Attacchi di rete. Alessandro Reina Aristide A.A

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Attacchi di rete Alessandro Reina <ale@security.dico.unimi.it> Aristide Fattori<joystick@security.dico.unimi.it> A.A Alessandro Reina Attacchi di rete A.A / 36

2 Background Networking: comunicazione standard protocolli Modello ISO/OSI Applicazione Incapsulamento Presentazione Sessione Trasporto Rete Data Link Fisico Alessandro Reina Attacchi di rete A.A / 36

3 Background Networking: comunicazione standard protocolli Modello ISO/OSI Incapsulamento Applicazione Presentazione Sessione Trasporto Rete Data Link Fisico Applicazione + protocollo (ftp, telnet, http, etc.) Alessandro Reina Attacchi di rete A.A / 36

4 Background Networking: comunicazione standard protocolli Modello ISO/OSI Applicazione Incapsulamento Presentazione Sessione Trasporto Rete Data Link Fisico TCP (segment), UDP (datagram), etc. Alessandro Reina Attacchi di rete A.A / 36

5 Background Networking: comunicazione standard protocolli Modello ISO/OSI Applicazione Incapsulamento Presentazione Sessione Trasporto Rete Data Link Fisico IP (datagram), ICMP, ARP etc. Alessandro Reina Attacchi di rete A.A / 36

6 Background Networking: comunicazione standard protocolli Modello ISO/OSI Applicazione Incapsulamento Presentazione Sessione Trasporto Rete Data Link Fisico Protocollo rete fisica (PPP (frame), etc.) Alessandro Reina Attacchi di rete A.A / 36

7 Background IPv4 address Ogni host possiede un proprio indirizzo IP (32 bit) generalmente nella forma: IP = NetId - SubnetId - HostId Subnet mask La subnet mask definisce il confine (perimetro) tra host e NetId - SubnetId. CIDR (Classless Inter-Domain Routing) IP = w.x.y.z/n n: indica il numero di bit che compongono NetId - SubnetId Esempio NetId - SubnetId = Subnet mask = Notazione CIDR = /24 Alessandro Reina Attacchi di rete A.A / 36

8 Background IPv4 address Ogni host possiede un proprio indirizzo IP (32 bit) generalmente nella forma: IP = NetId - SubnetId - HostId Subnet mask La subnet mask definisce il confine (perimetro) tra host e NetId - SubnetId. CIDR (Classless Inter-Domain Routing) IP = w.x.y.z/n n: indica il numero di bit che compongono NetId - SubnetId Esempio NetId - SubnetId = Subnet mask = Notazione CIDR = /24 Alessandro Reina Attacchi di rete A.A / 36

9 Background IPv4 address Ogni host possiede un proprio indirizzo IP (32 bit) generalmente nella forma: IP = NetId - SubnetId - HostId Subnet mask La subnet mask definisce il confine (perimetro) tra host e NetId - SubnetId. CIDR (Classless Inter-Domain Routing) IP = w.x.y.z/n n: indica il numero di bit che compongono NetId - SubnetId Esempio NetId - SubnetId = Subnet mask = Notazione CIDR = /24 Alessandro Reina Attacchi di rete A.A / 36

10 Background IPv4 address Ogni host possiede un proprio indirizzo IP (32 bit) generalmente nella forma: IP = NetId - SubnetId - HostId Subnet mask La subnet mask definisce il confine (perimetro) tra host e NetId - SubnetId. CIDR (Classless Inter-Domain Routing) IP = w.x.y.z/n n: indica il numero di bit che compongono NetId - SubnetId Esempio NetId - SubnetId = Subnet mask = Notazione CIDR = /24 Alessandro Reina Attacchi di rete A.A / 36

11 Introduzione Anatomia di un attacco 1 determinare macchine attive 2 determinare sistema operativo utilizzato 3 determinare servizi in esecuzione 4 exploit dei servizi vulnerabili Osservazioni non tutti gli attacchi seguono i passi precedenti (e.g., DoS) facile rilevare attacchi che percorrono tutti i passi... alcuni di questi funzionano anche se sono stati rilevati! Alessandro Reina Attacchi di rete A.A / 36

