добавлены ссылки

Вот ещё про курсы и лекции

Пупырка - система бэкапа RouterOS

Автору очень нужна ваша помощь и отзывы. Пробуйте, проверяйте, оставляйте отзывы!

Как настроить QinQ в RouterOS
https://mikrotik.me/blog-MikroTik-simple-qinq.html

🐵 Infection Monkey - интересная утилита для проверки сети на ряд уязвимостей, эксплуатация которых может принести много проблем. Ставим сервер, запускаем агентов и получаем отчёт об уязвимых местах нашей сети.

#security #будничное

​Микросервисная архитектура уже давно и основательно пришла в нашу жизнь, но как оказалось далеко не везде, где используется контейнерная оркестрация есть модель угроз или хотя бы подходящий список векторов атак для этой платформы. В сегодняшнем материале речь пойдет про моделирование угроз под Kubernetes и к сожалению на эту тему не так много материалов, как хотелось бы.

На сегодняшний день есть всего 3 общественные инициативы:

1. Cloud Native Computing Foundation (CNCF)
https://github.com/cncf/financial-user-group/tree/master/projects/k8s-threat-model
2. NCC Group
https://www.nccgroup.com/uk/about-us/newsroom-and-events/blogs/2017/november/kubernetes-security-consider-your-threat-model/
3. Результаты работы группы экспертов Security Audit Working Group, которые недавно уже убрали в с публичного репозиторий k8s, но интернет все помнит.

Также можно глянуть матрицу угроз от Microsoft (ATT&CK-like)
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/

Все эти материалы будут отличной отправной точкой при подготовки собственной модели угроз или аудите k8s, но несмотря на то, что это самые актуальные на сегодняшний день материалы, главное всегда держать в голове тот факт, что даже год — это уже слишком много в контексте контейнерной оркестрации, и многие вещи могут сильно измениться от версии к версии.

#k8s #security

Nuclei is a fast tool for configurable targeted scanning based on templates offering massive extensibility and ease of use

#security #scanner

#linux #kernel #ядро

Серия статей о ядре Linux и его внутреннем устройстве.
https://github.com/proninyaroslav/linux-insides-ru