SNIFFING. Conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall'utente,

Transcript

1 SNIFFING PACKET SNIFFER Un packet sniffer è un qualsiasi dispositivo, software o hardware, che si connette a reti di computer ed origlia sul traffico di rete. Generalmente si utilizzano software sniffer e il termine in questione si riferisce a: The Sniffer Network Analyzer, il nome del primo programma di questo tipo, sviluppato dalla Network Associates, Inc. e protetto da trademark. Tuttavia la parola 'sniffer' e' ora di uso comune e con essa ci riferiamo a tutti i programmi che implementano quelle stesse funzioni. Si possono dividere i vari tipi di sniffer in due grandi branche: i prodotti commerciali che sono rivolti agli amministratori di rete e alla manutenzione interna delle reti stesse e i prodotti sviluppati nell'underground informatico, spesso dotati di un'incredibile varietà di funzioni ulteriori rispetto ai 'tool' commerciali; entrambi possono essere utilizzati come mezzo per accedere ad una rete. Se vogliamo fare una distinzione che non si basi solo sul prezzo del prodotto o sulla sua provenienza, possiamo considerare i software precedenti come un tutt' uno e rapportarli ad applicativi come gli analizzatori di rete (network analyzer) che danno la possibilità di fare qualche operazione in più rispetto al semplice ascolto e archiviazione dei dati di passaggio su una rete, come compilare statistiche sul traffico e sulla composizione dei pacchetti. Le funzioni tipiche degli sniffer non differiscono di molto e possono essere riassunte sinteticamente in: Conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall'utente, Analisi dei difetti di rete, ad es. perche' il computer 'A' non riesce a dialogare con 'B', Analisi di qualita' e portata della rete (performance analisys), ad es.per individuare colli di bottiglia lungo la rete, Setacciamento automatizzato di password e nomi di utenti (in chiaro o, più spesso cifrati) per successiva analisi (questo è un uso comune degli hackers per consentirgli di accedere ai sistemi), Creazione di log, lunghi elenchi che contengono la traccia, in questo caso, del traffico sulla rete, Scoperta di intrusioni in rete attraverso l'analisi dei log del traffico. COMPONENTI DI UN PACKET SNIFFER Hardware La maggior parte dei prodotti lavora con normali adattatori di rete, per quanto alcuni richiedano un hardware speciale, utilizzando il quale, è possibile analizzare errori hardware come CRC, problemi nel voltaggio o nel cavo, errori di negoziazione e così via. Driver di cattura E la componente più importante. Cattura il traffico di rete dal cavo, filtrandolo secondo i dati richiesti e memorizza quest ultimi in un buffer. Buffer I frames catturati possono essere memorizzati in due modi: o finchè non si riempe il buffer oppure utilizzando il buffer in modalità circolare (Round Robin).Quest ultima modalità di riempimento consiste semplicemente nel sostituire i dati vecchi con quelli nuovi.alcuni prodotti (BlackICE Sentry IDS) supportano in modo completo un buffer di cattura circolare su disco a velocità dell ordine dei 100 mbps.questo permette di avere centinaia di giga di buffer piuttosto che un giga dato da un buffer che sfrutti esclusivamente memoria. 1

2 Analisi in tempo reale Questa componente effettua una prima analisi sui frames così come vengono catturati dal cavo. In questo modo si è in grado di evidenziare problemi di prestazione ed errori durante la cattura.molti produttori hanno cominciato già ad inserire questa funzionalità nelle loro linee di prodotti.i sistemi per il rilevamento delle intrusioni fanno proprio questo al fine di rilevare segni dell attività degli hackers piuttosto che per i problemi relativi agli errori o alle prestazioni. Decodifica Permette di visualizzare il contenuto del traffico di rete accompagnato da una descrizione. RISCHI Gli sniffer rappresentano un rischio elevato per una rete o per un pc dell utente medio. La semplice esistenza di uno sniffer