12 Introduzione Anatomia di un attacco 1 determinare macchine attive 2 determinare sistema operativo utilizzato 3 determinare servizi in esecuzione 4 exploit dei servizi vulnerabili Osservazioni non tutti gli attacchi seguono i passi precedenti (e.g., DoS) facile rilevare attacchi che percorrono tutti i passi... alcuni di questi funzionano anche se sono stati rilevati! Alessandro Reina Attacchi di rete A.A / 36

13 Host discovery Obiettivo Come? identificare host attivi sulla (sotto)rete focalizzare l attenzione sugli host interessanti (e.g., solo i laptop, solo apparati di reti,... ) minima quantità di traffico 1 PING scan (ICMP/ARP/UDP/... ) 2 reverse-dns (utili informazioni spesso recuperate dai nomi degli host) 3 DB indirizzi MAC Alessandro Reina Attacchi di rete A.A / 36

14 PING scan ICMP/TCP scan Esempio TCP SYN verso porta 443 ACK verso porta 80 (unprivileged connect) TCP + ICMP echo-request/time stamp (privileged) security@debian:~$ nmap -sp Nmap scan report for truzzo.laser.dico.unimi.it ( ) Host is up (0.057s latency). debian:~# sudo nmap -sp Nmap scan report for truzzo.laser.dico.unimi.it ( ) Host is up (0.055s latency). Traffico generato debian:~# tcpdump -ni eth0 listening on eth0, link-type EN10MB (Ethernet), capture size bytes 00:47: IP > : ICMP echo request, id 4962, seq 0, length 8 00:47: IP > : Flags [S], seq... 00:47: IP > : Flags [.], ack... 00:47: IP > : Flags [R], seq... 00:47: IP > : ICMP time stamp query id seq... 00:47: IP > : Flags [R.], seq... 12:47: IP > : ICMP echo reply,... Alessandro Reina Attacchi di rete A.A / 36

15 PING scan ICMP/TCP scan Esempio TCP SYN verso porta 443 ACK verso porta 80 (unprivileged connect) TCP + ICMP echo-request/time stamp (privileged) security@debian:~$ nmap -sp Nmap scan report for truzzo.laser.dico.unimi.it ( ) Host is up (0.057s latency). debian:~# sudo nmap -sp Nmap scan report for truzzo.laser.dico.unimi.it ( ) Host is up (0.055s latency). Traffico generato debian:~# tcpdump -ni eth0 listening on eth0, link-type EN10MB (Ethernet), capture size bytes 00:47: IP > : ICMP echo request, id 4962, seq 0, length 8 00:47: IP > : Flags [S], seq... 00:47: IP > : Flags [.], ack... 00:47: IP > : Flags [R], seq... 00:47: IP > : ICMP time stamp query id seq... 00:47: IP > : Flags [R.], seq... 12:47: IP > : ICMP echo reply,... Alessandro Reina Attacchi di rete A.A / 36

16 PING scan UDP scan Esempio datagrammi UDP verso quali porte? Junk:~ Ale$ sudo nmap -sp -PU Starting Nmap 5.35DC1 ( ) at :58 CEST Nmap scan report for dns.laser.dico.unimi.it ( ) Host is up (0.054s latency). Traffico generato bash-3.2# tcpdump -i en0 -n host listening on en0, link-type EN10MB (Ethernet), capture size bytes 16:58: IP > : UDP, length 0 16:58: IP > : ICMP udp port unreachable Alessandro Reina Attacchi di rete A.A / 36

17 PING scan UDP scan Esempio datagrammi UDP verso quali porte? Junk:~ Ale$ sudo nmap -sp -PU Starting Nmap 5.35DC1 ( ) at :58 CEST Nmap scan report for dns.laser.dico.unimi.it ( ) Host is up (0.054s latency). Traffico generato bash-3.2# tcpdump -i en0 -n host listening on en0, link-type EN10MB (Ethernet), capture size bytes 16:58: IP > : UDP, length 0 16:58: IP > : ICMP udp port unreachable Alessandro Reina Attacchi di rete A.A / 36

