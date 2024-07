Soboty patří bastlení a v tom dnešním se podíváme na to, co se děje za oponou, když na mobilu nebo v počítači spustíte některou z populárních aplikací pro skenování sítě.

Skenovací aplikace pro mobil i desktop

K těm nejoblíbenějším na iOS a Androidu patří už roky Fing a o něco mladší WiFiman od výrobce síťových krabiček Ubiquiti. Evergreenem na desktopech je pak univerzální a pokročilý balík nástrojů Nmap.

Ať už sáhnete po mobilní apce plné barviček, nebo strohém textovém rozhraní Nmapu, všichni do jednoho se různými způsoby pokoušejí odhalit, co všechno se nachází ve vaší místní síti.



Sken sítě v mobilním Fingu a Nmapu (jeho desktopové nadstavbě Zenmap)

Před patnácti lety to byla zajímavá informace snad jen pro správce podnikové LAN, kteří kontrolovali své ovečky v organizaci. Doma jsme tehdy měli leda tak jeden dva počítače a pár hloupých telefonů.

Dnes je vše úplně jinak. Kdejaká síť průměrné rodiny s několika teenagery se co do velikosti vyrovná malému podniku, protože je v ní vedle osobních počítačů hromada další chytré elektroniky počínaje televizorem a herní konzolí a konče třeba papiňákem s Wi-Fi.

Fing, WiFiman a Nmap celou síť během několika sekund prošmejdí, všechny připojené mašiny zobrazí na jedné hromadě, a dokonce se pokusí odhadnout, kdo je vyrobil.

Příliš přísný Google

Vždycky, když jsem doma zapojil nové Raspberry Pi nebo třeba 230V zásuvku s Wi-Fi, stačilo spustit sken a ověřit, že je každá z nich opravdu online. To je už ale minulost, jakožto majitele několika telefonů Pixel mě totiž zasáhla změna politiky Googlu na Androidu, který identifikaci zařízení v síti dramaticky omezil a prográmky Fing a WiFiman mi tak naprosto znehodnotil.



Chování skenovacích aplikací s novou politikou Googlu na některých telefonech s Androidem

Namísto přehledného seznamu veškeré chytré elektroniky kvůli tomu nyní vidím jen prosté IP adresy s nicneříkajícím popiskem „Generic.“ Vše souvisí s tím, jak vlastně tyto aplikace identifikují své okolí.

IP a MAC adresa

Každá krabička v běžné domácí síti má dva klíčové identifikátory. Tím nejznámějším je samozřejmě IP adresa, kterou většinou zařízení dostane automaticky po připojení od Wi-Fi routeru.

IP adresa je tedy zpravidla proměnlivá a identifikuje zařízení pouze právě teď. Když krabičku vypneme a po chvíli zase zapneme, může dostat úplně jinou.



Skenování sítě si demonstrujeme na chytré žárovce WiZ A67. V ovládací mobilní aplikaci WiZ Connected jsem si poznačil její IP a MAC adresu, se kterými budu dále pracovat

Pokud ovšem zamíříme o několik vrstev hlouběji až na linkovou úroveň protokolu ethernet, krabičky se zde identifikují pomocí (zpravidla) neměnné fyzické adresy MAC (Media Access Control), kterou získaly už při výrobě.

Obvyklá MAC adresa má šest bajtů a oproti IP je lidsky zapisujeme hexadecimálně a zpravidla oddělené dvojtečkou nebo pomlčkou. Pojďme si to ukázat na příkladu s chytrou žárovkou v redakci.

Moje Wi-Fi RGB žárovka WiZ A67 v redakční síti má právě teď:

IP adresu 172.17.16.145 dočasně přidělenou routerem

dočasně přidělenou routerem MAC adresu D8:A0:11:C9:58:83 trvale přidělenou výrobcem

Organizationally Unique Identifier

Protože je MAC (zpravidla) neměnná a nastavená výrobcem, mohlo by při troše štěstí dojít ke kolizi: V jedné síti se objeví dvě krabičky se shodnou MAC. Aby se tomu předešlo, v praxi si výrobce nastavuje jen druhou polovinu MAC a její první tři bajty si za tučný poplatek rezervuje u standardizační autority IEEE RA.

