diplomová práce

Rozšíření funkcionality nástroje ptnetinspector

Text práce 4.67 MB Příloha 47.44 MB

Autor práce: Ing. Tomáš Tesař

Ak. rok: 2025/2026

Vedoucí: doc. Ing. Jan Jeřábek, Ph.D.

Oponent: Ing. Ondřej Dohnal

Abstrakt:

Tato práce rozšiřuje a~ověřuje funkcionalitu nástroje ptnetinspector, určeného pro~průzkum a~penetrační testování sítí především s využitím protokolu IPv6. Teoretická část popisuje architekturu IPv6, protokoly ICMPv6, NDP, MLD a~rozšiřující záhlaví se~zaměřením na~specifika ovlivňující automatizované objevování uzlů. Pro~účely testování bylo~sestaveno virtuální prostředí v~programu GNS3 s~různými operačními systémy, v~němž byla~systematicky porovnána původní a~rozšířená verze nástroje. Bylo~odhaleno a~opraveno několik chyb, zejména nesprávné typy voleb rozšiřujících záhlaví IPv6, práce se~zdrojovými porty protokolů mDNS, LLMNR a~DNS-SD a~race condition při~souběžném odesílání paketů. Rozšířená verze nově implementuje správu multicastových skupin prostřednictvím protokolů IGMP a~MLD, čímž umožňuje spolehlivý provoz v~přepínaných sítích se~správou multicastu. Průzkum pomocí rozšiřujících záhlaví IPv6 byl~doplněn o~nové testy s~prázdnou datovou částí, které~detekují uzly blokující zprávy ICMPv6 Echo Request a Echo Reply. Dalšími vylepšeními jsou~paralelizace několika testů, deduplikace v~paměti, zkrácení čekacích dob a~jemnější granularita výstupu zranitelností na~úrovni IP adres. Nová verze dosahuje výrazné zkrácení doby skenu ve~všech testovaných scénářích a~zároveň detekuje nové typy zranitelností.

Klíčová slova:

IPv6, síťová analýza, objevování uzlů, ICMPv6, Neighbor Discovery Protocol, Multicast Listener Discovery, rozšiřující záhlaví IPv6, ptnetinspector, skenování sítí, bezpečnost protokolu IPv6

Termín obhajoby

09.06.2026

Výsledek obhajoby

obhájeno (práce byla úspěšně obhájena)

znamkaAznamka

Klasifikace

A

Průběh obhajoby

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky: Jak byste metodicky porovnal ptnetinspector s nástroji jako Nmap nebo THC-IPv6? Jakým způsobem jste ověřil, že nově implementované testy nezvyšují počet falešně pozitivních výsledků? Jaká bezpečnostní a provozní rizika jsou spojena s použitím agresivního režimu nástroje v produkční síti? Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.

Jazyk práce

čeština

Fakulta

Ústav

Studijní program

Informační bezpečnost (MPC-IBE)

Složení komise

Ing. Ondřej Krajsa, Ph.D. (člen)
Ing. Jan Skapa, Ph.D. (člen)
Ing. Róberta Hlavatá, Ph.D. (člen)
JUDr. Mgr. Jakub Harašta, Ph.D. (člen)
doc. Ing. Rastislav Róka, PhD. (předseda)
doc. Ing. Jan Jeřábek, Ph.D. (místopředseda)
Ing. Ondřej Klíčník (člen)
Ing. Vojtěch Kovanda (člen)

Diplomová práce studenta Bc. Tomáše Tesaře navazuje na výzkum probíhající na Ústavu telekomunikaci a také na dříve vytvořené diplomové práce. Studentovi se podařilo v tématu skenování IPv6 i IPv4 sítí významně postoupit. Hlavním jádrem práce je vytvořený zdrojový kód skenovacího nástroje (ptnetinspector, ve verzi 0.2) v jazyce python, který splňuje všechny požadavky upřesněné v průběhu řešení ze strany vedoucího práce. Dále práce obsahuje také výsledky otestování nástroje. Vytvořené dílo je velmi dobře použitelné, program např. lépe vyhodnocuje nalezené zranitelnosti či řádově efektivnější a rychlejší běh. Text práce obsahuje i části nad rámec zadání diplomové práce, zejména nástroje na automatizované vytvoření a spouštění virtuálního testovacího prostředí. Student k řešení přistupoval aktivně a pravidelně svůj postup konzultoval s vedoucím práce. S literaturou pracoval odpovídajícím způsobem, přiměřeně a samostatně. Student také v souladu s pokyny vedoucího a pravidly VUT využíval při svém postupu dostupné AI nástroje. Z formálního hlediska je práce na vysoké úrovni.  Výsledná práce představuje velmi zdařilé inženýrské dílo. Vzhledem k výše uvedenému navrhuji hodnocení A/95 bodů. Výsledný počet bodů navržený vedoucím: 95

