← Tilbake
Modul 1
Nettverkskommandoer

Bruk terminalen til å kartlegge nettverk, analysere mistenkelig output, og tenk som en angriper.

6 labber Nivå 1–2: Lett Nivå 3–4: Middels Nivå 5–6: Hard
Fremgang0 / 6 fullført
01 Kartlegg maskinen din — ipconfig / ifconfig
LettNivå 1
Nivå 1 — Lokal nettverksinformasjon

Bruk terminalen til høyre til å hente nettverksinformasjon om maskinen. Dette er det første en angriper gjør etter å ha fått tilgang.

Mål
1
Kjør ipconfig — finn IP-adresse, subnettmaske og gateway
2
Er IP-adressen privat eller offentlig? Hvilken klasse?
3
Hva er standard gateway, og hva brukes den til?
4
Prøv også ifconfig og ip a
Private adresser starter med 10., 172.16-31. eller 192.168.. Alt annet er offentlig. Gateway er ruteren — all trafikk ut av nettverket passerer den.
IP: 192.168.1.105 — privat, klasse C. Maske: /24 = 254 mulige enheter. Gateway: 192.168.1.1 — ruteren. En angriper bruker disse for å forstå hvor i nettverket han befinner seg og hva som er nabomaskiner.
Lab 1 fullført!
Terminal — student@cyberlab:~$
Skriv 'help' for tilgjengelige kommandoer
student@cyberlab:~$ 
02 DNS-rekognosering — nslookup og ping
LettNivå 2
Nivå 2 — DNS og tilgjengelighet

DNS oversetter domenenavn til IP-adresser. Angripere bruker DNS-oppslag til å kartlegge infrastruktur uten å røre serverne direkte.

Mål
1
Kjør nslookup vg.no — hvilke IP-er returneres?
2
Kjør nslookup -type=MX vg.no — hva er MX-records?
3
Kjør ping vg.no — svarer serveren? Hva betyr timeout?
4
Forklar: hva kan en angriper lære av DNS-informasjon alene?
MX-records avslører e-postservere. Mange server-typer blokkerer ping (ICMP) for å skjule seg — men de er fremdeles oppe.
DNS gir: IP-adresser, hosting-leverandør, CDN-info, e-postservere (MX), navneservere (NS). Alt uten å sende én pakke til serveren selv — dette kalles passiv rekognosering.
Lab 2 fullført!
Terminal — student@cyberlab:~$
Prøv: nslookup vg.no
student@cyberlab:~$ 
03 Analyser åpne porter — netstat output
MiddelsNivå 3
Nivå 3 — Portanalyse

Netstat-outputen til høyre kommer fra en server. Analyser den og identifiser røde flagg — akkurat slik en SOC-analytiker ville gjort det.

Mål
1
Kjør netstat — les outputen nøye
2
Finn alle røde flagg — hvilke porter er mistenkelige?
3
Hvilken tilkobling indikerer en aktiv bakdør?
4
Hva gjør du som incident responder umiddelbart?
Port 4444 = Metasploit Meterpreter bakdør. Port 23 = Telnet (klartekst). Port 3306 åpen på 0.0.0.0 = database eksponert mot alle.
Røde flagg:
• Port 4444 ESTABLISHED til ekstern IP → aktiv bakdør/C2
• Port 23 LISTENING → Telnet skal ikke eksistere
• Port 3306 på 0.0.0.0 → database eksponert

Umiddelbar handling: Isoler maskinen, ta minnedump, blokker C2-IP i brannmur.
Lab 3 fullført!
Terminal — student@kompromittert-server:~$
Kjør 'netstat' for å se nettverkstilstanden
student@server:~$ 
04 Kartlegg nettverksruten — traceroute
MiddelsNivå 4
Nivå 4 — Nettverkstopologi

Traceroute viser hvert hopp en pakke tar fra din maskin til destinasjonen. Brukes av angripere til å kartlegge infrastruktur og finne svake punkter.

