Prezentowane w tej części narzędzia – yersinia, iptraf, netcat i packeth – reprezentują cztery różne podejścia do diagnostyki i testowania sieci na warstwach 2–4 modelu OSI. Yersinia koncentruje się na testach penetracyjnych warstwy łącza danych, iptraf na monitorowaniu ruchu w czasie rzeczywistym, netcat na uniwersalnej komunikacji TCP/UDP, a packeth na generowaniu pojedynczych ramek Ethernet.

Łączne wykorzystanie tych narzędzi pozwala na kompleksową ocenę bezpieczeństwa i wydajności sieci LAN – od sprawdzenia poprawności konfiguracji przełączników (yersinia), przez pomiar obciążenia łączy (iptraf), po testowanie reguł firewall i ACL (packeth) oraz ręczną weryfikację dostępności usług (netcat).

Materiał został podzielony na cztery główne bloki tematyczne, z których każdy poświęcony jest jednemu narzędziu. Taka struktura ułatwia systematyczne przyswajanie wiedzy – każdy blok zawiera wprowadzenie teoretyczne, instrukcję instalacji, omówienie trybów pracy, przykłady praktyczne oraz porównanie z narzędziami alternatywnymi.

Na końcu prezentacji znajduje się podsumowanie z mapą narzędzi, pytania kontrolne sprawdzające zrozumienie materiału oraz zadanie praktyczne łączące wszystkie cztery narzędzia w jednym scenariuszu laboratoryjnym. Slajdy 54–58 stanowią zamknięcie merytoryczne i zachętę do samodzielnych ćwiczeń.

Yersinia jest rozwijana od początku lat 2000. Jako framework typu open-source, umożliwia nie tylko przeprowadzanie gotowych ataków, ale także tworzenie własnych scenariuszy testowych dzięki architekturze wtyczek (pluginów). Wersja z interfejsem graficznym (GTK+) ułatwia obsługę początkującym, podczas gdy tryb CLI jest preferowany przez zaawansowanych użytkowników pracujących zdalnie przez SSH.

Nazwa narzędzia nawiązuje do bakterii Yersinia pestis, która wywołuje dżumę – analogia do „zarażania” sieci fałszywymi ramkami jest celowa i podkreśla destrukcyjny potencjał narzędzia. Yersinia jest standardowym elementem dystrybucji Kali Linux i jest często wykorzystywana na szkoleniach z bezpieczeństwa sieciowego (CEH, OSCP).

Instalacja yersinia z repozytoriów dystrybucji (apt, yum) jest najprostszą metodą, ale może nie dawać najnowszej wersji. Instalacja ze źródeł z GitHub pozwala uzyskać aktualne wtyczki i poprawki, ale wymaga zainstalowanych narzędzi developerskich (autoconf, automake, gcc, libgtk-3-dev, libglib2.0-dev).

W systemie Kali Linux yersinia jest preinstalowana, co czyni tę dystrybucję najwygodniejszym środowiskiem do nauki i testów. Dla użytkowników Windows jedyną praktyczną opcją jest uruchomienie Kali w maszynie wirtualnej (VirtualBox, VMware) z mostkowaną kartą sieciową, co zapewnia dostęp do surowych ramek Ethernet niezbędnych do działania yersinia.

Tryb CLI (yersinia -I) uruchamia interfejs tekstowy oparty na bibliotece ncurses, który działa w każdym terminalu, również przez połączenie SSH bez przekierowania X11. Nawigacja odbywa się za pomocą klawiszy strzałek, a wybór ataku potwierdza się klawiszem Enter. Tryb ten jest lżejszy i szybszy, szczególnie na słabszych maszynach.

Tryb GUI (yersinia -G) wykorzystuje bibliotekę GTK+ i oferuje bardziej intuicyjną obsługę – wszystkie opcje ataku są widoczne w formie menu i okien dialogowych. Wymaga jednak działającego serwera X (lub Xming/VcXsrv w przypadku SSH z Windows). Dla zdalnej pracy przez SSH zaleca się użycie opcji -X (przekierowanie X11) lub wybór trybu CLI.

Przed uruchomieniem yersinia należy upewnić się, że interfejs sieciowy jest w trybie monitorowania (promiscuous mode) – yersinia automatycznie przełącza kartę w ten tryb, ale wymaga do tego uprawnień root. W przypadku wielu interfejsów sieciowych kluczowe jest wskazanie właściwego za pomocą opcji -i.

Po uruchomieniu yersinia w trybie CLI użytkownik widzi główne menu z listą protokołów (STP, CDP, DHCP, HSRP, DTP itp.). Po wybraniu protokołu pojawia się lista dostępnych ataków dla tego protokołu. Każdy atak ma własne opcje konfiguracyjne, takie jak adres MAC źródła, priorytet, liczba ramek czy opóźnienie między ramkami.

Ataki na STP są szczególnie groźne, ponieważ Spanning Tree Protocol działa na warstwie 2 i nie ma wbudowanych mechanizmów uwierzytelniania. Wysyłając fałszywe ramki BPDU (Bridge Protocol Data Units) z niższym priorytetem mostu niż legalny root bridge, atakujący może przejąć rolę korzenia drzewa STP, co pozwala na przekierowanie ruchu przez swoją maszynę.

BPDU flood, czyli wysłanie tysięcy ramek BPDU w krótkim czasie, może doprowadzić do destabilizacji całego drzewa STP, powodując tymczasowe pętle (loop) i przerwy w komunikacji. Atak topology change powoduje ciągłe odświeżanie tabel przekazywania (MAC address table) na przełącznikach, co obniża wydajność przełączania ramek.

CDP (Cisco Discovery Protocol) jest domyślnie włączony na wszystkich urządzeniach Cisco i wysyła ramki multicast co 60 sekund. Ramki CDP zawierają informacje takie jak nazwa urządzenia, model, wersja IOS, adres IP interfejsu, typ platformy i możliwości. Yersinia może generować fałszywe ramki CDP z dowolnymi danymi, co wprowadza administratora w błąd podczas diagnostyki.

Atak typu CDP flood polega na wysłaniu dużej liczby ramek CDP z różnymi danymi TLV (Type-Length-Value), co może przeciążyć CPU przełącznika podczas przetwarzania ramek CDP. Device spoofing pozwala podszyć się pod konkretne urządzenie Cisco, co może być wykorzystane w socjotechnice lub do ukrycia obecności atakującego w sieci.