Říkáme jim OUI (Organizationally Unique Identifier) a je to opravdu unikátní identifikátor výrobce síťového čipu, který ostatním říká, že tyto první tři bajty v MAC jsou už zabrané a nesmí je používat nikdo jiný.

Pro náš příklad s chytrou žárovkou WiZ tedy platí:

OUI: D8A011

D8A011 Zbytek: C95883 (unikátní jen v rámci tohoto OUI)

Desítky tisíc unikátních OUI

Databáze OUI není nic tajného a její aktuální znění v podobě hodně velkého textového souboru najdete třeba na stránkách IEEE. Ve zjednodušené řádkové podobě (OUI + název firmy) ji najdete i na mém GitHubu – má úctyhodných 35 816 záznamů!

Pojďme si to zkusit. Načtu v běžném webovém prohlížeči adresu standards-oui.ieee.org/oui/oui.txt a když zkusím vyhledat výraz D8A011, přesunu se až skoro na konec dokumentu, kde na mě vyskočí blok textu:



Záznam pro OUI D8A011

Toto OUI tedy opravdu patří firmě WiZ, která má pochopitelně v seznamu hromadu dalších identifikátorů, aby pokryla veškerou svoji činnost na poli chytré domácí elektroniky. U ostatních je to podobné.

Různé OUI (často) pro různé typy zařízení

Takže už víme, jak skenery sítě identifikují, kdo kterou krabičku vyrobil. Prostě jejich MAC adresy prohledají ve své interní databázi OUI. Bude to samozřejmě fungovat pouze v případech, kdy má jedna entita pod kontrolou jak krabičku, tak její síťový čip.



Intel má jako výrobce síťových prvků hromadu OUI. Prakticky všechny jsou registrované pro jeho fabriku v malajsijském Kulimu

Pokud do mašiny od hypotetického výrobce Kozojedy Computers nainstalujete vlastní síťovou kartu třeba s MAC adresou 5C:87:9C:1D:DD:73, skenery ji identifikuji jako zařízení od Intelu, OUI 5C879C totiž patří této fabrice v malajsijském Kulimu.

Díky tomu, že mohou mít různé filiálky různé OUI, občas podle nich může blížeji specifikovat typ zařízení.



Wi-Fi karta pro přenosné počítače s čipem Intel AC8265

Intel se v Kulimu soustředí vedle pouzdření čipů na síťové moduly pro přenosné počítače, takže nebude překvapením, že tajemná MAC patří Mini PCIe Wi-Fi kartě s čipem Intel AC8265.

Skenovací protokol ARP

Výborně, takže už víme, jak skenery identifikují výrobce síťových čipů, ale jak vlastně zjistí, kdo všechno se právě teď nachází v místní síti a jakou má MAC? Technik je celá řada, nejčastějším, nejjednodušším a nejrychlejším způsobem je ale nízkoúrovňový protokol ARP (Address Resolution Protocol).

ARP slouží v místních sítích k překladu (vysokoúrovňové) IP adresy na (nízkoúrovňovou) linkovou adresu MAC. Může nahradit i klasický ping, pokud je v síti blokovaný firewallem.

ARP požadavek na překlad by mohl vypadat zhruba nějak takto:

Čau lidi, kdo máte IP adresu 172.17.16.145, pošlete mi svoji MAC. Díky!

Zpráva dorazí na všechna zařízení v aktuální podsíti, no a pokud budou všechna slušně vychovaná, to, kterého se dotaz týká, odpoví:

Ahoj, já jsem 172.17.16.145 a moje MAC adresa je D8:A0:11:C9:58:83

Ethernetový rámec a paket

Protokol ARP neběží kdesi vysoko jako třeba HTTP, ale úplně dole na linkové vrstvě ethernetu. Každé malé dítě ví, že je veškerá komunikace v internetových sítích rozdělená do malých dílků dat, které poletují sem a tam a teprve až na cílovém počítači se spojí opět dohromady třeba do podoby tohoto článku na webu Živě.cz.