rappresenta una falla ed una minaccia alla sicurezza ed alla riservatezza delle comunicazioni all interno della rete. Se la LAN è sottoposta al controllo di uno sniffer ci sono due possibilità di rischio: o un intruso dall esterno è riuscito ad installare uno sniffer all interno della rete oppure un utente o il gestore della rete stessa ne sta facendo uso improprio (i.e. oltre al monitoraggio e alla manutenzione). I dati maggiormente a rischio sono le password personali utilizzate per accedere ai più svariati servizi di rete (login utente, accesso al proprio spazio su disco) o a servizi internet (la mail-box!), poiché la richiesta di accesso e quindi l invio di password rientra tra i primi pacchetti che vengono inviati per ogni tentativo di connessione al servizio prescelto dall utente ed è il primo dato che generalmente viene filtrato dallo sniffer. Inoltre i servizi in rete o web utilizzano protocolli di autenticazione del tutto in chiaro. E improbabile comunque che lo sniffer sia dotato di supporti che permettano di catturare tutto il traffico in passaggio dal network ed in più all aumentare del traffico in rete aumentano anche i pacchetti persi. Ciò ovviamente non significa che una rete più grande fornisca maggior sicurezza. FUNZIONAMENTO DI UN DISPOSITIVO DI SNIFFING Un dispositivo di sniffing analizza e processa i pacchetti che arrivano al suo dispositivo di rete. L hardware ethernet ovviamente si presta a questo tipo di attacco visto che più macchine condividono lo stesso cavo ethernet (o con una topologia ad anello con cavo coassiale o a stella con hub centrale). L attività di sniffing all interno di questo tipo di rete può essere menomata sostituendo switch a hub: si possono incontrare solo pacchetti originati dal o destinato al computer locale, oltre ai soliti broadcast. Esiste tuttavia una tecnica piuttosto evoluta (arp spoofing) tramite la quale è possibile sniffare i pacchetti di terzi anche in una rete di tipo switched. Questo concetto di condivisione del cavo non è previsto invece dai modem dial-up visto che si presuppone che ogni dato inviato dal modem sia destinato al capo opposto della linea telefonica. Quando sono inviati i pacchetti (con le varie intestazioni di livello TCP/IP) tutti gli adattatori hardware presenti vedono i frame, incluso l adattatore della macchina destinatario (solitamente un router), lo sniffer e qualsiasi altra macchina.gli adattatori in genere hanno però un chip hardware che confronta l indirizzo di destinazione MAC del frame con il proprio.visto che questo avviene al livello hadware, la macchina alla quale è collegato l adattatore è all oscuro del processo. Normalmente dunque solo l interfaccia del destinatario passa i dati allo strato superiore mentre nel caso in cui sia installato un dipositivo di sniffing il funzionamento è differente. Telnet HTTP TCP UDP IP Link Layer A ftp Telnet HTTP TCP UDP IP Link Layer B ftp Y,B,TCP,23,abcdef 1

3 Sniffing e TCP/IP Istanza di Netscape associata dal sistema alla porta Tcpdump o altro sniffer può sapere chi parla con chi e cosa dicono TCP UDP IP,ICMP Ethernet device driver S.O Copia dei pacchetti inviati Copia dei pacchetti ricevuti Filtro nel S.O. BPF Driver header etherne,<datagramma IP> Le API del sistema operativo permettono di leggere tutto ciò che passa sul canale ponendo l interfaccia di rete in modalità promiscua. In tal caso i dati vengono consegnati all applicazione che li richiede in modo grezzo, senza che essi passino attraverso gli opportuni strati di protocollo.resta a carico dello sniffer effettuare un interpretazione dei pacchetti e assemblare i dati. Vediamo che accade all interno di un Sistema Operativo: supponiamo di avere un istanza di Netscape associata ad una determinata porta;ora questa istanza passa attraverso i protocolli TCP/IP prima di accedere al cavo.a questo punto, attraverso il dispositivo ethernet, viene fatta una copia dei pacchetti inviati e dei pacchetti ricevuti e poiché il programma di