Ataki na DHCP są szczególnie skuteczne w sieciach bez włączonego mechanizmu DHCP Snooping, który jest domyślnie wyłączony na większości przełączników. DHCP Snooping polega na klasyfikowaniu portów jako zaufane (trusted – tam gdzie znajduje się legalny serwer DHCP) i niezaufane (untrusted – pozostałe porty), blokując odpowiedzi DHCP z portów niezaufanych.

Yersinia umożliwia sekwencyjne wykonanie obu ataków: najpierw DHCP Starvation wyczerpuje pulę adresów, uniemożliwiając legalnym urządzeniom otrzymanie adresu IP, a następnie Rogue DHCP Server przejmuje kontrolę nad nowymi żądaniami. W środowisku laboratoryjnym warto przećwiczyć oba ataki, aby zrozumieć, jak działają mechanizmy obronne.

DHCP Starvation wykorzystuje fakt, że serwer DHCP przydziela adres IP każdemu żądaniu DHCP Discover, jeśli tylko ma dostępne adresy w puli. Yersinia generuje żądania z losowymi adresami MAC (pole CHADDR w ramce DHCP), co symuluje wiele różnych urządzeń. W ciągu kilku sekund można wyczerpać pulę nawet kilkuset adresów.

Atak nie wymaga odbierania odpowiedzi DHCP Offer/ACK – samo wysłanie Discover z unikalnym MAC wystarczy, aby serwer zarezerwował adres. Dlatego atak jest jednokierunkowy i bardzo trudny do wykrycia bez monitorowania logów serwera DHCP. Po wyczerpaniu puli nowe legalne urządzenia otrzymują komunikat DHCP NAK (Negative Acknowledgment) lub nie otrzymują żadnej odpowiedzi.

Rogue DHCP Server to fałszywy serwer DHCP uruchomiony przez atakującego, który odpowiada na zapytania DHCP Discover szybciej niż legalny serwer (ponieważ znajduje się bliżej ofiary w sieci LAN). W konfiguracji fałszywego serwera atakujący ustawia własny adres IP jako bramę domyślną (default gateway), co powoduje, że cały ruch ofiar jest kierowany przez maszynę atakującego.

Po przejęciu ruchu atakujący może wykonywać ataki typu Man-in-the-Middle: przechwytywać i modyfikować pakiety, wykradać dane uwierzytelniające (np. hasła do stron HTTP), przekierowywać ofiary na fałszywe strony logowania (phishing) lub blokować dostęp do określonych usług. Aby zabezpieczyć się przed tym atakiem, należy włączyć DHCP Snooping na przełącznikach.

HSRP (Hot Standby Router Protocol) to protokół warstwy 3 firmy Cisco zapewniający redundantną bramę domyślną poprzez utworzenie wirtualnego adresu IP i MAC, który jest współdzielony między dwoma lub więcej routerami. W normalnych warunkach jeden router jest Active (przekazuje ruch), a pozostałe Standby (czekają na awarię). Priorytet decyduje o tym, który router zostanie Active.

Atak HSRP hijack polega na wysłaniu fałszywego komunikatu Hello z priorytetem 255 (maksymalnym), co powoduje natychmiastowe przejęcie roli Active router przez maszynę atakującego. Wirtualny adres IP i MAC są przejmowane, a cały ruch ofiar jest kierowany na maszynę atakującego. Yersinia nie obsługuje ataków na VRRP (Virtual Router Redundancy Protocol) – do testowania VRRP należy użyć Scapy lub innego narzędzia. Zabezpieczeniem jest uwierzytelnianie komunikatów HSRP (MD5) oraz stosowanie mechanizmów IPSG (IP Source Guard).

Dynamic Trunking Protocol (DTP) to protokół Cisco używany do automatycznej negocjacji trybu trunk między przełącznikami. Domyślnie porty przełączników Cisco są w trybie Dynamic Auto lub Dynamic Desirable, co oznacza, że mogą automatycznie przejść w tryb trunk po otrzymaniu odpowiedniej ramki DTP od sąsiada.

Atak DTP enable polega na wysłaniu ramki DTP z żądaniem włączenia trybu trunk na porcie dostępowym. Jeśli port jest w trybie dynamicznym (domyślnym), przełącznik przełączy go w tryb trunk, a atakujący zyska dostęp do ruchu ze wszystkich VLAN-ów (VLAN hopping). Aby zapobiec temu atakowi, należy ręcznie ustawić wszystkie porty dostępowe jako switchport mode access i wyłączyć DTP (switchport nonegotiate).

Port Security to mechanizm ograniczający liczbę adresów MAC, które mogą być obsługiwane na danym porcie przełącznika. Po przekroczeniu maksymalnej liczby (domyślnie 1) przełącznik może: zablokować dodatkowe adresy (protect), odrzucić ramki z logowaniem błędu (restrict) lub wyłączyć port (shutdown). Opcja shutdown jest najbezpieczniejsza, ale wymaga ręcznej interwencji administratora do ponownego włączenia portu.

BPDU Guard natychmiast wyłącza port, jeśli na port skonfigurowany jako access zostanie odebrana ramka BPDU. Jest to podstawowe zabezpieczenie przed atakami STP (root role attack). DHCP Snooping w połączeniu z Dynamic ARP Inspection (DAI) i IP Source Guard (IPSG) tworzy kompleksowy system zabezpieczeń warstwy 2, który blokuje rogue DHCP server, ARP spoofing i IP spoofing.

W testach penetracyjnych yersinia jest używana do weryfikacji, czy zabezpieczenia warstwy 2 są poprawnie skonfigurowane i aktywne. Standardową procedurą jest próba wykonania każdego ataku i sprawdzenie, czy przełącznik zareagował zgodnie z oczekiwaniami (np. wyłączył port po próbie DHCP Starvation z włączonym Port Security).

Testy należy wykonywać w ściśle kontrolowanym środowisku laboratoryjnym, z dala od sieci produkcyjnej. Nawet pojedyncza ramka BPDU wysłana na sieć produkcyjną może spowodować destabilizację STP i przerwę w komunikacji. Z tego samego powodu yersinia nie powinna być uruchamiana na sieciach, do których nie mamy pisemnej zgody na testy penetracyjne.

