‫שיעור ‪ – 9‬שכבת הרשת ו‪IP-‬‬

‫תרגיל‪ :‬הפעילות החשודה של ‪0rphan‬‬

‫קהילת הסייבר הבינלאומית כולה במרדף אחר פושע הסייבר‬
‫הבינלאומי ‪ ,0rphan‬שעל פי החשד גנב מאות אלפי דולרים‬
‫מאנשים ברחבי העולם בעזרת מתקפות מסוג כופר (‬
‫‪ .)Ransomware‬ידוע ל‪ FBI-‬כי ‪ 0rphan‬בעל ידע נרחב במחשבים‬
‫וכנראה עובד בחברת מחשבים‪ ,‬עם זאת הם לא יודעים מהי זהותו‬
‫האמיתית והיכן הוא עובד‪ .‬לאחרונה התרחשה פריצת דרך‬
‫בחקירה ‪ -‬החוקרים הצליחו להשיג גישה למחשבו האישי של‬
‫‪ 0rphan‬ולהסניף בו תעבורה העוברת דרכו‪ ,‬אך למרבה הצער‬
‫ההסנפות מעט משובשות‪ .‬נסו לעזור לחוקרים לגלות מידע‬
‫מההסנפות ולהבין איפה עובד ‪.0rphan‬‬

‫חלק א' – ההסנפות החשודות‬

‫המשטרה הצליחה להשיג גישה למחשבו האישי של ‪ 0rphan‬ולהסניף את התעבורה העוברת דרכו‪,‬‬
‫אך עקב החיבור הבעייתי חלק מההסנפות נפגמו והפרוטוקולים לא פוענחו על ידי ‪.Wireshark‬‬

‫בהסנפה מוצגת רק שכבה ‪( 2‬שכבת הקו עליה עוד לא למדנו ואפשר להתעלם ממנה)‪ ,‬וה‪Data-‬‬
‫שלה‪ .‬נסו לחשוב מהו ה‪ Data-‬של שכבה זו (רמז – אנקפסולציה‪.)...‬‬

‫פתחו את ההסנפה בקובץ ‪ 0rphan.pcap‬וענו על השאלות הבאות‪.‬‬

‫מצאו את החבילה בה יש נסיון כניסה לאתר אינטרנט‪ .‬מה מספר החבילה ברשימה? כיצד‬ ‫‪.1‬‬
‫זיהיתם את החבילה הזאת?‬

‫החבילה היא חבילה מספר חמש היה מאוד קל לזהות אותה בגלל שלמדנו איך נראה בקשה‬
‫של ‪ HTTP‬ולפי זה אנחנו יכולים לחפש בתוך ה‪ data‬בקשה שנראת דומה ל‪ HTTP‬ובחבילה ‪5‬‬
‫ניתן לראות בתוך ה‪ data‬מאפיינים של בקשת ‪ HTTP‬מה שאין בשום חבילה אחרת‬
‫? צלמו היכן מצאתם‬HTTP-‫ בתוך הודעת ה‬0rphan ‫האם תוכלו למצוא את פרטיו האישיים של‬ .2
.‫ וכתבו את הפרטים‬,‫אותם‬