18 PING scan ARP scan Esempio invio di richieste ARP who-has (rete locale!!!) [16:21:57] sudo nmap -sp /24 Starting Nmap 4.68 ( ) at :21 CEST Host appears to be up. MAC Address: 00:1B:2F:79:C3:E2 (Netgear) Host gandalf.casa.net ( ) appears to be up. Host appears to be up. MAC Address: 00:13:D4:9C:E3:AC (Asustek Computer) Nmap done: 256 IP addresses (3 hosts up) scanned in seconds Traffico generato [16:21:50] roby@gandalf:~$ sudo tcpdump -ni eth1 arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 16:21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp reply is-at 00:1b:2f:79:c3:e2 Alessandro Reina Attacchi di rete A.A / 36

19 PING scan ARP scan Esempio invio di richieste ARP who-has (rete locale!!!) [16:21:57] sudo nmap -sp /24 Starting Nmap 4.68 ( ) at :21 CEST Host appears to be up. MAC Address: 00:1B:2F:79:C3:E2 (Netgear) Host gandalf.casa.net ( ) appears to be up. Host appears to be up. MAC Address: 00:13:D4:9C:E3:AC (Asustek Computer) Nmap done: 256 IP addresses (3 hosts up) scanned in seconds Traffico generato [16:21:50] roby@gandalf:~$ sudo tcpdump -ni eth1 arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 16:21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp who-has (ff:ff:ff:ff:ff:ff) tell :21: arp reply is-at 00:1b:2f:79:c3:e2 Alessandro Reina Attacchi di rete A.A / 36

20 Esercizio Man-page is your best friend! 0x00 Enumerare gli host nella propria sottorete, prima con ICMP PING scan, poi con ARP PING scan. Ci sono differenze nei risultati ottenuti con le due modalità? Perché? Alessandro Reina Attacchi di rete A.A / 36

21 OS detection Problema scoprire da remoto il sistema operativo di un host della rete Perché? permette di concentrarsi solo su particolari vulnerabilità aiuta nella realizzazione di un exploit utili informazioni sulla composizione di una rete rilevamento di dispositivi sospetti social engineering... Alessandro Reina Attacchi di rete A.A / 36

22 OS detection Come funziona? [22:25:58] sudo nmap -ss -O Starting Nmap 4.68 ( ) at :26 CEST Interesting ports on : Not shown: 1714 closed ports PORT STATE SERVICE 80/tcp open http MAC Address: 00:1F:28:23:A8:2C (Netgear) Device type: general purpose Running: Linux 2.6.X OS details: Linux Uptime: days (since Mon Aug 25 20:07: ) Network Distance: 1 hop Come? invio pacchetti TCP/UDP/ICMP particolari sfruttare ambiguità degli standard ogni sistema operativo implementa lo stack di rete in modo differente Alessandro Reina Attacchi di rete A.A / 36

23 Esercizio Man-page is your best friend! 0x01 Verificare l accuratezza del sistema di OS detection di nmap, cercando di determinare da remoto: il sistema operativo di una macchina virtuale (Linux); il sistema operativo di una macchina fisica (Windows); il sistema operativo utilizzato da un apparato di rete (e.g., router). Alessandro Reina Attacchi di rete A.A / 36

24 Port scanning In cosa consiste? attività di information gathering determinare porte open, closed e filtered (i.e., nessuna risposta) Alessandro Reina Attacchi di rete A.A / 36

25 Port scanning Perché? scoprire possibili target di un attacco spesso utilizzato dal malware lo scanning può riguardare tutte o parte delle porte TCP Come? molti metodi diversi! Alcuni esempi: connect() scan SYN scan FIN scan Alessandro Reina Attacchi di rete A.A / 36

26 connect() scan In cosa consiste? system call connect() completamento del 3-way handshake una volta completata, la connessione è immediatamente chiusa (RST) Osservazioni invasivo l attività di scanning può essere monitorata (log, etc.) permette di recuperare informazioni significative (e.g., banner grabbing) Alessandro Reina Attacchi di rete A.A / 36