sniffing TCPdump o un altro sniffer ha settato l interfaccia in modalità promiscua, tutti i dati saranno consegnati a questa applicazione attraverso il filtro del sistema operativo. Nei sistemi Unix la programmazione di rete avviene mediante i socket. Attraverso queste API il programmatore ottiene un controllo più o meno elevato della comunicazione in rete, ma deve gestire molti dettagli implementativi. Esistono per questo molte librerie che semplificano l utilizzo della rete.la libreria pcap (Packet Capture) rende relativamente semplice la cattura dei pacchetti, offre un interfaccia di programmazione per la cattura dei pacchetti di facile utilizzo ed è indipendente dal tipo di dispositivo di rete. TCP/IP agevola gli sniffer TCP/IP non offre alcun meccanismo di protezione dei dati che viaggiano in chiaro ed inoltre non è fornito alcun modo per garantire l autenticità degli interlocutori. Un altra caratteristica di TCP/IP utilizzata dagli sniffer è il numero di sequenza dei segmenti TCP.Lo sniffer li conosce, in quanto viaggiano in chiaro, e quindi può usarli per introdursi nella comunicazione al posto di un altro utente e,ad esempio, ponendo un attacco DoS rendere l ipotetica vittima incapace di comunicare.in questo modo anche se si è effettuato un riconoscimento, magari cifrato, l intruso potrebbe continuare le operazioni senza essere scoperto. Sostituirsi all indirizzo MAC vittima Questo è possibile sia in una rete di tipo shared che di tipo switched (a causa della caratteristica di apprendimento automatico dello switch) semplicemente inviando pacchetti con l indirizzo sorgente della vittima.ci sono tre modi per modificare l indirizzo MAC di una macchina e quindi sostituirsi alla vittima ( spoof ). 1. L indirizzo MAC è parte dei dati del frame quindi, inviando un frame ethernet sul cavo, è possibile sovrascriverne i contenuti con i propri. Chiaramente, bisogna avere in esecuzione un programma che faccia questo per qualche motivo. 2. La maggior parte degli adattatori permette di riconfigurare al volo l indirizzo MAC. Per esempio, alcune schede permettono di riconfigurare l indirizzo dall interno del pannello di controllo di Windows. 3. E possibile scrivere nuovamente (ad esempio, riprogrammando la EEPROM) l indirizzo della scheda. E necessario un programma/hardware che conosca le specifiche del chipset utilizzato dalla scheda.questo modifica la scheda per sempre con il nuovo indirizzo. 1

4 PROTOCOLLI VULNERABILI Telnet e rlogin La cattura dei pacchetti permette di avere tasti che l utente preme man mano che questi vengono dati.esistono programmi che si occupano di catturare il testo e lo scaricano verso un emulatore di terminale che ricostruisce esattamente quello che l utente finale vede.questo fornisce una vista in tempo reale dello schermo dell utente remoto http La versione di default di http ha numerosi bachi.diversi siti web utilizzano il metodo di autenticazione Basic, che invia le password sul cavo in chiaro.altri siti web utilizzano un altra tecnica richiedendo all utente un nome e la password ma anche in questo caso i dati sono spediti in chiaro. Snmp E il protocollo di monitoraggio e controllo dei dispositivi di rete quali router, hub, server, switch.quasi la totalità del traffico snmp è di tipo snmpv1 che utilizza l invio dei nomi di community,utilizzati come password,in chiaro. Nntp Protocollo per le news per cui l autenticazione avviene attraverso delle password spedite in chiaro. Pop Password e dati spediti in chiaro. Ftp Passoword e dati spediti in chiaro. Imap Protocollo che elabora la posta su un server remoto e centralizzato.le password e i dati sono anche qui spediti in chiaro. Da notare che tutti questi sistemi hanno alternative sicure.inserendo dati come quelli relativi alle carte di credito, la maggior parte dei siti web utilizzano metodi crittografici come quelli offerti da SSL, piuttosto che il normale http. Allo stesso modo, S/MIME e PGP possono cifrare la posta elettronica ad un livello maggiore rispetto ai protocolli come Pop/Imap/Smtp. 4