‫כן ניתן למצוא את הפרטים האיישים שלו אני מצאתי אותם כבר בשאלה הקודמת החקרתי‬
‫ בצורה טקסטואלית לפנקס רשימות‬data‫את החבילות ובזמן שחקרתי העתקתי את כל ה‬
‫ הזו‬string‫ולמטה היה ניתן לראות אותם ב‬
do.login.x=0&do.login.y=0&username=0rphan&password=hello999450003a46b99400080069e390ac80001ad08e021caab0050c20f9f0915e4aca250180102333b0000504f5354202f20485454502f312e310d0a43616368652
d436f6e74726f6c3a206d61782d6167653d300d0a436f6e6e656374696f6e3a206b6565702d616c6976650d0a446174653a204d6f6e204e6f762032302031323a33332020202b303130300d0a4163636570743a20746578742f6
8746d6c2c206170706c69636174696f6e2f7868746d6c2b786d6c2c206170706c69636174696f6e2f786d6c3b713d302e392c20696d6167652f776562702c20696d6167652f61706e672c202a2f2a3b713d302e380d0a41636365
70742d456e636f64696e673a20677a69702c206465666c6174650d0a4163636570742d4c616e67756167653a2066722d46522c20656e3b713d302e390d0a486f73743a20554e4b4e4f574e2020202020202020200d0a5265666
57265723a20687474703a2f2f7777772e676f6f676c652e66722020202f0d0a557365722d4167656e743a204d6f7a696c6c612f352e3020286950686f6e6520583b20435055206950686f6e65204f5320365f315f34206c696b6520
4d6163204f53205829204170706c655765624b69742f3533362e323620284b48544d4c2c206c696b65204765636b6f292056657273696f6e2f362e30204d6f62696c652f313042333530205361666172692f383533362e32350d0
a436f6e74656e742d4c656e6774683a2035390d0a436f6e74656e742d547970653a206170706c69636174696f6e2f782d7777772d666f726d2d75726c656e636f6465640d0a4f726967696e3a20687474703a2f2f7777772e676f6
f676c652e66722020200d0a557067726164652d496e7365637572652d52657175657374733a20310d0a436f6f6b69653a205f5f75746d613d3235313935383932332e313132343639313631362e313531323832303035302e31
3531323832303035302e313531323832303035302e313b205f5f75746d633d3235313935383932333b205f5f75746d7a3d3235313935383932332e313531323832303035302e312e312e75746d63636e3d2872656665727261
6c297c75746d6373723d656d61696c6164647265737365732e636f6d7c75746d6363743d2f656d61696c5f776562332e68746d7c75746d636d643d726566657272616c3b205f5f75746d623d3235313935383932330d0a0d0a64
6f2e6c6f67696e2e783d3026646f2e6c6f67696e2e793d3026757365726e616d653d30727068616e2670617373776f72643d68656c6c6f393939

0rphan :‫שם משתמש‬

)‫(האפס בשם משתמש אמור להגיע לפני‬
hello999 :‫סיסמה‬
‫צילומי מסך‬
 ‫בעזרת ניתוח של שכבת הרשת (‪ ,)IP‬נסו למצוא את כתובת ה‪ IP-‬בה נמצא האתר אליו‬ ‫‪.3‬‬
‫‪ 0rphan‬מנסה להיכנס‪ .‬כתבו את הכתובת‪ .‬אם נמצא אתר בכתובת הזאת‪ ,‬נסו להיכנס אליו‪,‬‬
‫וכתבו מהו האתר‪.‬‬

‫אנחנו יודעים שבתוך ה‪ data‬של השכבה השנייה יש את ההדרים של השכבה השלישית ועוד‬
‫‪ DATA‬ובתוך ה‪ DATA‬הזה יש הדרים של השכבה הרביעית‪ ...‬ולכן ניתן להוציא מה‪ DATA‬של‬
‫החבילה את כתובת האייפי אחרי חיפוש בתוך ה‪ DATA‬נוכל להבין שה‪ source IP‬ב‪ byte‬מספר‬
‫‪ 13‬עד ‪ 16‬וה‪ destination IP‬נמצא ב‪ byte‬מספר ‪ 17‬עד ‪ 20‬בגלל שניתחתי את פקטה ‪ 5‬שזו‬
‫הבקשת ‪ HTTP‬ש‪ 0rphan‬שלח אז הכתובת ‪ IP‬ש‪ 0rphan‬מנסה לגשת אלייה היא ‪173.8.224.33‬‬
‫כשמנסים להיכנס לדפדפן אנחנו מגיעים לאתר בכתובת ‪softhome.net‬‬

‫כעת נסו למצוא את כתובת ה‪ IP-‬ממנה שלח ‪ 0rphan‬את הודעה זו‪ .‬כתבו את הכתובת‪,‬‬ ‫‪.4‬‬
‫והסבירו כיצד מצאתם אותה‪.‬‬

‫כמו שאמרתי בסעיף הקודם ה‪ source IP‬בבקשה היא בין ‪ 13‬ל ‪ 16‬וכמ‪8‬ו שאמרתי אני‬
‫מנתח את הפקטה החמישית שהיא הפקטה ש‪ 0rphan‬שלח לשרת ואחרי הניתוח ניתן‬
‫למצוא את האייפי והוא ‪10.200.0.1‬‬

