Introduzione allo sniffing

Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2007/2008 Introduzione allo sniffing Roberto Paleari 2-4 Settembre 2008 Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 1 / 18

Sommario 1 Introduzione alle chiamate socket 2 Sniffing Concetto di Sniffing Rilevamento di uno sniffer 3 TCPDUMP Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 2 / 18

Sommario 1 Introduzione alle chiamate socket 2 Sniffing Concetto di Sniffing Rilevamento di uno sniffer 3 TCPDUMP Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 2 / 18

Sommario 1 Introduzione alle chiamate socket 2 Sniffing Concetto di Sniffing Rilevamento di uno sniffer 3 TCPDUMP Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 2 / 18

Introduzione alle chiamate socket Per poter comunicare inviare dati attraverso la rete i sistemi operativi forniscono delle interfacce di comunicazione, chiamate socket. Le socket possono essere definite a qualsiasi livello dello stack TCP/IP: transporto, rete o data link. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 3 / 18

Le socket in Linux In linux esiste la chiamata socket, i cui parametri stabiliscono i protocolli di comunicazione e quindi il livello di posizionamento all interno dello stack TCP/IP: int socket(int domain, int type, int protocol); domain: Definisce il dominio di comunicazione (famiglie di protocolli): e.g. PF UNIX, PF INET e PF PACKET. type: Definisce il tipo di socket, (semantica di comunicazione) SOCK STREAM, SOCK DGRAM, SOCK RAW,... protocol: Definisce il protocollo su cui agire e.g. icmp, tcp,udp etc. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 4 / 18

Esempi di chiamate socket Nei seguenti tre esempi, si vede rispettivamente la creazione di una socket TCP, di una socket a livello NETWORK e di una socket di livello DATA LINK, maggior dettagli possono essere reperite nelle pagine di manuale della chiamata socket (man 7 socket). socket(pf INET, SOCK STREAM, TCP) socket(pf INET, SOCK RAW, Protocol) raw socket, accesso diretto a livello IP socket(pf PACKET, SOCK RAW, Protocol) raw socket, accesso diretto a livello data-link Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 5 / 18

Concetto di Sniffing Per poter sniffare bisogna avere i permessi di amministratore. Funzionamento delle socket raw, viene passata una copia del pacchetto. L attività di sniffing è utilizzata per monitorare e diagnosticare delle problematiche di rete, oppure da un punto di vista maligno per poter reperire informazioni sensibili senza autorizzazione. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 6 / 18

Tipologie di sniffing Esistono due tipi principali di attività di sniffing: sniffing attivo e sniffing passivo, quello passivo limita a leggere le informazioni (es. tcpdump), quello attivo invece mira anche a modificare i dati all interno dei pacchetti (es. ettercap). Le informazioni che riceviamo dipendono dalla topologia della rete in cui siamo immersi, (rete con switch o reti con hub) dai possibili attacchi che si possono fare. Per poter abilitare la lettura delle informazioni di rete non relative al nostro indirizzo dobbiamo impostare la modalità promiscua sulla scheda di rete (ifconfig eth0 promisc). Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 7 / 18

Rilevamento di uno sniffer (1) Un host sospetto sta sniffando? Difficile da capire, soprattutto nel caso di sniffing passivo......ma non impossibile! Solo un esempio: cosa succede se mando un frame ethernet con destinatario inesistente, incapsulandovi una richiesta ARP who-has per l IP dell host sospetto? Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 8 / 18

Rilevamento di uno sniffer (1) Un host sospetto sta sniffando? Difficile da capire, soprattutto nel caso di sniffing passivo......ma non impossibile! Solo un esempio: cosa succede se mando un frame ethernet con destinatario inesistente, incapsulandovi una richiesta ARP who-has per l IP dell host sospetto? Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 8 / 18

Rilevamento di uno sniffer (2) 192.168.1.2 NON sta sniffando gandalf:~# tcpdump -ne arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:14:26.264207 00:02:44:36:3a:06 > 11:22:33:44:55:66, ethertype ARP (0x0806), length 42: arp who-has 192.168.1.2 tell 192.168.1.3 192.168.1.2 STA sniffando gandalf:~# tcpdump -ne arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:14:43.349462 00:02:44:36:3a:06 > 11:22:33:44:55:66, ethertype ARP (0x0806), length 42: arp who-has 192.168.1.2 tell 192.168.1.3 19:14:43.349598 00:40:f4:66:da:35 > 00:02:44:36:3a:06, ethertype ARP (0x0806), length 60: arp reply 192.168.1.2 is-at 00:40:f4:66:da:35 Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 9 / 18

