Attacchi di rete. Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2006/2007

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2006/2007

2 Sommario 1 Introduzione al Portscanning 2 3

5 nmap TCP scanning Introduzione al Portscanning TCP connect() scan nmap p x tcpdump -i eth0 tcp port x Porta aperta Porta chiusa

6 nmap TCP scanning Introduzione al Portscanning SYN scan nmap -ss p x tcpdump -i eth0 tcp port x Porta aperta Porta chiusa

7 nmap TCP scanning Introduzione al Portscanning FIN scan nmap -sf p x tcpdump -i eth0 tcp port x Porta aperta Porta chiusa

8 nmap TCP scannig Introduzione al Portscanning Xmas scan nmap -sx p x tcpdump -i eth0 tcp port x Porta aperta Porta chiusa

9 nmap TCP scannig Introduzione al Portscanning Null scan nmap -sn p x tcpdump -ix eth0 tcp port x Porta aperta Porta chiusa

10 nmap TCP scanning Introduzione al Portscanning FTP bounce scan nmap -b Porta aperta Porta chiusa

11 Zombie scan Introduzione al Portscanning Presupposti Presenza di una macchina zombie Possibilità di effettuare spoofing Requisiti zombie Traffico praticamente nullo Predicibilità del campo id dell header IP

12 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie

13 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request -

14 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request - ECHO reply - IP ID: 123

15 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request - ECHO reply - IP ID: 123 ECHO request -

16 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request - ECHO reply - IP ID: 123 ECHO request - ECHO reply - IP ID: 124

17 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request - ECHO reply - IP ID: 123 ECHO request - ECHO reply - IP ID: 124 ECHO request -

18 Esempio Zombie scan (1) Introduzione al Portscanning Attacker Zombie ECHO request - ECHO reply - IP ID: 123 ECHO request - ECHO reply - IP ID: 124 ECHO request - ECHO reply - IP ID: 125

19 Zombie scan (3) Introduzione al Portscanning hping Autore: Salvatore Sanfilippo (antirez) Ideatore dello zombie scan hping in azione hping -1 -r HPING (eth0 ): icmp mode set, 28 headers + 0 data bytes len=28 ip= ttl=64 id=34562 icmp seq=0 rtt=0.1 ms len=28 ip= ttl=64 id=+1 icmp seq=1 rtt=0.1 ms len=28 ip= ttl=64 id=+1 icmp seq=2 rtt=0.1 ms

20 Esempio Zombie scan (2) Introduzione al Portscanning Victim

21 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request

22 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123)

23 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST

24 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST TCP RESET (porta chiusa)

25 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa)

26 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124)

27 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124) TCP SYN (port 80) IP SRC - IP DST

28 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124) TCP SYN (port 80) IP SRC - IP DST TCP SYN/ACK (porta aperta)

29 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124) TCP SYN (port 80) IP SRC - IP DST TCP SYN/ACK (porta aperta) TCP RESET (IP id: 125)

30 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124) TCP SYN (port 80) IP SRC - IP DST TCP SYN/ACK (porta aperta) ECHO request TCP RESET (IP id: 125)

31 Esempio Zombie scan (2) Introduzione al Portscanning Victim ECHO request ECHO reply (IP id: 123) TCP SYN (port 81) IP SRC - IP DST ECHO request TCP RESET (porta chiusa) ECHO reply (IP id: 124) TCP SYN (port 80) IP SRC - IP DST TCP SYN/ACK (porta aperta) ECHO request TCP RESET (IP id: 125) ECHO reply (IP id: 126)

32 Zombie scan (5) Introduzione al Portscanning SYN su porta 81 Spoof sorgente: hping -a -S -p HPING (eth ): S set, 40 headers + 0 data bytes porta chiusa hping -1 -r HPING (eth0 ): icmp mode set, 28 headers + 0 data bytes len=28 ip= ttl=64 id=34562 icmp seq=0 rtt=0.1 ms len=28 ip= ttl=64 id=+1 icmp seq=1 rtt=0.1 ms len=28 ip= ttl=64 id=+1 icmp seq=2 rtt=0.1 ms

33 Zombie scan (6) Introduzione al Portscanning SYN su porta 80 Spoof sorgente: hping -a -S -p HPING (eth ): S set, 40 headers + 0 data bytes porta aperta hping -1 -r HPING (eth0 ): icmp mode set, 28 headers + 0 data bytes len=28 ip= ttl=64 id=34562 icmp seq=0 rtt=0.1 ms len=28 ip= ttl=64 id=+2 icmp seq=1 rtt=0.1 ms len=28 ip= ttl=64 id=+2 icmp seq=2 rtt=0.1 ms

34 nmap TCP scanning Introduzione al Portscanning Zombie scan nmap -si p x Fase 1

35 nmap TCP scanning Introduzione al Portscanning Fase 2 Fase 3 Porta chiusa

36 nmap UDP scanning Introduzione al Portscanning UDP scan nmap -su Porta aperta o filtrata Porta aperta