5 ANALISI DI PROTOCOLLO L analisi di protocollo è il processo di cattura (con i programmi di cattura) e osservazione del traffico di rete,di modo da capire cosa accada. I dati inviati sul cavo vengono pacchettizzati e quindi riassemblati sul lato opposto. Di seguito vi è un esempio di pacchetto preso da uno sniffer che scarica pagine da un sito web BA 5E BA A0 C9 B0 5E BD ^...^ DC 1D E F 06 C2 6D 0A A 00...@...m C D0 00 C0 04 AE 7D F P.u...}.P F F 31 2E py.'..http/ F 4B 0D 0A A E OK..Via: D 0A F D 43 STRIDER..Proxy-C 060 6F 6E 6E F 6E 3A 20 4B D onnection:.keep C D 0A 43 6F 6E E 74 2D 4C Alive..Content-L E A D 0A 43 6F ength: co 090 6E E 74 2D A ntent-type:.text 0A0 2F D 6C 0D 0A A 20 4D /html..server:.m 0B F 73 6F D F 34 2E 30 icrosoft-iis/4.0 0C0 0D 0A A E 2C Date:.Sun,.25 0D0 4A 75 6C A A 35 Jul :45:5 0E D 54 0D 0A D GMT..Accept-Ra 0F0 6E A D 0A 4C nges:.bytes..las D 4D 6F A 20 4D 6F 6E 2C t-modified:.mon A 75 6C A.19.Jul A D 54 0D 0A A 39:26.GMT..Etag "08b78d3b9d1be A D 0A 0D 0A 3C C 65 3E :a4a" E E E F 72 Sniffing.(networ 160 6B C E k.wiretap,.sniff C 2F C 65 3E 0D er).faq</title> A 0D 0A 3C E 53 6E E <h1>Sniffing E F 72 6B (network.wiretap 1A0 2C E C 2F,.sniffer).FAQ</ 1B E 0D 0A 0D 0A F h1>...this.docu 1C0 6D 65 6E E ment.answers.que 1D F 6E F stions.about.tap 1E E E 74 6F 20 0D 0A 63 6F 6D 70 ping.into...comp 1F E F 72 6B E uter.networks.an... Sono presenti i primi 512 byte del pacchetto in rappresentazione standard in formato Hexdump di un pacchetto inviato in rete, prima di essere decodificato. Un HexDump ha tre colonne: l offset, i dati in formato esadecimale e l equivalente formato ASCII.Questo pacchetto contiene 14 byte di intestazione Ethernet, 20 byte di intestazione IP, 20 byte di intestazione TCP, un intestazione http e quindi i dati. Il motivo per cui vengono visualizzati sia in formato esadecimale che ASCII è dato dal fatto che a volte è piuù semplice leggere l uno o l altro.per esempio, nella parte superiore del pacchetto, l ASCII non ha alcun significato apparente ma il formato esadecimale è leggibile, per cui è possibile dire che l indirizzo MAC sorgente è BA- 5E-BA-11. 5

6 Un analizzatore di protocollo prenderà questo Hexdump ed interpreterà così i singoli campi: ETHER: Destination address : 0000BA5EBA11 ETHER: Source address : 00A0C9B05EBD ETHER: Frame Length : 1514 (0x05EA) ETHER: Ethernet Type : 0x0800 (IP) IP: Version = 4 (0x4) IP: Header Length = 20 (0x14) IP: Service Type = 0 (0x0) IP: Precedence = Routine IP: = Normal Delay IP: = Normal Throughput IP: = Normal Reliability IP: Total Length = 1500 (0x5DC) IP: Identification = 7652 (0x1DE4) IP: Flags Summary = 2 (0x2) IP:...0 = Last fragment in datagram IP:...1. = Cannot fragment datagram IP: Fragment Offset = 0 (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protocol = TCP - Transmission Control IP: Checksum = 0xC26D IP: Source Address = IP: Destination Address = TCP: Source Port = Hypertext Transfer Protocol TCP: Destination Port = 0x0775 TCP: Sequence Number = (0x5D000C0) TCP:Acknowledgement Number = (0x4AE7DF5) TCP: Data Offset = 20 (0x14) TCP: Reserved = 0 (0x0000) TCP: Flags = 0x10 :.A... TCP: = No urgent data TCP: = Acknowledgement fieldsignificant TCP: = No Push function TCP: = No Reset TCP:...0. = No Synchronize TCP:...0 = No Fin TCP: Window = (0x7079) TCP: Checksum = 0x8F27 TCP: Urgent Pointer = 0 (0x0) HTTP: Response (to client using port 1909) HTTP: Protocol Version = HTTP/1.1 HTTP: Status Code = OK HTTP: Reason = OK... La decodifica di protocollo funziona in questo modo: estraendo ogni campo dal pacchetto cercando di dare una spiegazione ad ogni singolo numero.alcuni campi sono piccoli quanto un singolo bit, altri superano diversi byte. Se ne conclude, dunque, che l analisi di protocollo è piuttosto complessa e richiede un ampia conoscenza del protocollo per essere portata a termine con successo. La ricompensa è che in questo modo si ottengono molte