Introduzione allo sniffing

Documenti analoghi
Introduzione allo sniffing

Introduzione allo sniffing

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Analisi del Traffico di Rete

TCP/IP: una breve introduzione

TCP/IP: una breve introduzione

Uso di sniffer ed intercettazione del traffico IP

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

Raw socket. L intercettazione di un pacchetto IP

SNIFFING. Università Degli Studi Di Salerno. SCENARIO Annarella Invia Un Messaggio a Biagio SNIFFER SNIFFER SNIFFER SNIFFER. Uso lecito.

Guida all uso di TCPDUMP

Introduzione alla rete Internet

Wireshark (packet sniffer)

Progettazione di Servizi Web e Reti di Calcolatori

Introduzione alla rete Internet

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it >

Dispense parte di laboratorio corso Introduzione alle reti telematiche

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

Introduzione alla rete Internet

Fondamenti di Internet e Reti Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

Politecnico di Milano Advanced Network Technologies Laboratory. Esercizi Inoltro

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

University of Modena and Reggio Emilia. Laboratorio di Comunicazioni Multimediali WIRESHARK. Daniela Saladino

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

Strumenti per analisi di rete. Una panoramica sui principali strumenti per la verifica del comportamento della rete su una workstation

ARP/RARP. Problema della Risoluzione dell Indirizzo. Corrispondenza statica e dinamica. Scenari

Attacchi di rete. Alessandro Reina Aristide A.A

Configurazione delle interfacce di rete

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Esercitazione 05. Prima di iniziare. Packet Filtering [ ICMP ] Sommario. Angelo Di Iorio (Paolo Marinelli)

Strumenti per analisi di rete. Una panoramica sui principali strumenti per la verifica del comportamento della rete su una workstation

Reti di Calcolatori - Laboratorio. Lezione 5. Gennaro Oliva

È possibile filtrare i pacchetti in base alla porta Ad esempio specificando la porta 80 ascolto il traffico web di un host

Impianti di elaborazione AA

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

La nascita di Internet

Corso di Reti di Telecomunicazioni. Giovanni Schembra. Trasmissione trame su canale broadcast

Ethereal A cura di Donato Emma demma@napoli.consorzio-cini.it

Wireless Network Esercitazioni. Alessandro Villani

Lezione 4: Introduzione a L3, il protocollo ARP

Sommario. Configurazione della rete con DHCP. Funzionamento Configurazione lato server Configurazione lato client

Le Reti Informatiche

PROGRAMMAZIONE MODULARE Disciplina: SISTEMI E RETI Classe: QUINTA A INF SERALE Indirizzo: INFORMATICA

Indice. Prefazione. Presentazione XIII. Autori

Attacchi di rete. Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2006/2007

MIEAU06 Il protocollo TCP/IP: dalla teoria alla pratica

Introduzione ad hping

Il modello TCP/IP. Sommario

Instradamento. Fondamenti di Informatica

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

Politecnico di Milano Scuola di Ingegneria Industriale e dell Informazione. Modelli Funzionali

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

IL PROTOCOLLO ICMP. La famiglia dei protocolli TCP/IP. Applicazioni ,ftp,telnet,www. IEEE 802-Ethernet-X25-Aloha ecc. Collegamento fisico

Reti di calcolatori TCP/IP. Slide a cura di Simon Pietro Romano

Pacchetti e imbustamento. Ethereal (1)

Software per l individuazione dei malfunzionamenti di rete

Internetworking TCP/IP: esercizi

4b. Esercizi sul livello di Rete Inoltro in IP

Linux Network Testing

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Il livello trasporto: Introduzione e protocollo UDP

Che cos è uno sniffer?? (3) Uno sniffer con la libreria PCAP. GeTThings sniffer: : scelte progettuali. Il layering TCP/IP

Packet Filter in LINUX (iptables)

Sniffing Danilo Bonardi 29 Febbraio 2005 Diario delle revisioni Revisione Febbraio 2005

Introduzione alla rete Internet

Introduzione ad hping

Reti (già Reti di Calcolatori )

Appello 18 Luglio Importante: usare lo spazio dopo ogni esercizio per le risposte. Esercizio 1 Esercizio 2 Esercizio 3 Domande Laboratorio

No. Time Source Destination Protocol Info DHCP DHCP Discover - Transaction ID 0xec763e04