Mål
1
Kjør tracert vg.no og tell antall hopp
2
Hva betyr * * * på et hopp?
3
Sammenlign tracert vg.no og tracert google.com
4
Hva kan traceroute avsløre om intern nettverksstruktur?
* * * betyr at ruteren ikke svarer på ICMP TTL-exceeded — vanlig sikkerhetstiltak. Angripere kan fremdeles bruke TCP-traceroute for å omgå dette.
Traceroute avslører router-navn som ofte inneholder stedsnavn og leverandørinfo: ae0.cr1-osl1.telia.net avslører at Telia brukes i Oslo. En angriper bygger nettverkskart fra slik info for å finne singelpunkter og planlegge angrep.
Lab 4 fullført!
Terminal — student@cyberlab:~$
Prøv: tracert vg.no
student@cyberlab:~$ 
05 SSH vs Telnet — kryptert vs klartekst
HardNivå 5
Nivå 5 — Protokollsikkerhet

Du er en angriper som lytter på nettverkstrafikken. Til høyre ser du to innloggingsforsøk — én via Telnet og én via SSH. Analyser begge.

Mål
1
Les Telnet-pakken — hva kan du se i klartekst?
2
Les SSH-pakken — hva ser du, og hva ser du ikke?
3
Kjør ssh i terminalen — forstå fingerprint-advarselen
4
Forklar: hva er et MITM-angrep, og hvordan stopper SSH-nøkkel det?
SSH-fingerprint er en hash av serverens offentlige nøkkel. Hvis fingerprinten endrer seg neste gang du kobler til, kan noen sitte mellom deg og serveren.
Telnet: Brukernavn og passord i klartekst — Wireshark viser alt direkte.

SSH: Alt kryptert med AES — en avlytter ser bare kryptert støy.

MITM: Angriperen setter seg mellom klient og server. SSH-nøkkelverifisering stopper dette fordi angriperen ikke har serverens private nøkkel.
Lab 5 fullført!
Wireshark — nettverkspakke-analyse (simulert)
No.TimeSourceDestinationProtocolInfo
1 0.000 10.0.0.55 10.0.0.10 TELNET Data: brukernavn=admin passord=Pa$$w0rd123
2 0.142 10.0.0.66 10.0.0.10 SSH Encrypted packet (len=248)
3 0.198 10.0.0.10 10.0.0.66 SSH Encrypted packet (len=192)
Prøv: ssh
student@cyberlab:~$ 
06 Angriper i nettverket — rekognosering innenfra
HardNivå 6
Nivå 6 — Intern rekognosering

Du har nettopp fått tilgang til én maskin i bedriftsnettverket 192.168.10.0/24. Du vet ingenting om resten av nettverket. Bruk kun terminalen.

Mål
1
Finn ut hvem maskinen er og hvor den er i nettverket
2
Finn andre aktive maskiner uten å sende mye trafikk
3
Identifiser tjenester som kjører på nettverket
4
Skriv rekkefølgen på kommandoene du brukte, og forklar hvilke er mest "stille"
Prøv rekkefølgen: whoamiipconfigarp -anetstat -annslookup.

arp -a viser maskiner som allerede er i ARP-cachen — helt stille, ingen ny nettverkstrafikk.
Stileste til støyest:
1. whoami, ipconfig — kun lokal info, null nettverkstrafikk
2. arp -a — leser lokal cache, ingen pakker
3. netstat -an — viser eksisterende tilkoblinger, ingen nye
4. nslookup — kun DNS-forespørsler
5. ping sweep — genererer ICMP, lett å oppdage i IDS
Lab 6 fullført!
Terminal — angriper@kompromittert-pc (192.168.10.45)
Du er inne. Finn ut hva som er rundt deg.
Last login: Mon Mar 24 02:31:44 2026 from 185.220.101.34
angriper@win-pc:~$ 
← Hjem Neste modul: Kryptografi →