W laboratorium warto przygotować dedykowany serwer DHCP (np. isc-dhcp-server na Linux) z pulą adresów ograniczoną do 50 adresów, aby szybko zaobserwować efekt ataku. Monitorowanie pliku dzierżaw (/var/lib/dhcp/dhcpd.leases) pozwala zobaczyć w czasie rzeczywistym, jak kolejne fałszywe adresy MAC otrzymują adresy IP.

Po zakończeniu ataku i wyczerpaniu puli można sprawdzić, czy nowe legalne urządzenie (np. drugi komputer podłączony do tej samej sieci) otrzymuje adres IP. Jeśli nie, atak zakończył się sukcesem. Aby przywrócić normalne działanie DHCP, należy wyczyścić bazę dzierżaw na serwerze DHCP (komenda clear ip dhcp binding * na Cisco IOS) lub usunąć plik dzierżaw i zrestartować usługę na Linux.

iptraf (IP Traffic Monitor) został stworzony przez Gerarda Paula Koka w 1998 roku jako narzędzie do monitorowania ruchu IP w systemie Linux. Wersja iptraf-ng (next generation) jest aktywniej rozwijana i zawiera ulepszenia, takie jak obsługa IPv6, lepsza wydajność przy dużym ruchu oraz wsparcie dla kolorowego wyjścia terminala.

W odróżnieniu od takich narzędzi jak tcpdump czy Wireshark, iptraf nie przechwytuje całych pakietów – zbiera jedynie statystyki i metadane, co czyni go lżejszym i bezpieczniejszym w środowiskach produkcyjnych. Nie wymaga bibliotek do przechwytywania pakietów (libpcap), ponieważ korzysta z /proc/net/dev i mechanizmów jądra Linux.

W nowoczesnych dystrybucjach Linux pakiet iptraf-ng jest preferowaną wersją i często jest jedyną dostępną w repozytoriach. Starszy iptraf (bez -ng) może wymagać ręcznej instalacji ze źródeł, ale nie jest zalecany ze względu na brak aktualizacji i wsparcia dla nowych wersji jądra.

Po instalacji warto sprawdzić dostępne opcje iptraf-ng --help, które wyświetlają listę parametrów wiersza poleceń. Narzędzie nie wymaga konfiguracji wstępnej – działa od razu po uruchomieniu, automatycznie wykrywając dostępne interfejsy sieciowe. Do poprawnego działania wymaga uprawnień root do odczytu statystyk interfejsów.

Po uruchomieniu sudo iptraf-ng bez parametrów pojawia się menu główne z następującymi opcjami: IP Traffic Monitor (monitorowanie ruchu IP w czasie rzeczywistym), General Interface Statistics (ogólne statystyki interfejsów), Detailed Interface Statistics (szczegółowe statystyki z błędami), TCP Connection Monitor (monitorowanie połączeń TCP) oraz LAN Station Statistics (statystyki hostów w sieci LAN).

Wybór opcji odbywa się za pomocą klawiszy strzałek i Enter. W każdej chwili można wrócić do menu głównego klawiszem Esc lub Ctrl+Q. iptraf-ng wykorzystuje całą szerokość terminala, dlatego przed uruchomieniem warto zwiększyć rozmiar okna terminala dla lepszej czytelności danych.

IP Traffic Monitor jest najbardziej podstawowym trybem iptraf-ng, pokazującym każdy pakiet IP przechodzący przez wybrany interfejs w czasie rzeczywistym. Dla każdego pakietu wyświetlane są: znacznik czasowy (z dokładnością do sekundy), źródłowy i docelowy adres IP, porty TCP/UDP, typ protokołu (TCP, UDP, ICMP) oraz rozmiar pakietu w bajtach.

Tryb ten jest szczególnie przydatny do szybkiej weryfikacji, czy na interfejsie pojawia się jakikolwiek ruch oraz jakie typy połączeń są nawiązywane. Przy dużej liczbie pakietów widok może być zbyt szybki, aby go śledzić – wtedy zaleca się użycie opcji filtrowania lub przejście do trybu statystyk ogólnych. IP Traffic Monitor nie zapisuje historii, służy wyłącznie do podglądu na żywo.

General Interface Statistics agreguje dane o ruchu na wszystkich interfejsach sieciowych i prezentuje je w formie tabeli aktualizowanej co sekundę. Każdy wiersz tabeli odpowiada jednemu interfejsowi i zawiera: liczbę pakietów odebranych i wysłanych od początku pomiaru (total), bieżącą szybkość w pakietach na sekundę (Pkt In/s, Pkt Out/s) oraz bieżącą szybkość w bajtach na sekundę (Bytes In/s, Bytes Out/s).

U dołu ekranu wyświetlane są zagregowane wartości sumaryczne dla wszystkich interfejsów. Można zmienić interwał uśredniania (domyślnie 2 sekundy) za pomocą klawisza s (settings) – dostępne wartości to 2, 5, 10 i 30 sekund. Dłuższy interwał daje bardziej stabilne odczyty, krótszy pozwala na obserwację chwilowych skoków ruchu.

Detailed Interface Statistics dostarcza informacji o błędach na poziomie warstwy łącza danych. Błędy CRC (Cyclic Redundancy Check) występują, gdy suma kontrolna ramki Ethernet nie zgadza się z obliczoną wartością – najczęściej przyczyną są uszkodzone kable, zakłócenia elektromagnetyczne lub uszkodzone interfejsy sieciowe. Wartość CRC errors powyżej 0,1% wszystkich ramek jest uważana za nieakceptowalną.

Runts (ramki krótsze niż 64 bajty) i giants (ramki dłuższe niż 1518 bajtów lub 1522 z VLAN) wskazują na problemy z kartą sieciową lub przełącznikiem. Collisions występują tylko w sieciach half-duplex – w nowoczesnych sieciach przełączanych full-duplex kolizje nie powinny występować; jeśli występują, sugerują problem z autonegocjacją duplexu. Overruns i underruns wskazują na problemy z buforowaniem w karcie sieciowej.

TCP Connection Monitor wyświetla listę wszystkich aktywnych połączeń TCP przechodzących przez monitorowany interfejs. Dla każdego połączenia pokazywane są: adres źródłowy i docelowy (z portami), stan połączenia w danym momencie (np. ESTABLISHED, SYN_SENT, TIME_WAIT, CLOSE_WAIT) oraz liczba bajtów przesłanych w ramach tego połączenia.