‫האם תוכלו למצוא את מיקומה של כתובת ‪ IP‬זו בעולם? אם לא‪ ,‬מדוע?‬ ‫‪.5‬‬

‫לא לא ניתן למצוא את מיקומה של הכתובת בעולם בגלל בגלל שהיא כתובת פרטית‬
‫‪xxx.xxx.xxx.10‬‬ ‫הכתובת שלו היא ‪ 10.200.0.1‬ואחד הטווחים לכתובת פרטית הוא‬

‫האם בכל זאת תוכלו למצוא רמז כלשהו למיקומו הנוכחי של ‪ 0rphan‬מבקשת ה‪?HTTP-‬‬ ‫‪.6‬‬
 ‫כן ניתן לראות אזכורים למדינה מסויימת בבקשת ה‪ HTTP‬של ‪0rphan‬‬

‫כמו שניתן לראות בתמונה יש המון אזכורים לצרפת (‪ )fr‬בגלל שניתן למצוא ‪ fr‬שזהוא‬
‫קיצור של שם המדינה בהרבה מקומות‬

‫בהסנפה קיימת גם בקשת ‪ DNS‬אשר נשלחה ממחשבו של ‪ .0rphan‬חוקרי המשטרה‬ ‫‪.7‬‬

‫מאמינים שהיא מצביעה על אתר כלשהו ברשת פנימית אליו נכנס ‪ .0rphan‬האם תוכלו‬
‫למצוא אותה? מהי כתובת האתר אליו מנסה ‪ 0rphan‬להיכנס?‬

‫החבילה האחרונה היא החבילה היחידה הכוללת כתובת וכמו שניתן לראות בתוך‬
‫החבילה הכתובת שהוא מנסה לפנות אליה היא ‪bgworkers.com‬‬
 ‫חלק ב' – הרשת החשודה‬
‫בעוד אתם מנתחים את ההסנפה החשודה‪ ,‬הצליחה יחידת הסייבר של ה‪ FBI-‬להתחבר מרחוק‬
‫למחשבו האישי של ‪ 0rphan‬ברשת פנימית כלשהי‪ .‬בעזרת המידע שהשגתם מההסנפה‪ ,‬המשטרה‬
‫בטוחה שתוכלו לסייע בהשגת מידע ממחשבו האישי‪ ,‬ואולי לגלות ‪ -‬איפה עובד ‪?0rphan‬‬
‫כדי לעשות זאת המשטרה שלחה לכם את כתובת ה‪ IP-‬דרכה ניתן להתחבר למחשבו של ‪0rphan‬‬
‫ברשת הפנימית‪" .‬תתחברו אליה ב‪ ,SSH-‬אתם בטח יודעים לעשות זה‪ ,‬הרי אתם מגשימיסטים‪,‬‬
‫לא?‪"...‬‬

‫‪ – SSH‬תעודת זהות‬
‫‪Secure Shell‬‬ ‫שם מלא‬

‫טאטו ילונן (פינלנד)‬ ‫פותח ע"י‬

‫‪1995‬‬ ‫שנת פיתוח‬

‫‪RFC 4253-4254‬‬ ‫‪RFC‬‬

‫אפליקציה‬ ‫שכבה‬

‫‪22‬‬ ‫פורט מוכר‬

‫בינארי‬ ‫טקסטואלי ‪ /‬בינארי‬

‫‪Stateful‬‬ ‫‪Stateful / Stateless‬‬

‫אז מה זה ‪?SSH‬‬
‫‪ SSH‬הוא פרוטוקול מאובטח המאפשר לקבל שליטה על מחשב מרוחק‪ .‬השליטה מתבצעת‬
‫באמצעות העברת פקודות בכתב במסוף שנקרא ‪ .Shell‬במילים אחרות‪ ,‬זהו למעשה מסך ‪CMD‬‬
‫שאפשר דרכו לבצע כל פעולה על המחשב‪ SSH .‬היא הדרך הנוחה והנפוצה ביותר כיום לנהל‬
‫שרתים מרחוק‪ .‬כל התקשורת ב‪ SSH-‬מוצפנת כך שזו גם נחשבת דרך בטוחה לעשות זאת‪ .‬למזלנו‪,‬‬
‫התוכנה האהובה ‪ Putty‬יודעת גם לנהל שיחות ב‪.SSH-‬‬