informazioni dai protocolli.queste informazioni possono essere utili agli amministratori di rete durante la risoluzione di problemi oppure agli hackers che cercano di accedere ai sistemi. CATTURARE IL TRAFFICO IN UNA RETE DI TIPO SWITCHED Switch jamming Alcuni switch possono essere portati dalla modalità bridge alla modalità hub (i.e semplici ripetitori). Questo è ottenibile sovraccaricando la tabella degli indirizzi con numerosi indirizzi MAC falsi. Tutto ciò si ottiene con una semplice fase di generazione di traffico, o inviando un flusso continuo di traffico casuale attraverso lo switch.in termini di sicurezza questo comportamento è noto come fail open nel senso che quando il dispositivo commette errori di trasmissione vengono rimosse tutte le condizioni di sicurezza. Questo perché gli switch non sono stati sviluppati avendo la sicurezza come punto prioritario. 6

7 ARP redirect I pacchetti ARP (Adress Resolution Protocol) contengono, come sappiamo, sia l associazione locale (MAC-IP) che quella desiserata.se, ad esempio, Alice ha intenzione di inviare un pacchetto ICMP ping (Internet Control Message Protocol) e non conosce l indirizzo MAC di Bob (non è presente nella sua cache ARP) invia una richiesta ARP per la risoluzione dell indirizzo.essa è inviata in Broadcast quindi un eventuale attaccante può introdursi nella comunicazione, come avevamo visto in precedenza, attraverso una tecnica di spoof anche se non ha partecipato allo scambio di battute originale. E possibile inviare un pacchetto in broadcast sostendendo di essere il router, in tal caso ognuno tenterà di instradare i pacchetti verso di lui (il problema è il rischio che si possa saturare). Oppure è possibile inviare una richiesta Arp solo all indirizzo Mac della vittima, sostenendo di essere il router, a questo punto solo la vittima inoltrerà i pacchetti verso di lui.al contrario è possibile inviare un pacchetto ARP all indirizzo MAC del router sostenendo di essere la vittima.ovviamente le entries della cache sono provviste di timeout,quindi l attaccante dovrà periodicamente rinfrescarle. Questo produce buoni risultati con i sistemi Windows visto che non fa altro che chiudere tutte le proprie connessioni in corso, dando in questo modo la possibilità di sostituirsi alla vittima. ICMP redirect Un ICMP redirect indica alla macchina di inviare i suoi pacchetti in una direzione diversa.un esempio tipico è quello delle subnet logiche sullo stesso segmento fisico.quando un host vuole comunicare e non sa di essere sullo stesso segmento fisico dell ipotetico interlocutore invia i pacchetti al router ma il router invia un ICMP redirect per informarlo del fatto che può inviare i pacchetti direttamente all indirizzo MAC del destinatario. ICMP Router Advertisment L ICMP Router Advertisment informa gli utenti su chi sia il router.un hacker può inviare questi pacchetti sostenendo di essere il router; gli utenti crederanno a questi pacchetti ed inizieranno ad inoltrare i pacchetti verso di lui. Fortunatamente, molti sistemi non supportano tale caratteristica visto che è relativamente nuova.ma anche ora che le implementazioni relative alla sicurezza sono ben note molti sistemi non le supportano. SNIFFING CON MODEM Un primo problema sta nel fatto che un cable-modem si divide in due canali asimmetrici: upstream e downstream. Infatti, esso può ricevere-solo da un canale ad alta velocità (tra i 30 mbs e i 50 mbs), e trasmettere-solo su un canale a bassa velocità (tipicamente un mbs). Ci sono diversi cavi-modem che quando lavorano su un segmento non possono lavorare su un altro diverso. I cablemodem sono ponti o routers e separano gli indirizzi MAC dagli indirizzi IP; ciò vuol dire che settare il proprio adattatore ethernet in modalità promiscua non ha alcun effetto su di esso. Quando il cable-modem è un ponte, qualche volta può essere riconfigurato per lasciar passare tutto il traffico. Tradizionalmente quindi non è possibile sniffare sul cavo modem. Lasciando fuori