Monitorowanie połączeń TCP jest szczególnie przydatne przy wykrywaniu nieautoryzowanych połączeń, nietypowych ilości połączeń w stanie SYN_SENT (możliwy atak SYN flood) lub połączeń do podejrzanych adresów IP. Tryb ten pozwala na szybką identyfikację procesów generujących ruch sieciowy bez użycia narzędzi takich jak netstat czy ss.

LAN Station Statistics zbiera dane o ruchu generowanym przez poszczególne hosty w sieci lokalnej na podstawie ich adresów MAC. Ponieważ iptraf-ng analizuje ruch na poziomie warstwy 2, może identyfikować hosty nawet wtedy, gdy komunikują się one wyłącznie w ramach jednej podsieci (bez routingu).

Statystyki są agregowane per adres MAC i obejmują: adres IP powiązany z danym MAC (jeśli jest widoczny w ruchu), liczbę odebranych i wysłanych pakietów oraz liczbę odebranych i wysłanych bajtów. Tryb ten jest niezastąpiony przy identyfikacji hosta generującego najwięcej ruchu w sieci LAN – wystarczy posortować wyniki według Bytes Out, aby znaleźć „winowajcę”.

Tryb background (opcja -B) uruchamia iptraf-ng jako proces demona, który działa w tle i zapisuje wyniki do pliku logu. Jest to szczególnie przydatne w środowiskach produkcyjnych, gdzie nie ma dostępu do terminala lub gdy pomiary mają być wykonywane automatycznie przez dłuższy czas. Plik logu jest otwierany i zamykany dla każdego wpisu, co zapobiega utracie danych w przypadku awarii.

Format CSV pliku logu zawiera znaczniki czasowe, co umożliwia import do arkuszy kalkulacyjnych (Excel, LibreOffice Calc) lub baz danych (InfluxDB, TimescaleDB) w celu dalszej analizy i wizualizacji. Można również użyć narzędzi takich jak awk, sed czy Python do przetwarzania logów i generowania raportów. Dla długotrwałego monitorowania warto skonfigurować rotację logów (logrotate) i ograniczenie rozmiaru pliku (-t czas).

Przykładowy skrypt bash pokazuje, jak zautomatyzować pomiar iptraf-ng w celu cyklicznego zbierania statystyk. Zmienna LOG_FILE zawiera znacznik czasu w nazwie pliku (date +%Y%m%d_%H%M), co pozwala na archiwizację wielu pomiarów bez nadpisywania. Opcja -t 60 ogranicza czas działania do 60 sekund, po czym iptraf-ng kończy pracę i zapisuje log.

Po zakończeniu pomiaru skrypt odczekuje 65 sekund (sleep 65) na bezpieczne sfinalizowanie zapisu logu, a następnie przetwarza plik za pomocą grep i awk, aby wyciągnąć zagregowane wartości. Skrypt można uruchomić jako zadanie cron (np. co godzinę) w celu długoterminowego monitorowania ruchu sieciowego.

Wybór narzędzia do monitorowania ruchu zależy od konkretnych potrzeb. iptraf-ng jest najbardziej wszechstronny, oferując monitorowanie TCP per connection, statystyki per host w LAN oraz zapis logów. nload jest najprostszy – pokazuje tylko bieżące wykorzystanie pasma w formie dwóch wykresów słupkowych (IN/OUT). bmon oferuje bardziej zaawansowaną wizualizację z histogramami, ale nie śledzi połączeń.

iftop jest podobny do iptraf-ng w monitorowaniu połączeń, ale pokazuje je w formie listy posortowanej według wykorzystania pasma, co ułatwia identyfikację najbardziej aktywnych połączeń. nethogs jest unikalny, ponieważ grupuje ruch według procesów (PID), a nie adresów IP, co ułatwia znalezienie aplikacji generującej ruch. W praktyce często używa się kilku narzędzi równolegle, w zależności od diagnozowanego problemu.

W opisanym scenariuszu sieć działa wolno, a zadaniem administratora jest znalezienie hosta generującego najwięcej ruchu. iptraf-ng w trybie LAN Station Statistics jest do tego idealnym narzędziem, ponieważ pokazuje ruch per host w sieci lokalnej. Wystarczy uruchomić iptraf-ng, wybrać LAN Station Statistics, wskazać interfejs i obserwować kolumny Pkt Out i Bytes Out.

Alternatywnie, skryptowa wersja (z opcjami -B, -L, -i, -t) pozwala na automatyczne zebranie danych przez określony czas, a następnie przetworzenie logu za pomocą narzędzi uniksowych. Polecenie grep „LAN” /tmp/iptraf.log | sort -k5 -rn | head -5 wyciąga z logu wpisy dotyczące statystyk LAN i sortuje je według piątej kolumny (Bytes Out) malejąco, pokazując 5 najbardziej aktywnych hostów.

Szybka diagnostyka z użyciem iptraf-ng powinna przebiegać według schematu: (1) IP Traffic Monitor – sprawdź, czy na interfejsie pojawia się jakikolwiek ruch; (2) General Interface Statistics – sprawdź ogólne wykorzystanie pasma; (3) Detailed Interface Statistics – sprawdź błędy warstwy 2 (CRC, collisions, runts); (4) TCP Connection Monitor – sprawdź aktywne połączenia; (5) LAN Station Statistics – zidentyfikuj najbardziej aktywne hosty.

Jeśli General Interface Statistics pokazuje wykorzystanie pasma bliskie 100% przez dłuższy czas, oznacza to przeciążenie łącza. Wysoka liczba błędów CRC (powyżej 0,01% wszystkich ramek) sugeruje problem fizyczny z okablowaniem lub zakłócenia. Nagły wzrost liczby połączeń TCP z różnych adresów źródłowych na ten sam port docelowy może wskazywać na atak DDoS lub skanowanie portów.

Netcat jest często nazywany „scyzorykiem szwajcarskim” sieci komputerowych ze względu na swoją wszechstronność – jedno narzędzie może zastąpić wiele innych (telnet, ping, port scanner, file transfer). Pierwsza wersja netcat została napisana przez Hobnoba (właśc. Chris Wysopal) w 1995 roku i od tego czasu doczekała się wielu implementacji i rozszerzeń.