Reti di calcolatori. introduzione

Protocolli ARP e RARP

Wireshark revealed. Dario Lombardo Linuxday Torino 2010

TCP/IP: elemento unificante

Misure di traffico con IPv6

Sniffing di rete. Federico Fergnani

Il livello trasporto: Introduzione e protocollo UDP

Introduzione alle reti ed al TCP/IP

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

Tecnologie di Sviluppo per il Web

Cosa è uno Sniffer? NETWORK SNIFFERS. Sniffer. Cosa è uno Sniffer? Sniffer. Sniffer e Shared Media

Elementi di Sicurezza e Privatezza Lezione 14 Web Security - IPSec

Cenni sull architettura protocollare TCP/IP

Cenni sull architettura protocollare TCP/IP

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

ESERCIZI SVOLTI. Eserczio

Protocollo ICMP, comandi ping e traceroute

SUBNETTING E SUPERNETTING

Introduzione alla rete Internet

Introduzione alla rete Internet

Un sistema di Network Intrusion Detection basato su tcpdump

Strumenti di sicurezza delle reti:

MODELLI ISO/OSI e TCP/IP

Sommario. Il modello TCP/IP. Introduzione al modello TCP/IP. Imbustamento in OSI. TCP/IP e OSI Applicazione (telnet, ftp, smtp,...

Lezione n.9 LPR- Informatica Applicata

Reti di comunicazione

MODELLI ISO/OSI e TCP/IP

Internet Protocol Versione 4: instradamento e routing. Aspetti di forwarding e routing del protocollo IPv4

Transcript:

Introduzione allo sniffing Andrea Lanzi, Davide Marrone, Roberto Paleari Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica 29 novembre 2006

Sommario 1 Introduzione alle chiamate socket 2 Sniffing Concetto di Sniffing Rilevamento di uno sniffer 3 TCPDUMP

Introduzione alle chiamate socket Per poter comunicare inviare dati attraverso la rete i sistemi operativi forniscono delle interfacce di comunicazione, chiamate socket. Le socket possono essere definite a qualsiasi livello dello stack TCP/IP: transporto, rete o data link.

Le socket in Linux In linux esiste la chiamata socket, i cui parametri stabiliscono i protocolli di comunicazione e quindi il livello di posizionamento all interno dello stack TCP/IP: int socket(int domain, int type, int protocol); domain: Definisce il dominio di comunicazione (famiglie di protocolli): e.g. PF UNIX, PF INET e PF PACKET. type: Definisce il tipo di socket, (semantica di comunicazione) SOCK STREAM, SOCK DGRAM, SOCK RAW,... protocol: Definisce il protocollo su cui agire e.g. icmp, tcp,udp etc.

Esempi di chiamate socket Nei seguenti tre esempi, si vede rispettivamente la creazione di una socket TCP, di una socket a livello NETWORK e di una socket di livello DATA LINK, maggior dettagli possono essere reperite nelle pagine di manuale della chiamata socket (man 7 socket). socket(pf INET, SOCK STREAM, TCP) socket(pf INET, SOCK RAW, Protocol) raw socket, accesso diretto a livello IP socket(pf PACKET, SOCK RAW, Protocol) raw socket, accesso diretto a livello data-link

Concetto di Sniffing Per poter sniffare bisogna avere i permessi di amministratore. Funzionamento delle socket raw, viene passata una copia del pacchetto. L attività di sniffing è utilizzata per monitorare e diagnosticare delle problematiche di rete, oppure da un punto di vista maligno per poter reperire informazioni sensibili senza autorizzazione.

Tipologie di Sniffing Esistono due tipi principali di attività di sniffing: sniffing attivo e sniffing passivo, quello passivo limita a leggere le informazioni (es. tcpdump), quello attivo invece mira anche a modificare i dati all interno dei pacchetti (es. ettercap). Le informazioni che riceviamo dipendono dalla topologia della rete in cui siamo immersi, (rete con switch o reti con hub) dai possibili attacchi che si possono fare. Per poter abilitare la lettura delle informazioni di rete non relative al nostro indirizzo dobbiamo impostare la modalità promiscua sulla scheda di rete (ifconfig eth0 promisc).

Rilevamento di uno sniffer (1) Un host sospetto sta sniffando? Difficile da capire, soprattutto nel caso di sniffing passivo......ma non impossibile! Solo un esempio: cosa succede se mando un frame ethernet con destinatario inesistente, incapsulandovi una richiesta ARP who-has per l IP dell host sospetto?