dunque il discorso della cattura tradizionale esistono altre tecniche per poterlo fare.prima di tutto è possibile catturare i pacchetti di broadcast, multicast, semi-direct.per esempio, se qualcuno avviasse PCAnywhere, quest ultimo invierebbe un pacchetto PCAnywhere a tutti i vicini.in questo modo segnalerebbe la presenza di qualcuno che potrebbe avere PCAnywhere in esecuzione e di un qualcun altro che potrebbe subire un azione di hacking. La media del segmento cable-modem è piena di altri broadcast, come i pacchetti NetBios (pubblicano i nomi utente), broadcast SNMP (rendono pubblici gli apparati di rete come router e stampanti), ecc.. Per permettere inoltre la cattura delle connessioni ci sono, analogamente alle reti di tipo switched, i metodi: ARP: spacciarsi per qualcun altro attraverso l invio di un pacchetto ARP. ICMP REDIRECT: ridirezionare il traffico ad esempio sul proprio sistema anzichè sul router locale. ICMP ROUTER ADVERTISMENT: ridireziona il traffico convincendo una macchina che il proprio sistema è il router. 7

8 SNIFFING SENZA ACCESSO AL CAVO Si vogliono catturare i pacchetti da una connessione tra due persone senza avere accesso al cavo.questo ovviamente è impossibile ma ci sono in ogni caso dei modi per arrivare ad accedere all comunicazione. ACCESSO REMOTO AL CAVO Accedere ai sistemi ed installarvi un software di cattura che possa essere controllato da remoto. Accedere al relativo ISP ed installarvi il software di cattura. Trovare un sistema presso l ISP che supporti la cattura, tipo una sonda RMON (Remote MONitoring: standard basato su SNMP che permette la gestione del traffico in rete) oppure DDS (Distributed Sniffer System).. NELLE VICINANZE DEL CAVO In alcune situazioni, come i cable-modems, DSL, VLAN ETHERNET, ecc. è possibile dirottare il traffico che scorre tra due utenti come abbiamo visto prima. ROOKITS E ADMIN TROJANS Un altra possibilità è data dall accesso al sistema di un utente e la successiva installazione di un programma sniffer. Su UNIX, i programmi di sniffing sono parte integrante della maggior parte dei rookits (strumenti automatici di scansione e sfruttamento di vulnerabilità). In Windows la capacità rientra all interno di alcuni RAT (come BackOrifice). In teoria questi programmi possono essere usati per sniffare traffico in generale e solitamente sono configurati per sniffare semplicemente e password. BREVE PANORAMICA SUI PROGRAMMI DI INTERCETTAZIONE Programmi realizzati con funzioni di monitoring ed analisi: Sniffer Network Analyzer: ha dato vita a tutti i prodotti di questo genere, (DOS). Ethereal: è il miglior programma sniffer con interfaccia grafica per LINUX. Supersniffer: è un avanzato sniffer di pacchetto basato su libcap ma con molte modifiche tipo l uso della crittografia DES per il file di log, la possibilità di memorizzare il traffico in base a ricorrenze di normali espressioni, connessioni POP e FTP memorizzate su una singola linea, scarto dello sporco introdotto dalla fase di negoziazione telnet, scarto delle connessioni duplicate, riassemblamento dei pacchetti tcp, memorizzazione delle connessioni tcp in parallelo,modalità demone per la memorizzazione dei log su una porta specifica fornita di autenticazione ecc., (UNIX). BlackICE Pro: è un sistema di rilevamento delle intrusioni che può anche memorizzare su disco i file contenenti gli indizi utilizzando un formato che può essere letto utilizzando altri analizzatori di protocollo.e utilizzabile solo in modalità non promiscua e può quindi catturare solo i pacchetti diretti o che partono dalla macchina dalla quale è installato, (WINDOWS). Windows Network Monitor: analogo ad Ethereal per Windows. Tcpdump: è uno strumento di sniffing particolarmente flessibile e diffuso nel mondo di Linux.E simile a snoop, più diffuso su Solaris, e permette di analizzare il tipo di pacchetti che passano per l interfaccia di rete specificata.va sottolineato che Tcpdump NON visualizza il contenuto dei pacchetti ma le loro