27 connect() scan Esempio [23:34:55] nmap -st -p23,80 Starting Nmap 4.68 ( ) at :34 CEST Warning: Hostname resolves to 3 IPs. Using Interesting ports on fk-in-f104.google.com ( ): PORT STATE SERVICE 23/tcp filtered telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in seconds Alessandro Reina Attacchi di rete A.A / 36

28 SYN scan Idea perché completare il 3-way handshake?... mando solo il primo SYN! 3 possibilità A open SYN SYN/ACK B A closed SYN B A filtered SYN B RST RST Osservazioni il 3-way handshake non viene mai completato meno invasivo Alessandro Reina Attacchi di rete A.A / 36

29 SYN scan Idea perché completare il 3-way handshake?... mando solo il primo SYN! 3 possibilità A open SYN SYN/ACK B A closed SYN B A filtered SYN B RST RST Osservazioni il 3-way handshake non viene mai completato meno invasivo Alessandro Reina Attacchi di rete A.A / 36

30 SYN scan Esempio [23:34:59] nmap -ss -p23,80 You requested a scan type which requires root privileges. QUITTING! [23:42:06] roby@gandalf:~$ sudo nmap -ss -p23,80 [sudo] password for roby: Starting Nmap 4.68 ( ) at :42 CEST Warning: Hostname resolves to 3 IPs. Using Interesting ports on fk-in-f99.google.com ( ): PORT STATE SERVICE 23/tcp filtered telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in seconds Domanda Perché ho dovuto usare sudo? Alessandro Reina Attacchi di rete A.A / 36

31 SYN scan Esempio [23:34:59] nmap -ss -p23,80 You requested a scan type which requires root privileges. QUITTING! [23:42:06] roby@gandalf:~$ sudo nmap -ss -p23,80 [sudo] password for roby: Starting Nmap 4.68 ( ) at :42 CEST Warning: Hostname resolves to 3 IPs. Using Interesting ports on fk-in-f99.google.com ( ): PORT STATE SERVICE 23/tcp filtered telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in seconds Domanda Perché ho dovuto usare sudo? Alessandro Reina Attacchi di rete A.A / 36

32 FIN scan Idea l attaccante invia pacchetti con il solo flag FIN open filtered A B A closed B FIN FIN RST Osservazioni ancora meno probabile essere monitorati alcuni sistemi (e.g., Microsoft) si discostano dallo standard Alessandro Reina Attacchi di rete A.A / 36

33 FIN scan Idea l attaccante invia pacchetti con il solo flag FIN open filtered A B A closed B FIN FIN RST Osservazioni ancora meno probabile essere monitorati alcuni sistemi (e.g., Microsoft) si discostano dallo standard Alessandro Reina Attacchi di rete A.A / 36

34 FIN scan Esempio [00:08:33] nmap -sf -p23,80 You requested a scan type which requires root privileges. QUITTING! [00:08:44] roby@gandalf:~$ sudo nmap -sf -p23,80 Starting Nmap 4.68 ( ) at :08 CEST Warning: Hostname resolves to 3 IPs. Using Interesting ports on fk-in-f147.google.com ( ): PORT STATE SERVICE 23/tcp open filtered telnet 80/tcp open filtered http Nmap done: 1 IP address (1 host up) scanned in seconds Alessandro Reina Attacchi di rete A.A / 36

35 UDP scan diversi servizi usano UDP (DNS, SNMP, DHCP,... ) UDP non è connection-oriented A open B A closed B A filtered B UDP (empty) UDP (empty) UDP (empty) UDP (data) ICMP port unreach. ICMP (!port) unreach. Osservazioni se non riceve risposta, la porta è open filtered risultati meno affidabili che con TCP Alessandro Reina Attacchi di rete A.A / 36