Zjednodušené schéma rámce v ethernetové síti

Těmto dílkům říkáme pakety a rámce a podle typu přenášených dat mají hromadu vrstev. Na linkové úrovni ethernetu jen o patro výše nad samotnou elektronickou realizací přenosu má takový paket/rámec vlastně jen několik málo položek:

MAC adresu odesílatele

MAC adresu příjemce

Typ přenášených dat

Data

Všimněte si, že tady dole na samotné dřeni adresujeme počítače v síti právě podle jejich fyzických/linkových adres MAC. Vše ostatní je schované v datech, které si postupně zpracují protokoly na vyšších patrech.

Právě proto potřebuji jednotlivé uzly vědět, kdo má jakou linkovou adresu MAC.

Ethernetový rámec vyplněný dotazem ARP

Úplně dole se nachází i náš ARP, který blok s daty vyplňuje svoji primitivní hlavičkou. Náš dotaz na MAC adresu žárovky WiZ by tedy vypadal schematicky jako na obrázku níže a velmi podobně by vypadala i případná odpověď, u které by se pouze změnil kód operace na 2 (ARP odpověď).



Ethernetový rámec s dotazem ARP

Všimněte si, že v ethernetové hlavičce adresujeme rámec na virtuální MAC adresu FF:FF:FF:FF:FF:FF, která v ethernetu představuje všechna zařízení v aktuální podsíti. Jedná se tedy o tzv. broadcast, našeho požadavku si všimnou úplně všichni a ten správný odpoví.



Broadcastovaná ARP komunikace mezi různými zařízeními v místní síti zachycená síťovým analyzátorem Wireshark. Krabičky si spolu neustále povídají a ptají se, kdo je kdo

Smršť dotazů ARP se všemi kombinacemi IP

Rámce s ARP jsou jednoduché, neobsahují žádný další užitečný náklad – třeba kus fotografie z dovolené, kterou právě teď váš mobil synchronizuje na úložiště Google Photos –, a tak je jejich zpracování zpravidla velmi rychlé, výpočetně nenáročné a nehrozí nějaké výraznější zahlcení provozu.



Sken sítě v grafickém rozhraní Nmapu Zenmap a analýza smršti ethernetových rámců s dotazy ARP v síťovém analyzátoru Wireshark

Primitivní skener zařízení v naší podsíti 172.17.16.1 až 172.17.16.254, který chce mít jistotu, že jmenovitě osloví opravdu všechny hypotetické stroje v dosahu, rozešle s drobnou prodlevou 254 požadavků ARP, přičemž každý z nich se bude ptát na jinou IP adresu, a začne poslouchat, kdo odpoví.

Úplně stejně se chová v základním rychlém skenu třeba i zmíněný Nmap z úvodu článku a na GitHubu našeho seriálu najdete co možná nejjednodušší, ale zároveň nízkoúrovňový příklad v C pro knihovnu zachytávání síťového provozu Npcap, ve kterém si kamínek po kamínku postavíme rámec s identickým dotazem ARP. Program má ale ještě své chyby, takže slouží spíše jako hrubá orientace toho, jak vlastně sken funguje krok za krokem.



Náš primitivní ARP skener postavený nad knihovnou Npcap a napsaný v C

Určitě doporučuji kouknout i na oficiální příklady v C od tvůrců Npcapu na GitHubu, které ukazují další práci s pakety.

Pro chod programu je zároveň nutné nejprve nainstalovat i samotný Npcap.

Proč tedy přestal fungovat Fing a WiFiMan?

Na úplný závěr se vraťme k úvodu a odpovědi na otázku, proč vlastně na mnoha telefonech s Androidem přestaly plnohodnotně fungovat aplikace jako WiFiMan a Fing.

Je to prosté, Google totiž z bezpečnostních důvodů omezil aplikacím třetí strany přístup k adresám MAC. Právě proto, že jsou jedinečné, mohou fungovat jako sledovací ID.



Fing upozorňuje na změnu politiky Googlu na Androidu

Na internetu se sice podepisují petice, aby Google vše vrátil zpět, případně umožnil přístup k MAC třeba skrze politiku přidělených práv jako u ostatních citlivých dat, zatím to ale nepomohlo.

Fing a další nicméně nepřestaly fungovat úplně všude. Záleží spíše na verzi Androidu a výrobci telefonu, jestli se bude řídit doporučením Googlu.