intestazioni (protocollo, IP sorgente, destinazione, porte ecc.) per cui si presta bene alla diagnostica di problemi di networking ma non ad un attività di cracking., TCPdump è la versione di UNIX di un decodificatore di pacchetti. Originalmente scritto da Van Jacobsen per analizzare problemi di performance di TCP, ed oggi giorno grazie a versioni più aggiornate viene ancora largamente utilizzato.tcpdump deve potere mettere l'interfaccia (tipicamente un Ethernet) in maniera promiscua per leggere tutto il traffico della rete. Usi del TCPdump: il più semplice modo per usare TCPdump è di eseguirlo ponendo un ` -i ' switch per specificare quale interfaccia della rete dovrebbe essere usata. Esso darà delle informazioni riassuntive per ogni pacchetto ricevuto o trasmesso sull'interfaccia.tcpdump prevede molte 8

9 importanti opzioni, così come l'abilità di specificare un'espressione per restringere la serie di pacchetti che si desidera studiare, (UNIX) Programmi utilizzati per attività di hacking Ettercap: l impossibilità di analizzare il traffico con sorgente e destinazioni diverse da quelle locali è una limitazione degli sniffer normali quando vengono utilizzati in ambienti switchati. Sviluppato da due programmatori italiani è uno sniffer evoluto che permette di sniffare tutto il traffico anche in reti in cui è presente uno switch con un attività arp cache poisoning (vengono mandate arp reply infinite, che associano il MAC address della macchina su cui gira ettercap agli IP sorgente e destinatario, rispettivamente al destinatario e al sorgente), tramite la quale si frappone fra le macchine ignare e la macchina bersaglio (che può essere un server o il default gateway di una rete). Ettercap inoltre offre una serie di feature che fanno la gioia di ogni hacker: - SSH 1 e HTTPS password sniffing; - Password collection per una moltitudine di protocolli; - OS fingerprinting per il riconoscimento dei sistemi operativi sugli host trovati in rete; - Possibilità di killare una connessione o inserire caratteri estranei; - Supporto di plugin vari che a loro volta presentano features quali DNS spoofing Dsniff: è una collezione di tools che permette diversi tipi di attacchi.i tools Poisoning, Sniffing,SSH Sniffing (detto proxy attack) infatti sono tools per attacchi di tipo arp cache poisoning mentre Dnsspoof è una programma per attacchi di tipo Dns spoofing. Sniffit: la sua vera potenza è nella possibilità di scrivere Plug-in ad hoc anche se non per tutte le situazioni, ma solo per quelle per cui lo sniffer è stato scritto. Infatti SNIFFIT inizialmente è nato per "spiare" le sessioni TELNET ed FTP. Successivamente è stato ampliato e potenziato rendendolo un valido strumento per l'analisi di rete ed è incluso addirittura nelle distribuzioni di TRINUX. Può produrre due tipi di output, uno contenente solo il carico dei pacchetti in formato ASCII, esadecimale o decimale, un altro in stile libpcap (pacchetti rozzi) e pertanto utilizzabile anche da altre applicazioni come TCPDUMP o altri sniffer. Snort: sniffer e logger con intense capacità di filtraggio, (UNIX). Programmi per la Topologia della rete. Sono applicazioni in grado di descrivere la rete nelle sue connessioni fra le varie macchine. NMAP: scritto da Fyodor, noto Hacker, è forse il programma più completo per questa categoria. Permette di effetuare il port-scanning di macchine su una rete anche in modo invisibile sfruttando le debolezze e le caratteristiche dello stack TCP/IP. Risulta particolarmente utile quando si vuole vedere se una macchina può accettere connessioni su determinate porte. QUESO: è in grado di stabilire qual è il sistema operativo girante su macchine remote in base al diverso comportamento degli stessi nelle risposte a tentativi di connessione remota. COME DIFENDERSI? I metodi di rilevamento e difesa da questo tipo di attacchi sono rimandati al seminario sui METODI DI DIFESA.Ricordiamo comunque che la miglior difesa in questo caso è la cifratura dei dati. 9