36 UDP scan Esempio Esempio Junk:~ Ale$ sudo nmap -p53,1234 -PN -su Starting Nmap 5.35DC1 ( ) at :01 CEST Nmap scan report for dns.laser.dico.unimi.it ( ) Host is up (0.054s latency). PORT STATE SERVICE 53/udp open domain 1234/udp closed unknown Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds Traffico generato bash-3.2# tcpdump -i en0 -n host listening on en0, link-type EN10MB (Ethernet), capture size bytes 22:01: IP > : 0 stat [0q] (12) 22:01: IP > : UDP, length 0 22:01: IP > : 0 stat NotImp- [0q] 0/0/0 (12) 22:01: IP > : ICMP udp port unreachable 22:01: IP > : ICMP udp port 1234 unreachable Alessandro Reina Attacchi di rete A.A / 36

37 Esercizio Man-page is your best friend! 0x02 Dalla macchina virtuale, fare un port scanning sulla macchina fisica, usando CONNECT,SYN e FIN scan. Che differenze ci sono tra le porte open/closed/filtered riportate con le 3 modalità? Alessandro Reina Attacchi di rete A.A / 36

38 Esercizio Man-page is your best friend! 0x03 Ripetere l esercizio precedente usando solo SYN scan. Nel frattempo, verificare con tcpdump il traffico generato da nmap. Corrisponde con quanto atteso? Osservare come nmap risponde ad eventuali SYN/ACK ricevuti da porte aperte. Come nmap sceglie le porte della macchina remota da analizzare? Alessandro Reina Attacchi di rete A.A / 36

39 Spoofing Di cosa si tratta? spoofing: un host tenta di impersonificare un altro host in una comunicazione modifica dell indirizzo sorgente consente attacchi anonimi (e.g., SYN flood) Problema il destinatario accetterà il pacchetto? Alessandro Reina Attacchi di rete A.A / 36

40 Spoofing Di cosa si tratta? spoofing: un host tenta di impersonificare un altro host in una comunicazione modifica dell indirizzo sorgente consente attacchi anonimi (e.g., SYN flood) Problema il destinatario accetterà il pacchetto? Alessandro Reina Attacchi di rete A.A / 36

41 Spoofing Di cosa si tratta? spoofing: un host tenta di impersonificare un altro host in una comunicazione modifica dell indirizzo sorgente consente attacchi anonimi (e.g., SYN flood) Problema il destinatario accetterà il pacchetto? ICMP/UDP: sufficiente modificare l IP sorgente TCP: 3-way handshake e sliding window complicano le cose Alessandro Reina Attacchi di rete A.A / 36

42 Attacchi di rete Idle Scan L idle scan è una tipologia di scanning inventata dallo stesso autore di hping, antirez. Ipotesi per L Idle scan tre attori: il server vittima, una macchina chiamata Dumb, e la macchina da cui viene effettuato lo scan. La macchina Dumb, incrementa in modo sequenziale l ID (Identification). La macchina Dumb non deve generare altro tipo di traffico di rete. possibilità di effettuare lo spoofing tra la macchina server e la macchina da cui parte lo scan. Alessandro Reina Attacchi di rete A.A / 36

43 Attacchi di rete Idle Scan L idle scan è una tipologia di scanning inventata dallo stesso autore di hping, antirez. Ipotesi per L Idle scan tre attori: il server vittima, una macchina chiamata Dumb, e la macchina da cui viene effettuato lo scan. La macchina Dumb, incrementa in modo sequenziale l ID (Identification). La macchina Dumb non deve generare altro tipo di traffico di rete. possibilità di effettuare lo spoofing tra la macchina server e la macchina da cui parte lo scan. Alessandro Reina Attacchi di rete A.A / 36