Známka navržená vedoucím: A

Posudek oponenta
Ing. Ondřej Dohnal

Diplomová práce studenta Bc. Tomáše Tesaře se zabývá rozšířením funkcionality nástroje ptnetinspector. Student nejprve zpracoval teoretický úvod do problematiky IPv6, ICMPv6, NDP, MLD, rozšiřujících záhlaví IPv6 a dalších protokolů využitelných při průzkumu sítě. Praktická část popisuje konkrétní úpravy nástroje, zejména implementaci správy multicastových skupin pomocí IGMP a MLD, opravy testů využívajících IPv6 rozšiřující záhlaví, doplnění nových testů, zpřesnění vyhodnocování zranitelností na úroveň IP adres, úpravy výstupů a optimalizaci běhu nástroje. Funkčnost je ověřena ve virtuálním prostředí GNS3 i v reálné síti. Lze konstatovat, že cíle práce byly splněny. Prezentační úroveň technické zprávy je dobrá. Práce má odpovídající rozsah, logickou strukturu, je čtivá a obsahuje množství ukázek výstupů. Slabší stránkou je místy popisný charakter textu. Formální úprava práce je na dobré úrovni. Jazyková úroveň je převážně dobrá, text je srozumitelný a odborný. Vyskytují se však drobné stylistické neobratnosti, opakující se formulace a místy těžkopádnější větná stavba. Nedostatkem shledávám chybějící text mezi nadpisy. (kap 3, 3.1, 3.1.1). Tyto nedostatky však zásadně nesnižují srozumitelnost práce. Student pracuje s relevantní odbornou literaturou, zejména s RFC dokumenty a technickými specifikacemi protokolů. Celkem je citováno 33 pramenů, z nichž 24 jsou RFC dokumenty. Citace jsou využívány účelně. Práce s literaturou mohla být kritičtější ve vztahu k porovnání vlastního řešení s jinými nástroji a přístupy. Odbornou úroveň práce hodnotím jako velmi dobrou. Student prokázal schopnost analyzovat existující nástroj, identifikovat jeho nedostatky, navrhnout a implementovat relevantní rozšíření a ověřit jejich funkčnost. Realizační výstup je prakticky využitelný a přináší měřitelné zlepšení vlastností nástroje, zejména v oblasti detekce, práce s multicastem a rychlosti skenování. Výsledky práce mohou být využity při dalším vývoji. Celkově práci považuji za kvalitní, technicky přínosnou a odpovídající zadání. Požadavky zadání byly splněny. Mírné nedostatky spatřuji v menší metodické hloubce experimentálního vyhodnocení, omezeném kritickém srovnání s existujícími nástroji a drobných jazykových nedostatcích. Tyto výhrady však nemění skutečnost, že práce má jasný realizační výstup a prokazuje vysokou odbornou úroveň studenta.

Souhrnné hodnocení:
Práce splňuje hlavní body zadání. Technický výstup je funkční a prakticky využitelný, zpracování je celkově kvalitní, s mírnými výhradami. Vzhledem k výše uvedenému navrhuji hodnocení A/92. Otázky k obhajobě:
  1. Jak byste metodicky porovnal ptnetinspector s nástroji jako Nmap nebo THC-IPv6?
  2. Jakým způsobem jste ověřil, že nově implementované testy nezvyšují počet falešně pozitivních výsledků?
  3. Jaká bezpečnostní a provozní rizika jsou spojena s použitím agresivního režimu nástroje v produkční síti?
Výsledný počet bodů navržený oponentem: 92

Známka navržená oponentem: A

Odpovědnost: Mgr. et Mgr. Hana Odstrčilová