‫התחברות לשרת‬
‫השתמשו בפרטים שגיליתים בחלק א' אודות ‪ 0rphan‬ונסו להתחבר לשרת ה‪ SSH-‬בכתובת‬ ‫‪.1‬‬
‫‪ 54.71.128.194‬בפורט ‪( 2222‬הפורט המוכר של ‪ SSH‬הוא ‪ ,22‬אבל במקרה זה השרת בחר‬
‫בפורט אחר)‪ .‬זכרו לסמן את האופציה של ‪ SSH‬במקום ‪.Raw‬‬

‫* לא מצליחים להתחבר? נסו להשעות באופן זמני את הפיירוול של חלונות‪ .‬הוראות כאן‬
 ‫לאורך כל התרגיל תוכלו להשתמש בפקודות ה‪ CMD-‬אשר היכרנו לאורך הסמסטר –‬ ‫‪.2‬‬
‫‪ .nslookup, ping, tracert, ipconfig‬בנוסף אם תרצו לגשת ב‪ telnet-‬לשרת השתמשו‬
‫בפקודה ‪.telnet‬‬

‫חוקרים את הרשת‬
‫כעת אנחנו נמצאים בתוך רשת פנימית‪ .‬ראשית כל בואו ננסה לברר איפה אנחנו נמצאים‬ ‫‪.1‬‬
‫ברשת הזאת‪ .‬נסו לגלות את ה‪ IP-‬של המחשב‪ ,‬את מסכת הרשת שלו וכמה מחשבים יש‬
‫בתת רשת הזאת (במקסימום)‪ .‬הסבירו כיצד ביצעתם כל פעולה‪.‬‬

‫הכתובת של המחשב ברשת הפנימית היא ‪( 10.200.0.1‬באמצעות ביצוע ‪ )ipconfig‬גם‬

‫את מסכת הרשת ניתן למצוא עם אותה פקודה והיא ‪ 255.255.255.0‬וכמות המחשבים‬
‫המקסימלית(כולל המחשב שלנו) ברשת היא ‪ 254‬בגלל שיש לנו את כתובת הראשונה‬
‫שהיא "שם הרשת" והכתובת האחרונה שהיא כתובת ה ‪broadcast‬‬

‫תשובה‬

‫האם תוכלו למצוא מחשבים נוספים אשר בוודאות קיימים באותה תת הרשת? איך מצאתם‬ ‫‪.2‬‬
‫הוכחה לקיומם?‬

‫התחלתי בלעשות כמה פינגים פשוטים למחשבים שנמצאים באותה רשת כמו שלי ובגלל‬
‫שה ‪ Subnet Mask‬היא ‪ 255.255.255.0‬אז כל פעם הייתי צריך לשנות את הספרה האחרונה‬
‫התחלתי ב ‪ 10.200.0.2‬ולא קיבלתי תגובה ואז ב ‪ 10.200.0.3‬וב ‪ 10.200.0.4‬קיבלתי תגובה‬
‫כלומר שאכן יש מחשבים נוספים באותה תת רשת‬
‫מצורף צילום מסך‬
 ‫תשובה‬

‫האם תוכלו למצוא את כתובת ה‪ IP-‬של האתר הפנימי אליו ניגש‪ 0rphan‬בבקשת ה‪DNS-‬‬ ‫‪.3‬‬
‫בהסנפות? כיצד? מי ענה לכם?‬

‫כן כתובת האייפי הפנימית היא ‪ 10.1.1.36‬ניתן למצוא אותה באמצאות שימוש בפקודה‬
‫‪ nslookup‬או בפקודה ‪ tracert‬אני אישית התשמשתי ב ‪ nslookup‬כדי למצוא את האייפי וזה‬
‫עבד‬
‫מי שענה לנו זה השרת ‪ DNS‬שגם הוא פנימי כי שרת ‪ DNS‬אחר יחזיר לי את האייפי‬
‫‪ 182.61.201.90‬אבל השרת ‪ DNS‬הפנימי שהכתובת שלו היא ‪ 10.1.1.5‬והוא זה שהחזיר את‬
‫האייפי הפנימי‬
‫(אני יודע שכל האייפים האלה הם אייפים פנימים בגלל שהוא מתחיל ב‪ 10‬לפי‪.10‬‬
‫‪ xxx.xxx.xxx‬ולכן הם אייפים פנימים)‬
‫תשובה‬