44 Attacchi di rete Idle Scan Scenario L Idle scan La macchina da cui parte lo scan, pinga continuamente la macchina Dumb, e vede nei pacchetti di ritorno la risposta con id incrementato di 1. La macchina scan invia un pacchetto spoofato, indirizzo sorgente della macchina Dumb, TCP con syn attivato su una determinata porta all host vittima. Esempio: ping debian:~# hping3 -SA i 3 -c 3 HPING (eth ): SA set, 40 headers + 0 data bytes len=46 ip= ttl=128 id=2274 sport=0 flags=r seq=0 win=32767 rtt=0.4 ms len=46 ip= ttl=128 id=2275 sport=0 flags=r seq=1 win=32767 rtt=0.2 ms len=46 ip= ttl=128 id=2276 sport=0 flags=r seq=2 win=32767 rtt=0.4 ms Alessandro Reina Attacchi di rete A.A / 36

45 Attacchi di rete Idle Scan si possono ricevere due tipo di risposte: SYN/ACK o RST, nel caso di RST, la macchina Dumb non creerà nessun nuovo pacchetto e cosi l ID rimarrà uguale. nel caso del SYN/ACK la macchina Dumb, risponderà con un RST e l ID sarà incrementato di 1. Esempio: spoofing debian:~# hping3 -S --spoof p 80 -c 1 HPING (eth ): S set, 40 headers + 0 data bytes hping statistic packets transmitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms debian:~# tcpdump -ni eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size bytes 00:20: IP > : Flags [S], seq , win 512,... Esempio: ping debian:~# hping3 -SA c 1 HPING (eth ): SA set, 40 headers + 0 data bytes len=46 ip= ttl=128 id=2278 sport=0 flags=r seq=0 win=32767 rtt=0.2 ms Alessandro Reina Attacchi di rete A.A / 36

46 Attacchi di rete Idle Scan si possono ricevere due tipo di risposte: SYN/ACK o RST, nel caso di RST, la macchina Dumb non creerà nessun nuovo pacchetto e cosi l ID rimarrà uguale. nel caso del SYN/ACK la macchina Dumb, risponderà con un RST e l ID sarà incrementato di 1. Esempio: spoofing debian:~# hping3 -S --spoof p 80 -c 1 HPING (eth ): S set, 40 headers + 0 data bytes hping statistic packets transmitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms debian:~# tcpdump -ni eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size bytes 00:20: IP > : Flags [S], seq , win 512,... Esempio: ping debian:~# hping3 -SA c 1 HPING (eth ): SA set, 40 headers + 0 data bytes len=46 ip= ttl=128 id=2278 sport=0 flags=r seq=0 win=32767 rtt=0.2 ms Alessandro Reina Attacchi di rete A.A / 36

47 Attacchi di rete Idle Scan si possono ricevere due tipo di risposte: SYN/ACK o RST, nel caso di RST, la macchina Dumb non creerà nessun nuovo pacchetto e cosi l ID rimarrà uguale. nel caso del SYN/ACK la macchina Dumb, risponderà con un RST e l ID sarà incrementato di 1. Esempio: spoofing debian:~# hping3 -S --spoof p 80 -c 1 HPING (eth ): S set, 40 headers + 0 data bytes hping statistic packets transmitted, 0 packets received, 100% packet loss round-trip min/avg/max = 0.0/0.0/0.0 ms debian:~# tcpdump -ni eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size bytes 00:20: IP > : Flags [S], seq , win 512,... Esempio: ping debian:~# hping3 -SA c 1 HPING (eth ): SA set, 40 headers + 0 data bytes len=46 ip= ttl=128 id=2278 sport=0 flags=r seq=0 win=32767 rtt=0.2 ms Alessandro Reina Attacchi di rete A.A / 36

48 TCP spoofing A vuole fingersi T nella comunicazione con S Blind 1 impedire comunicazione S T (e.g., tramite SYN flooding) 2 predire initial sequence number di S (problematico) 1 Non-blind più semplice: non devo predire nessun valore dell header TCP 1 lettura suggerita: Silence on the Wire, Michael Zalewski Alessandro Reina Attacchi di rete A.A / 36

49 TCP spoofing A vuole fingersi T nella comunicazione con S Blind 1 impedire comunicazione S T (e.g., tramite SYN flooding) 2 predire initial sequence number di S (problematico) 1 Non-blind più semplice: non devo predire nessun valore dell header TCP 1 lettura suggerita: Silence on the Wire, Michael Zalewski Alessandro Reina Attacchi di rete A.A / 36