37 nmap UDP scanning Introduzione al Portscanning Porta chiusa

38 (1) Problema Ftp descritto in RFC 959 Il bounce è una feature Due canali di trasmissione canale comandi (Porta 21) canale dati (Porta 20) Modalità Attiva PORT ip1,ip2,ip3,ip4,ph,pl Passiva PASV

39 (2) Comando PORT PORT ip1,ip2,ip3,ip4,ph,pl tramite PORT, il client comunica al server IP e porta per stabilire la connessione dati. Esempio C () S () PORT 10,0,0,2,4,1 C () S () LIST S (:20) :1025 (canale dati)

40 Esempio sessione ftp normale

41 Esempio sessione ftp normale USER anonymous

42 Esempio sessione ftp normale USER anonymous PASS

43 Esempio sessione ftp normale USER anonymous PASS PORT 10,0,0,2,4,1

44 Esempio sessione ftp normale USER anonymous PASS PORT 10,0,0,2,4,1 LIST

45 Esempio sessione ftp normale USER anonymous PASS PORT 10,0,0,2,4,1 LIST (listato della directory) : :20

46 Esempio sessione ftp normale USER anonymous PASS PORT 10,0,0,2,4,1 LIST (listato della directory) : :20 QUIT

47 Esempio ftpbounce Victim

48 Esempio ftpbounce Victim PORT 10,0,0,3,0,80

49 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST

50 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST (listato della directory) : :80

51 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST Transfer Complete (listato della directory) : :80

52 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST Transfer Complete PORT 10,0,0,3,0,81 (listato della directory) : :80

53 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST Transfer Complete PORT 10,0,0,3,0,81 LIST (listato della directory) : :80

54 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST Transfer Complete PORT 10,0,0,3,0,81 LIST (listato della directory) : :80 (listato della directory) : :81

55 Esempio ftpbounce Victim PORT 10,0,0,3,0,80 LIST Transfer Complete PORT 10,0,0,3,0,81 LIST Cannot build data connection (listato della directory) : :80 (listato della directory) : :81

56 Esempio ftpbounce 2 Victim

57 Esempio ftpbounce 2 Victim PASV

58 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2)

59 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2) STOR listato

60 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2) comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP STOR listato

61 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2) comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP STOR listato put comandi

62 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2) comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP STOR listato put comandi PORT 10,0,0,3,0,21

63 Esempio ftpbounce 2 Victim PASV Entering passive mode (10,0,0,1,4,2) comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP STOR listato put comandi PORT 10,0,0,3,0,21 RETR comandi

64 Esempio ftpbounce 2 Victim comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP PASV Entering passive mode (10,0,0,1,4,2) STOR listato put comandi PORT 10,0,0,3,0,21 RETR comandi contenuto di "comandi" : :21

65 Esempio ftpbounce 2 Victim comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP PASV Entering passive mode (10,0,0,1,4,2) STOR listato put comandi PORT 10,0,0,3,0,21 RETR comandi contenuto di "comandi" : :21 listato : :20

66 Esempio ftpbounce 2 Victim comandi: User anonymous PASS ftp@ PORT 10,0,0,1,4,2 LIST -lsr QUIT NOOP NOOP NOOP... NOOP PASV Entering passive mode (10,0,0,1,4,2) STOR listato put comandi PORT 10,0,0,3,0,21 RETR comandi get listato contenuto di "comandi" : :21 listato : :20

67 (1) Requisiti Spoofing indirizzo sorgente Sottorete che funga da moltiplicatore Risultato Anche da un modem si può intasare una rete

68 (2) Host Host Attacker Router Internet Router Host Hostn Rete Netmask Broadcast

69 (2) Host hping Host2 echo request Attacker echo reply Router Internet Router Host Hostn Rete Netmask Broadcast

70 (2) Host hping Host2 echo request Attacker echo reply Router Internet Router Host Hostn Rete Netmask Broadcast

71 (2) Host hping -1 -a Host2 echo request Attacker Router Internet Router Host3 echo reply Router Hostn Rete Netmask Broadcast Victim1 Victim2 Victim3 Victimn Rete Netmask Broadcast

72 (2) Host hping -1 -a Host2 echo request Attacker Router Internet Router Host3 echo reply Router Hostn Rete Netmask Broadcast Victim1 Victim2 Victim3 Victimn Rete Netmask Broadcast

73 ettercap e etterfilter ettercap ia a multipurpose sniffer/content filter for man in the middle attacks. ettercap [OPTIONS][TARGET 1][TARGET 2] etterfilter The etterfilter utility is used to compile source filter files into binary filter files that can be interpreted by the interpreter in the ettercap filter engine. etterfilter [OPTIONS]FILE

74 M, mitm <METHOD:ARGS> MITM attack. This option will activate the man in the middle attack. The mimt attack is totally independent from the sniffing. The aim of the attack is to hijack packets and redirect them to ettercap. The sniffing engine will forward them if necessary. T, text The text only interface. q, quiet Quiet mode. F, filter <FILE> Load the filter from the file <FILE>.

75 Filtri di etterfilter ig.filter -o ig.ef ettercap -T -q -F ig.ef -M ARP / / //