TCPDUMP: introduzione Uno degli sniffer più avanzati per la cattura e registrazione dei pacchetti di rete; sito ufficiale http://www.tcpdump.org Utilizza per poter leggere i dati dalla rete le librerie pcap che trovate al sito: http://sourceforge.net/projects/libpcap/ Esiste una versione anche per Windows sviluppata dal Politecnico di Torino che si chiama Windump, notizie utili le trovate: http://windump.polito.it/ Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 10 / 18

TCPDUMP: introduzione Permette sia di catturare le informazioni in tempo reale in formato sintetico, visualizzando soltanto gli indirizzi i protocolli etc., sia di catturare l intero contenuto del pacchetto in formato esadecimale. La caratteristica piu potente è quella di fornire una completa sintassi di espressioni per poter impostare filtri capaci di discriminare ogni singolo campo del pacchetto catturato. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 11 / 18

TCPDUMP: Sintassi TCPDUMP Sintassi: tcpdump [ -adeflnnopqrstuvxx ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ] Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 12 / 18

TCPDUMP: Sintassi # tcpdump -i eth0 Questo comando mostra sullo standard output tutto il traffico passante dall interfaccia eth0. # tcpdump -n -i eth0 Come sopra ma non risolve gli indirizzi, lasciandoli nel formato numerico. # tcpdump -x -i eth0 Emette la prima parte dei dati del pacchetto (fino ai primi 68 byte) visualizzandoli in, per poter specificare più byte da considerare l opzione -s n byte Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 13 / 18

TCPDUMP: Espressioni Elementi delle espressioni: Gli indirizzi di origine o di destinazione, riferiti alla suite TCP/IP chiamati anche nodi. Le porte di comunicazione a livello applicazione. I protocolli ether, fddi, ip, arp, rarp, decnet, tcp, udp. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 14 / 18

TCPDUMP: Primitive (1) Primitive espressioni: dst host nodo: nodo destinazione. src host nodo: nodo sorgente. host nodo: indifferenza su origine e destinazione. ether dst nodo ethernet: nodo destinazione ether src nodo ethernet: nodo sorgente ether host nodo ethernet: indifferenza tra src. e dest. dst net rete: rete destinazione src net rete: rete sorgente net rete: indifferenza tra rete src. e rete dest. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 15 / 18

TCPDUMP: Primitive (2) dst port porta: porta destinazione src port porta: porta sorgente port porta: indifferenza tra porta src. e porta dest. ether proto protocollo: protocollo può essere ip, arp, rarp. ip proto protocollo: protocollo può essere: icmp, udp, tcp, icmp. tutte le primitive possono essere legate fra loro attraverso gli operatori logici AND OR e NOT. Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 16 / 18

TCPDUMP: Esempi di espressioni (1) Ascoltare i pacchetti destinati a un certo host e.g. 192.168.200.2: # tcpdump -ni eth0 dst host 192.168.200.2 Ascoltare i pacchetti destinati ad una certa rete e.g. 192.168.200.0/24: # tcpdump -i eth0 net 192.168.200.0/24 Ascoltare i pacchetti destinati a un certo host su una certa porta e.g. 192.168.200.2 port 80: # tcpdump -ni eth0 dst host 192.168.200.2 and port 80 Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 17 / 18

TCPDUMP: Esempi di espressioni (2) Ascoltare i pacchetti mostrando il campo dati in esadecimale: # tcpdump -x -ni lo host 192.168.200.2 and port 80 Ascoltare i pacchetti, troncando i dati a 1500 byte: # tcpdump -s 1500 -x -ni lo host 192.168.200.2 and port 80 Ascoltare i pacchetti mostrando l header data-link: # tcpdump -e -s 1500 -x -ni lo host 192.168.200.2 and port 80 Roberto Paleari Introduzione allo sniffing 2-4 Settembre 2008 18 / 18