50 Attacchi di rete SYN flooding In cosa consiste? invio di molti pacchetti TCP SYN saturazione della tabella connessioni della vittima DoS (crash o rifiuto altre connessioni) nota: pacchetti spoofabili Variante: process table flooding apertura di molte connessioni TCP ogni connessione causa la creazione di un nuovo processo saturazione process table e DoS Alessandro Reina Attacchi di rete A.A / 36

51 Attacchi di rete SYN flooding In cosa consiste? invio di molti pacchetti TCP SYN saturazione della tabella connessioni della vittima DoS (crash o rifiuto altre connessioni) nota: pacchetti spoofabili Variante: process table flooding apertura di molte connessioni TCP ogni connessione causa la creazione di un nuovo processo saturazione process table e DoS Alessandro Reina Attacchi di rete A.A / 36

52 Sniffing avanzato Man-in-the-middle A B M connessione fisica connessione logica Alessandro Reina Attacchi di rete A.A / 36

53 ARP poisoning Problema molti sistemi accettano ARP-reply per ARP-request mai inviate arp-reply is-at CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA A M BB:BB:BB:BB:BB:BB B arp-reply is-at CC:CC:CC:CC:CC:CC CC:CC:CC:CC:CC:CC ICMP può sosituire gli arp-reply (ICMP redirect) Alessandro Reina Attacchi di rete A.A / 36

54 ARP poisoning Problema molti sistemi accettano ARP-reply per ARP-request mai inviate arp-reply is-at CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA A M BB:BB:BB:BB:BB:BB B arp-reply is-at CC:CC:CC:CC:CC:CC CC:CC:CC:CC:CC:CC ICMP può sosituire gli arp-reply (ICMP redirect) Alessandro Reina Attacchi di rete A.A / 36

55 ARP poisoning Problema molti sistemi accettano ARP-reply per ARP-request mai inviate arp-reply is-at CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA A M BB:BB:BB:BB:BB:BB B arp-reply is-at CC:CC:CC:CC:CC:CC CC:CC:CC:CC:CC:CC ICMP può sosituire gli arp-reply (ICMP redirect) Alessandro Reina Attacchi di rete A.A / 36

56 ARP poisoning Problema molti sistemi accettano ARP-reply per ARP-request mai inviate arp-reply is-at CC:CC:CC:CC:CC:CC AA:AA:AA:AA:AA:AA A M BB:BB:BB:BB:BB:BB B arp-reply is-at CC:CC:CC:CC:CC:CC CC:CC:CC:CC:CC:CC ICMP può sosituire gli arp-reply (ICMP redirect) Alessandro Reina Attacchi di rete A.A / 36

57 Ettercap Ettercap is a suite for man-in-the-middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. Esempio $ sudo ettercap -T -M arp:remote / / / / ettercap NG copyright ALoR & NaGA Listening on eth1... (Ethernet) eth1 -> 00:08:13:34:3B: ARP poisoning victims: GROUP 1 : :14:4E:28:A8:E6 GROUP 2 : :06:C9:B7:AA:98 Alessandro Reina Attacchi di rete A.A / 36

58 Esercizio Man-page is your best friend! 0x04 Sniffare username e password di una sessione telnet. Il traffico è in chiaro? Tool suggeriti: tcpdump, ettercap, wireshark etc. Alessandro Reina Attacchi di rete A.A / 36

59 Esercizio Man-page is your best friend! 0x05* Utilizzando due macchine (A e B), svolgere le seguenti operazioni: 1 la macchina A ascolta su una socket UDP (utilizzando netcat); 2 la macchina B invia ad A pacchetti UDP con mittente spoofato (utilizzare il tool hping). I pacchetti di B vengono accettati correttamente da A? Ripetere lo stesso esperimento utilizzando socket TCP. Che differenze ci sono? Alessandro Reina Attacchi di rete A.A / 36

60 Domande? Alessandro Reina Attacchi di rete A.A / 36