‫האם ‪ bgworkers.com‬נמצא באותה תת רשת כמו המחשב שלנו? הסבירו את תשובתכם‪.‬‬ ‫‪.4‬‬

‫לא הוא לא נמצא באותה רשת אם נשווה את ‪ 2‬הכתובות‬

‫‪bgworkers - 10.1.1.36‬‬
‫אנחנו – ‪10.200.0.1‬‬
‫נוכל לראות ששתיהם מאוד דומות אבל אם ניקח את ה ‪Subnet Mask‬של הרשת שלנו‬
‫שהיא ‪ 255.255.255.0‬נוכל לראות שהאייפי של ‪ bgworkers‬הוא לא תואם את ה‪Subnet‬‬
‫‪ Mask‬שלנו שאומרת שרק הספרה האחרונה יכולה להשתנות כלומר רק אייפים מסוג‬
‫‪ xxx.10.200.0‬יכולים להיות באותה תת רשת אבל האייפי של ‪ bgworkers‬הוא שונה ולא‬
‫מתאים ל‪ Subnet Mask‬שלנו‬

‫תשובה‬

‫האם יש תחנות נוספות ביניכם לבין ‪ ?bgworkers.com‬הסבירו מה עשיתם‪ .‬עבור כל תחנה‬ ‫‪.5‬‬
‫כתבו האם היא מחשב או נתב‪.‬‬

‫כן יש תחנות נוספות וכדי להראות את התחנות נניח שאין בקשה ל‪ DNS‬בגלל שהוא כבר‬
‫שמור לנו ב‪ cache‬מהתרגיל הקודם בשביל להבין את השלבים נשתמש ב‪tracert‬‬
‫תחנה ‪ :1‬בתחנה הזו המחשב של ארפן מגיע לנתו של הרשת הפנימית שלו ‪-‬‬
‫‪10.200.0.100‬‬
‫תחנה ‪ :2‬בתחנה הזו הנתו של הרשת הפנימית של אורפן(‪ )10.200.0.100‬פונה לנתיו של‬
‫הרשת הפנימית של האתר ‪ bgworkers‬שהוא ‪10.1.1.100 -‬‬
‫תחנה ‪ :3‬בתחנה זו הנתיו של הרשת הפנימית של ‪ bgworkers‬שהוא ‪ 10.1.1.100‬פונה אל‬
 ‫‪ bgworkers‬באייפי ‪10.1.1.36 -‬‬
‫אלה שלושת התחנות בין אורפן אל ‪bgworkers‬‬

‫תשובה‬

‫כפי שכבר הבנתם‪ ,‬על ‪ bgworkers.com‬יושב שרת ‪ .HTTP‬נסו להשתמש בפריט המידע הזה‬ ‫‪.6‬‬
‫כדי לגלות איפה עובד ‪ .0rphan‬הסבירו מה עשיתם וצרפו צילום מסך‪ .‬אם גיליתם פרטים‬
‫נוספים (לא חובה) כתבו גם עליהם‪.‬‬

‫חניכים יקרים‪ ,‬שימו לב!!‬

‫תזכרו שסין כרגע סגורה בגלל הקורונה ולא ניתן להגיע לשם‪ .‬לאורפן אין עדיין דרכון‬
‫ירוק 😞‪.‬‬
‫לכן אם הגעתם לשם‪ ,‬צאו מהר!! אחרת תצטרכו להיכנס לבידוד‪ .‬אורפן עובד במקום אחר‪,‬‬
‫מקום הרבה יותר קרוב 🙂‬

‫אחרי מחקר מעמיק גיליתי שאפשר לעשות ‪ telnet‬ל‪ bgworkers.com‬עם פורט ‪ 80‬וכמו‬
‫שחשדתי הבקשה בשרת של אורפן תתן לי תשובה שונה מהתשובה שהייתי מקבל אם הייתי‬
‫עושה את זה במחשב שלי‬
‫קיבלתי תשובה שונה לגמרי ובה יש תופס התחברות גם תמונה מאוד חשודה של החברה ‪bug‬‬
‫חברה ישראלית שנותנת שירותים ופתרונות טכנולוגיים בנוסף למוצרי הטכנולוגיה שהם‬
‫מוכרים ביום יום ולכן אורפן שלנו עובד בחברת באג!!!‬
‫תשובה‬