Różne warianty netcat mają różną składnię opcji, co może prowadzić do błędów przy przenoszeniu skryptów między systemami. Wariant OpenBSD (nc) jest domyślnym w większości dystrybucji Linux i ma składnię, w której opcja -p musi wystąpić przed -l w trybie nasłuchu. Ncat z pakietu Nmap dodaje obsługę SSL, IPv6, SCTP, proxy SOCKS i skryptowania w Lua, co czyni go najbogatszym wariantem.

W systemach Debian/Ubuntu dostępne są dwa pakiety: netcat-traditional (wersja klasyczna, stabilna, dobrze udokumentowana) i netcat-openbsd (wersja OpenBSD z nieco inną składnią). Polecenie update-alternatives pozwala wybrać, która wersja jest domyślnie uruchamiana jako nc.

Ncat z pakietu Nmap jest instalowany wraz z nmap (w systemach Linux jako pakiet ncat) i oferuje najwięcej funkcji, ale ma też największy narzut pamięciowy. Dla Windows ncat.exe jest dołączany do instalatora Npcap (wcześniej WinPcap) lub dostępny jako samodzielny plik do pobrania z sekcji Nmap na oficjalnej stronie.

Opcja -l (listen) przełącza netcat w tryb serwera – nasłuchuje na podanym porcie i czeka na połączenie przychodzące. Bez opcji -l netcat działa jako klient, próbując połączyć się z podanym hostem i portem. Opcja -v (verbose) wyświetla dodatkowe informacje, takie jak adres IP łączącego się klienta (w trybie nasłuchu) lub informację o udanym połączeniu (w trybie klienta).

W wariancie OpenBSD netcat (domyślnym w Ubuntu od wersji 18.04) składnia różni się od tradycyjnego nc: opcja -p określa port lokalny i musi wystąpić przed -l. W tradycyjnym nc można pominąć -p przy użyciu -l (port podaje się jako ostatni argument). Nmap Ncat używa opcji --listen zamiast -l, ale zachowuje zgodność z -l dla wygody.

Netcat jako klient TCP nawiązuje połączenie z wybranym hostem na określonym porcie i połącza standardowe wejście (stdin) z gniazdem sieciowym. Oznacza to, że wszystko, co użytkownik wpisze w konsoli, zostanie wysłane przez gniazdo, a wszystkie dane odebrane z gniazda zostaną wyświetlone na standardowym wyjściu (stdout). Działa to jak dwukierunkowa linia komunikacyjna.

Połączenie z serwerem WWW na porcie 80 pozwala na ręczne wysłanie żądania HTTP (np. GET / HTTP/1.0) i zobaczenie surowej odpowiedzi serwera. Jest to przydatne do debugowania serwerów WWW bez użycia przeglądarki. Po nawiązaniu połączenia netcat utrzymuje je otwarte, dopóki jedna ze stron nie zamknie gniazda lub nie zostanie naciśnięty Ctrl+C.

Netcat w trybie nasłuchu (nc -lvp port) tworzy serwer TCP, który czeka na połączenie przychodzące od klienta. Po nawiązaniu połączenia dane z klienta są wyświetlane na konsoli serwera, a dane wpisane na konsoli serwera są wysyłane do klienta. Jest to prosty, ale w pełni funkcjonalny zdalny czat (chat server), działający bez żadnych dodatkowych usług.

Serwer HTTP z netcat w pętli while pokazuje, jak łatwo stworzyć prosty serwer WWW do testów – każdy klient otrzyma tę samą statyczną odpowiedź HTML. W praktyce taki serwer jest używany do testowania konfiguracji firewalla, sprawdzania, czy port jest dostępny z zewnątrz, lub jako prosty honeypot do wykrywania skanowania portów.

Przesyłanie plików przez netcat odbywa się przez przekierowanie strumieni: po stronie odbierającej przekierowuje się standardowe wyjście netcat do pliku (> nazwa_pliku), a po stronie wysyłającej przekierowuje się zawartość pliku na standardowe wejście netcat (< nazwa_pliku). Należy pamiętać, aby najpierw uruchomić stronę odbierającą (nasłuch), a dopiero potem wysyłającą (klient).

Transfer jest nieszyfrowany, co oznacza, że każdy w sieci mogący przechwycić pakiety TCP zobaczy całą zawartość przesyłanego pliku. Do bezpiecznego transferu plików przez netcat można użyć tunelu SSH (ssh -L lokalny_port:cel:docelowy_port użytkownik@serwer) lub ncat z opcją --ssl, która szyfruje transmisję za pomocą TLS. Narzędzie pv (Pipe Viewer) dodaje pasek postępu i szacowany czas transferu.

Skanowanie portów z użyciem netcat (nc -zv) jest prostą, ale skuteczną metodą sprawdzenia, które porty TCP są otwarte na danym hoście. Opcja -z (zero I/O) sprawia, że netcat zrywa połączenie natychmiast po nawiązaniu, bez wysyłania danych – wystarczy mu informacja, czy port zaakceptował połączenie (otwarty) czy odrzucił (zamknięty).

Skanowanie zakresu portów (np. 20-100) jest sekwencyjne – netcat próbuje połączyć się z każdym portem po kolei. Może to być wolne przy skanowaniu dużych zakresów (np. 1-65535). Dodanie opcji -w 2 (timeout 2 sekundy) przyspiesza skanowanie, ponieważ netcat nie czeka dłużej niż 2 sekundy na odpowiedź portu. Do bardziej zaawansowanego skanowania zaleca się Nmap, który oferuje różne typy skanowania (SYN, FIN, NULL, Xmas) i wykrywanie wersji usług.

Skanowanie UDP jest trudniejsze niż TCP, ponieważ UDP jest protokołem bezstanowym – serwer UDP nie wysyła potwierdzenia nawiązania połączenia, więc netcat nie może stwierdzić, czy port jest otwarty przez sam fakt nawiązania połączenia. Zamiast tego netcat wysyła pakiet UDP na dany port i czeka na odpowiedź. Jeśli port jest zamknięty, serwer powinien odpowiedzieć pakietem ICMP Port Unreachable (typ 3, kod 3).