Rilevamento di uno sniffer (2) 192.168.1.2 NON sta sniffando gandalf:~# tcpdump -ne arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:14:26.264207 00:02:44:36:3a:06 > 11:22:33:44:55:66, ethertype ARP (0x0806), length 42: arp who-has 192.168.1.2 tell 192.168.1.3 192.168.1.2 STA sniffando gandalf:~# tcpdump -ne arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:14:43.349462 00:02:44:36:3a:06 > 11:22:33:44:55:66, ethertype ARP (0x0806), length 42: arp who-has 192.168.1.2 tell 192.168.1.3 19:14:43.349598 00:40:f4:66:da:35 > 00:02:44:36:3a:06, ethertype ARP (0x0806), length 60: arp reply 192.168.1.2 is-at 00:40:f4:66:da:35

TCPDUMP: introduzione Uno degli sniffer più avanzati per la cattura e registrazione dei pacchetti di rete; sito ufficiale http://www.tcpdump.org Utilizza per poter leggere i dati dalla rete le librerie pcap che trovate al sito: http://sourceforge.net/projects/libpcap/ Esiste una versione anche per Windows sviluppata dal Politecnico di Torino che si chiama Windump, notizie utili le trovate: http://windump.polito.it/

TCPDUMP: introduzione Permette sia di catturare le informazioni in tempo reale in formato sintetico, visualizzando soltanto gli indirizzi i protocolli etc., sia di catturare l intero contenuto del pacchetto in formato esadecimale. La caratteristica piu potente è quella di fornire una completa sintassi di espressioni per poter impostare filtri capaci di discriminare ogni singolo campo del pacchetto catturato.

TCPDUMP: Sintassi TCPDUMP Sintassi: tcpdump [ -adeflnnopqrstuvxx ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ]

TCPDUMP: Sintassi # tcpdump -i eth0 Questo comando mostra sullo standard output tutto il traffico passante dall interfaccia eth0. # tcpdump -n -i eth0 Come sopra ma non risolve gli indirizzi, lasciandoli nel formato numerico. # tcpdump -x -i eth0 Emette la prima parte dei dati del pacchetto (fino ai primi 68 byte), per poter specificare più byte da considerare l opzione -s n byte

TCPDUMP: Espressioni Elementi delle espressioni: Gli indirizzi di origine o di destinazione, riferiti alla suite TCP/IP chiamati anche nodi. Le porte di comunicazione a livello applicazione. I protocolli ether, fddi, ip, arp, rarp, decnet, tcp, udp.

TCPDUMP: Primitive (1) Primitive espressioni: dst host nodo: nodo destinazione. src host nodo: nodo sorgente. host nodo: indifferenza su origine e destinazione. ether dst nodo ethernet: nodo destinazione ether src nodo ethernet: nodo sorgente ether host nodo ethernet: indifferenza tra src. e dest. dst net rete: rete destinazione src net rete: rete sorgente net rete: indifferenza tra rete src. e rete dest.

TCPDUMP: Primitive (2) dst port porta: porta destinazione src port porta: porta sorgente port porta: indifferenza tra porta src. e porta dest. ether proto protocollo: protocollo può essere ip, arp, rarp. ip proto protocollo: protocollo può essere: icmp, udp, tcp, icmp. tutte le primitive possono essere legate fra loro attraverso gli operatori logici AND OR e NOT.

TCPDUMP: Esempi di espressioni (1) Ascoltare i pacchetti destinati a un certo host e.g. 192.168.200.2: # tcpdump -ni eth0 host 192.168.200.2 Ascoltare i pacchetti destinati ad una certa rete e.g. 192.168.200.0/24: # tcpdump -i eth0 net 192.168.200.0/24 Ascoltare i pacchetti destinati a un certo host su una certa porta e.g. 192.168.200.2 port 80: # tcpdump -ni eth0 host 192.168.200.2 and port 80

TCPDUMP: Esempi di espressioni (2) Ascoltare i pacchetti mostrando il campo dati in esadecimale: # tcpdump -x -ni lo host 192.168.200.2 and port 80 Ascoltare i pacchetti, troncando i dati a 1500 byte: # tcpdump -s 1500 -x -ni lo host 192.168.200.2 and port 80 Ascoltare i pacchetti mostrando l header data-link: # tcpdump -e -s 1500 -x -ni lo host 192.168.200.2 and port 80

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back