Brak odpowiedzi może oznaczać, że port jest otwarty (usługa po prostu nie odpowiedziała), zamknięty (ICMP Port Unreachable został zablokowany przez firewall) lub że pakiet UDP został utracony w sieci. Z tego powodu skanowanie UDP jest wolniejsze i mniej wiarygodne niż TCP. Do skanowania UDP zaleca się użycie Nmap z opcją -sU, który stosuje zaawansowane techniki detekcji.

Netcat jako klient UDP (nc -u) działa podobnie jak w trybie TCP, ale używa protokołu UDP bez nawiązywania połączenia. Dane są wysyłane w datagramach UDP, a odpowiedź (jeśli nadejdzie) jest wyświetlana na konsoli. Przykładem praktycznego zastosowania jest wysłanie syslogu na serwer syslog (port 514) – datagram UDP z komunikatem <14>test message zostanie wysłany i następnie odebrany przez serwer.

W komunikacji z serwerem NTP (Network Time Protocol, port 123) netcat wysyła zapytanie NTP i czeka na odpowiedź z czasem systemowym serwera. Należy pamiętać, że protokół NTP wymaga specyficznego formatu pakietu, więc wysłanie surowego tekstu nie zadziała – do poprawnej komunikacji z NTP używa się dedykowanego klienta ntpdate lub ntpd.

Bannergrabbing polega na odczytaniu powitalnego komunikatu (banner) wysyłanego przez usługę sieciową po nawiązaniu połączenia. Banner często zawiera informacje o typie i wersji oprogramowania (np. Apache/2.4.41, OpenSSH_8.9p1), co jest niezwykle przydatne w testach penetracyjnych do identyfikacji podatności (vulnerability assessment).

W przypadku HTTP wysłanie GET / HTTP/1.0 powoduje, że serwer WWW odpowiada nagłówkami HTTP zawierającymi banner (Server: Apache/2.4.41 (Ubuntu)). SSH i SMTP wysyłają banner natychmiast po nawiązaniu połączenia, bez konieczności wysyłania danych. Banner można również przechwycić dla FTP (220 Serwer FTP ready), POP3 (+OK POP3 server ready) i wielu innych protokołów.

Serwer UDP z netcat (nc -ulvp port) nasłuchuje na datagramy UDP. W odróżnieniu od TCP, UDP nie nawiązuje połączenia – każdy datagram jest przetwarzany niezależnie. Po odebraniu datagramu netcat wyświetla go na konsoli i czeka na kolejny. Serwer UDP z netcat jest często używany do testowania, czy aplikacje wysyłające dane przez UDP działają poprawnie.

Przykładem zastosowania jest debugowanie aplikacji IoT wysyłających dane pomiarowe przez UDP – serwer netcat odbierze i wyświetli surowe datagramy, co pozwala na weryfikację formatu danych bez pisania dedykowanego odbiornika. Serwer UDP może również zapisywać odebrane dane do pliku (nc -ulvp 4444 > odebrane_udp.txt) w celu późniejszej analizy.

Opcja -w (timeout) w netcat określa maksymalny czas oczekiwania na zdarzenie sieciowe, mierzony w sekundach. W trybie klienta -w określa czas oczekiwania na nawiązanie połączenia TCP. W trybie nasłuchu -w określa czas oczekiwania na dane po nawiązaniu połączenia – jeśli w ciągu N sekund nie nadejdą żadne dane, netcat kończy działanie.

Domyślnie netcat czeka bez ograniczenia czasowego, co może prowadzić do zawieszenia się skryptu, jeśli połączenie nie zostanie nawiązane (host nieosiągalny, firewall blokuje port). Dlatego w skryptach i skanowaniu portów zawsze zaleca się użycie -w z wartością 2-5 sekund. W trybie UDP opcja -w jest szczególnie ważna, ponieważ UDP nie ma mechanizmu timeoutu połączenia.

Opcja -z (zero I/O) jest kluczowa dla wydajnego skanowania portów. Bez -z netcat po nawiązaniu połączenia pozostaje w trybie interaktywnym, czekając na dane z klawiatury i wyświetlając dane z gniazda. Z -z netcat zamyka gniazdo natychmiast po nawiązaniu połączenia, co pozwala na szybkie sprawdzenie setek portów w krótkim czasie.

W praktyce nc -zv 192.168.1.1 22 80 443 sprawdzi trzy porty w ciągu kilku sekund. Każdy port jest testowany sekwencyjnie – widać to w outputcie, gdzie pojawia się komunikat succeeded! dla otwartych portów i Connection refused dla zamkniętych. Do szybszego skanowania setek portów równolegle lepiej użyć Nmap (nmap -T4 -F 192.168.1.1).

Opcja -v (verbose) zwiększa szczegółowość komunikatów netcat. W trybie klienta -v wyświetla informację o udanym połączeniu (Connection to host port succeeded!) lub błędzie (Connection refused). W trybie nasłuchu -v wyświetla adres IP i port łączącego się klienta, co pozwala na śledzenie, kto i skąd nawiązuje połączenie.

W wariancie OpenBSD netcat podwójna opcja -vv dodaje jeszcze więcej szczegółów, takich jak informacje o MTU, TTL i oknie TCP. W tradycyjnym netcat -vv wyświetla dodatkowe komunikaty diagnostyczne podczas zamykania połączenia. W ncat (Nmap) -v akceptuje wartości od 0 (cichy) do 3 (bardzo szczegółowy) i -v4 wyświetla pakiety w hex.

Opcja -n wyłącza rozwiązywanie nazw DNS przez netcat. Domyślnie netcat wykonuje odwrotne zapytanie DNS (reverse DNS lookup) dla każdego adresu IP, co może znacząco spowolnić działanie, szczególnie przy skanowaniu wielu portów lub hostów. Zapytanie DNS może trwać od kilku milisekund (lokalny DNS cache) do kilku sekund (jeśli serwer DNS jest wolny lub nie odpowiada).

Przy skanowaniu zakresu 1-1000 portów różnica między nc -zv a nc -zvn może wynosić od kilkudziesięciu sekund do kilku minut. Dlatego w skryptach automatycznych i przy skanowaniu zawsze używa się -n. Dodatkowo -n zapobiega wyciekom informacji – serwer DNS nie dowie się, jakie adresy IP są skanowane.

Netcat doskonale integruje się ze skryptami bash, co pozwala na automatyzację typowych zadań sieciowych. Przykładowy skaner portów w pętli for iteruje przez zadany zakres portów i dla każdego wykonuje nc -zv z timeoutem 1 sekundy. Jeśli grep znajdzie w outputcie słowo „succeeded”, port jest oznaczony jako otwarty. Jest to prosty, ale w pełni funkcjonalny skaner portów.

Serwer HTTP w pętli while pokazuje, jak utworzyć prosty serwer WWW w jednej linii – po każdym połączeniu klient otrzymuje odpowiedź HTTP z treścią „Hello”. Monitorowanie usługi w pętli while z nc -zw (zero I/O + timeout) pozwala na ciągłe sprawdzanie dostępności usługi i zapisywanie logów z datami i statusami.

Wybór między nc, ncat i socat zależy od złożoności zadania. Do prostych czynności, takich jak sprawdzenie dostępności portu, skanowanie portów czy bannergrabbing, w pełni wystarczy tradycyjny netcat (nc). Mały rozmiar pliku (kilkadziesiąt KB) i minimalne zużycie pamięci czynią go idealnym do dołączania do skryptów i obrazów Docker.

Ncat z pakietu Nmap dodaje obsługę SSL/TLS (--ssl), co pozwala na szyfrowanie transmisji bez użycia OpenSSL s_client. Ncat może również działać jako serwer proxy (--proxy, --proxy-type), przekierowywać porty (--sh-exec, --keep-open) i wykonywać skrypty Lua. Socat oferuje największą elastyczność – może łączyć dowolne strumienie danych (gniazda, pliki, potoki, urządzenia) w dowolnej kombinacji.

Packeth jest narzędziem graficznym (GTK+) do tworzenia i wysyłania pojedynczych ramek Ethernet. W odróżnieniu od narzędzi takich jak hping3 czy Scapy, packeth nie wymaga znajomości składni wiersza poleceń ani programowania – wszystkie parametry ramki są wprowadzane w formularzu graficznym. Jest to szczególnie przydatne dla osób uczących się budowy ramek Ethernet.

Packeth umożliwia modyfikację wszystkich pól ramki Ethernet warstwy 2: adresów MAC (źródłowego i docelowego), pola EtherType (lub długości w standardzie IEEE 802.3), tagu VLAN 802.1Q oraz payloadu w formacie hex lub ASCII. Narzędzie nie modyfikuje pól warstwy 3 (IP) ani warstwy 4 (TCP/UDP) – jeśli potrzebujemy modyfikować te warstwy, należy użyć hping3 lub Scapy.

Packeth jest dostępny w domyślnych repozytoriach większości dystrybucji Linux. W systemach opartych na Debianie/Ubuntu instalacja przez apt install packeth jest najprostszą metodą. Instalacja ze źródeł z GitHub może być konieczna w przypadku starszych dystrybucji lub gdy potrzebujemy najnowszej wersji z poprawkami błędów.

Packeth wymaga bibliotek GTK+ 3, dlatego nie działa w czystym terminalu bez serwera X. Do uruchomienia przez SSH można użyć przekierowania X11 (ssh -X) lub VNC. Po instalacji packeth jest uruchamiany jako sudo packeth – uprawnienia root są niezbędne do tworzenia surowych gniazd (raw sockets) na interfejsie sieciowym. Istnieje również wersja z interfejsem tekstowym (TUI) uruchamiana opcją -t, ale ma ona ograniczoną funkcjonalność.

Interfejs graficzny packeth jest podzielony na sekcje odpowiadające polom ramki Ethernet. W górnej części okna znajdują się pola na adresy MAC (Destination MAC, Source MAC), pole EtherType (w formacie hex, np. 0x0800 dla IPv4, 0x0806 dla ARP) oraz pole VLAN ID (0-4095) i priorytet VLAN (0-7).

W dolnej części okna znajduje się pole na Payload (dane ramki) w formacie hex, gdzie każdy bajt można wprowadzić jako dwie cyfry hex oddzielone spacją. Automatycznie wyświetlana jest długość ramki (Frame Length), którą można również ustawić ręcznie. Przyciski Send i Send Burst wysyłają odpowiednio pojedynczą ramkę lub serię ramek z konfigurowalnym interwałem. Wskazane jest zawsze sprawdzenie sumy kontrolnej FCS – packeth generuje ją automatycznie, chyba że opcja Auto FCS jest wyłączona.

Budowa ramki Ethernet w packeth odzwierciedla standard IEEE 802.3. Preambuła (7 bajtów naprzemiennych 1 i 0 synchronizujących odbiornik) oraz SFD (Start Frame Delimiter, 1 bajt 10101011) są generowane automatycznie przez kartę sieciową i nie są edytowalne w packeth. Adresy MAC (6 bajtów każdy) są wprowadzane w standardowym formacie hex (np. AA:BB:CC:DD:EE:FF).

Pole EtherType/Length (2 bajty) ma podwójne znaczenie: wartości poniżej 0x0600 (1536 dziesiętnie) oznaczają długość ramki w standardzie IEEE 802.3, a wartości powyżej 0x0600 oznaczają typ protokołu w standardzie Ethernet II. Dla IPv4 używa się EtherType 0x0800, dla ARP 0x0806, dla VLAN 0x8100. Payload musi mieć minimum 46 bajtów (jeśli jest krótszy, packeth uzupełnia zerami) i maksymalnie 1500 bajtów (lub więcej dla jumbo frame). Suma kontrolna FCS (4 bajty CRC32) jest obliczana automatycznie.

Testowanie firewall i ACL za pomocą packeth jest skuteczne, ponieważ packeth wysyła ramki bezpośrednio przez surowe gniazdo, omijając stos IP systemu operacyjnego. Oznacza to, że reguły firewalla hosta (iptables, nftables) nie wpływają na wysyłane ramki – są one wysyłane na interfejs niezależnie od reguł filtrowania warstwy 3 i 4.

Scenariusz testowania reguł MAC polega na wysłaniu ramki z określonym źródłowym adresem MAC i sprawdzeniu, czy przełącznik ją przepuszcza (jeśli port security blokuje nieznane MAC, ramka zostanie odrzucona). Testowanie filtrów EtherType pozwala sprawdzić, czy przełącznik lub firewall blokuje niestandardowe typy protokołów. Testowanie VLAN polega na wysłaniu ramki z tagiem VLAN na port należący do innego VLAN-u i sprawdzeniu, czy ramka jest odrzucana (powinna być, jeśli konfiguracja jest poprawna).

Niestandardowe wartości EtherType są używane w protokołach przemysłowych (EtherCAT 0x88A4, PROFINET 0x8892, Ethernet/IP 0x0800, POWERLINK 0x88AB) oraz protokołach zastrzeżonych przez producentów (Cisco Discovery Protocol 0x2000, Extreme Networks 0x88B8). Wysłanie ramki z niestandardowym EtherType za pomocą packeth pozwala na testowanie, czy urządzenia sieciowe poprawnie przepuszczają lub blokują te ramki.

W praktyce inżynierowie sieci przemysłowych używają packeth do symulacji ruchu EtherCAT, PROFINET i innych protokołów automatyki. Modyfikacja pól VLAN ID i priorytetu (PCP) pozwala na testowanie mechanizmów QoS (Quality of Service) na przełącznikach przemysłowych. Dla ramki z EtherType 0x88A4 (EtherCAT) należy wypełnić payload danymi zgodnymi ze specyfikacją EtherCAT – ramka musi mieć minimum 46 bajtów, więc resztę można wypełnić bajtami zerowymi.

Testy MTU (Maximum Transmission Unit) polegają na wysłaniu ramek o różnych rozmiarach, aby sprawdzić, czy urządzenie sieciowe poprawnie obsługuje standardową ramkę 1518 bajtów oraz jumbo frame (do 9000 bajtów). Jeśli przełącznik nie obsługuje jumbo frame, ramka większa niż 1518 bajtów zostanie odrzucona lub podzielona na fragmenty (fragmentation na warstwie IP, jeśli ramka zawiera pakiet IP).

Testowanie obsługi VLAN 802.1Q polega na wysłaniu ramki z tagiem VLAN (EtherType 0x8100 z odpowiednim VLAN ID i priorytetem) i sprawdzeniu, czy przełącznik poprawnie przekazuje ramkę tylko do portów należących do tego samego VLAN-u. Test MAC flooding (wysyłanie ramek z losowymi źródłowymi adresami MAC) służy do sprawdzenia, jak przełącznik radzi sobie z przepełnieniem tablicy adresów MAC (MAC address table) – przy przepełnieniu przełącznik zaczyna zachowywać się jak hub, wysyłając ramki na wszystkie porty.

Każde z trzech narzędzi do generowania pakietów ma swoje mocne strony. Packeth jest najprostszy – graficzny interfejs umożliwia szybkie tworzenie i wysyłanie ramek Ethernet bez znajomości składni. Jest idealny do nauki budowy ramek Ethernet i testowania warstwy 2. Nie wymaga programowania ani znajomości protokołów warstwy 3 i 4.

hping3 jest narzędziem wiersza poleceń wyspecjalizowanym w generowaniu pakietów TCP/IP z pełną kontrolą nad flagami TCP, numerami sekwencyjnymi, oknami i opcjami IP. Jest często używany w testach odporności firewalli, atakach DoS (SYN flood, ICMP flood) i skomplikowanych testach MTU discovery. Scapy to biblioteka Python oferująca największą elastyczność – pozwala na tworzenie dowolnych pakietów na dowolnej warstwie, automatyzację złożonych scenariuszy testowych i integrację z istniejącymi skryptami Python.

Mapa narzędzi przedstawiona w tabeli podsumowującej pokazuje, że cztery omówione narzędzia uzupełniają się wzajemnie, pokrywając warstwy 2-4 modelu OSI. Yersinia i packeth działają na warstwie 2 (łącza danych), iptraf na warstwach 2-4, a netcat na warstwie 4 (transportowej). Łączne wykorzystanie wszystkich czterech narzędzi pozwala na kompleksową diagnostykę sieci LAN od okablowania po aplikacje.

Wszystkie narzędzia są darmowe i open-source, co czyni je dostępnymi dla każdego administratora sieci. Yersinia (GNU GPL), iptraf-ng (GNU GPL), netcat (różne licencje open-source w zależności od wariantu) i packeth (GNU GPL) mogą być swobodnie używane w celach edukacyjnych i testowych. Dla środowisk produkcyjnych warto rozważyć również narzędzia komercyjne, takie jak SolarWinds, PRTG czy Riverbed, które oferują dodatkowe funkcje raportowania i wsparcia technicznego.

Pytania kontrolne sprawdzają zrozumienie kluczowych koncepcji omówionych w prezentacji. Odpowiedzi: (1) DHCP Starvation – atak wyczerpujący pulę adresów DHCP; (2) iptraf-ng w trybie TCP Connection Monitor; (3) Po stronie odbierającej: nc -lvp 4444 > plik, po stronie wysyłającej: nc IP 4444 < plik; (4) -l (listen);

(5) packeth działa na warstwie 2 (Ethernet), hping3 na warstwie 3-4 (TCP/IP); (6) DHCP Snooping na przełączniku; (7) -n (no DNS); (8) yersinia -I (tryb CLI). Zachęcam do samodzielnego sprawdzenia odpowiedzi poprzez praktyczne wykonanie każdego z opisanych poleceń w środowisku laboratoryjnym.

Zadanie praktyczne łączy w sobie wszystkie cztery narzędzia w jednym scenariuszu laboratoryjnym, co doskonale odzwierciedla rzeczywistą pracę administratora sieci. Rozpoczynając od monitorowania iptraf-ng w celu identyfikacji najbardziej aktywnych hostów, przechodząc do skanowania portów i bannergrabbingu z netcat, a kończąc na wysłaniu testowej ramki Ethernet z packeth i weryfikacji jej odbioru w iptraf.

Aby w pełni wykonać zadanie, należy przygotować środowisko laboratoryjne składające się z co najmniej dwóch maszyn wirtualnych z Linux (np. Kali Linux i Ubuntu) połączonych wirtualnym przełącznikiem. Jedna maszyna pełni rolę atakującego/diagnosty (z zainstalowanymi wszystkimi czterema narzędziami), a druga rolę ofiary (uruchomione usługi SSH, HTTP, FTP). Wykonanie zadania krok po kroku utrwala wiedzę i rozwija praktyczne umiejętności diagnostyczne.