LAN Sniffing con Ettercap



Похожие документы
Man-in-the-middle su reti LAN

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Reti di Calcolatori

Progettare un Firewall

Informazioni Generali (1/2)

Dispositivi di rete. Ripetitori. Hub

ARP e instradamento IP

Linux User Group Cremona CORSO RETI

Creare connessioni cifrate con stunnel

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle reti

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Gestione degli indirizzi

Sicurezza dei sistemi e delle reti 1. Lezione XVI: L assegnazione automatica di IP. Cosa fa DHCP. Il DHCP. Mattia Monga. a.a.

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Apparecchiature di Rete

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

A intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.

ATTIVAZIONE SCHEDE ETHERNET PER STAMPANTI SATO SERIE ENHANCED

Gestione degli indirizzi

Configurazione Rete in LINUX

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Reti di calcolatori. Lezione del 10 giugno 2004

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Internet. Introduzione alle comunicazioni tra computer

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

RETE, ADSL e CONDIVISIONI

Gli indirizzi dell Internet Protocol. IP Address

Determinare la grandezza della sottorete

Modelli di rete aziendale port forward PAT PAT NAT + PAT NAT table

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

INFOCOM Dept. Antonio Cianfrani. Virtual LAN (VLAN)

Vlan Relazione di Sistemi e Reti Cenni teorici

Guida ragionata al troubleshooting di rete

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Corso reti 2k7. linuxludus

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

Introduzione allo sniffing

Tesina di Sicurezza dei sistemi informatici

Reti di calcolatori ed indirizzi IP

ARP (Address Resolution Protocol)

Ettercap, analisi e sniffing nella rete. Gianfranco Costamagna. LinuxDay abinsula. October 25, 2014

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

VPN CIRCUITI VIRTUALI

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

L'indirizzo IP. Prof.ssa Sara Michelangeli

DA SA Type Data (IP, ARP, etc.) Padding FCS

Interconnessione di reti

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Internetworking TCP/IP: esercizi

ASSEGNAZIONE INDIRIZZI IP

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Reti di Calcolatori. Il software

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

ARP SPOOFING - Papaleo Gianluca

GLI APPARATI PER L INTERCONNESSIONE DI RETI LOCALI 1. Il Repeater 2. L Hub 2. Il Bridge 4. Lo Switch 4. Router 6

Guida alla configurazione

Protocolli di Comunicazione

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Simulazione seconda prova Sistemi e reti Marzo 2016

Impostazione dell'indirizzo IP del dispositivo di autenticazione di Xerox Secure Access Unified ID System Carta bianca

Online Help StruxureWare Data Center Expert

LaCie Ethernet Disk mini Domande frequenti (FAQ)

STAMPA DI UNA PAGINA SEMPLICE

Traduzione e adattamento a cura di Gylas per Giochi Rari Versione 1.0 Luglio giochirari@giochirari.

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione :

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori (a.a. 2010/11)

Indirizzamento privato e NAT

Introduzione alle VLAN Autore: Roberto Bandiera 21 gennaio 2015

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 3 a lezione a.a. 2009/2010 Francesco Fontanella

Inizializzazione degli Host. BOOTP e DHCP

Veneto Lavoro via Ca' Marcello 67/b, Venezia-Mestre tel.: 041/


GUIDA ALLA REGISTRAZIONE DI UN DVR SU

Lezione n.9 LPR- Informatica Applicata

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Martedì 15 Novembre 2005

VOIP CALL RECORDER VCR2

Sicurezza a livello IP: IPsec e le reti private virtuali

Gestione dei rifiuti

Creare una Rete Locale Lezione n. 1

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Reti diverse: la soluzione nativa

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

5. Traduzione degli indirizzi di rete in indirizzi fisici: ARP

PROCEDURA INVENTARIO DI MAGAZZINO di FINE ESERCIZIO (dalla versione 3.2.0)

Guida Packet Tracer. Prof. Ettore Panella.

Introduzione al TCP/IP Indirizzi IP Subnet Mask Frame IP Meccanismi di comunicazione tra reti diverse Classi di indirizzi IP Indirizzi IP privati e

Транскрипт:

ICT Security n. 26, Settembre 2004 p. 1 di 7 LAN Sniffing con Ettercap In questa rubrica non ci siamo occupati molto dei problemi di sicurezza delle reti locali, le LAN, un po' perché sono fin troppo discussi ed un po' perché rendere ragionevolmente sicura una LAN aziendale è quasi impossibile. In una LAN più che in altri punti del networking, vi è uno scontro diretto tra sicurezza e fruibilità e per ragioni note a tutti è quasi sempre la sicurezza a venire tralasciata. Uno degli argomenti che vengono proposti spesso come scusa per ignorare i problemi di sicurezza delle LAN è che con l'avvento degli switch solo il traffico destinato ad un particolare elaboratore viene instradato sul cavo connesso a quell'elaboratore, mentre precedentemente con gli hub, tutto il traffico presente in rete veniva instradato a tutti gli elaboratori. Questa affermazione è vera in condizioni di traffico normali, ma è facilmente aggirabile, al punto che vi sono anche tool automatici per farlo. In questo articolo utilizzeremo Ettercap, tra l'altro un prodotto italiano, per dare un esempio di come sia semplice sovvertire una switched LAN nella quale non si siano prese adeguate misure di sicurezza. Arp Spoofing La principale tecnica per attacchi in switched ethernet LAN è l'arp Spoofing. Per comprenderlo dobbiamo ricordare alcuni dettagli del protocollo ethernet. I pacchetti IP sono incapsulati in frame ethernet ed inviati dalla scheda di rete sui cavi. Ogni frame ethernet è inviata ad un indirizzo, detto MAC address, di un'altra scheda ethernet sulla stessa LAN. Uno switch si ricorda i MAC address delle schede di rete connesse ad ognuna delle sue porte ed invia solo i pacchetti destinati ad ognuna di esse attraverso la relativa porta. E' necessario perciò associare agli indirizzi IP delle macchine sulla rete locale i MAC address delle relative schede di rete. Ogni elaboratore mantiene una tabella detta Arp Table con la relativa traduzione. Di norma quando si accende una macchina questa tavola è vuota, quando poi un elaboratore deve contattare un'altra macchina di cui conosce il numero IP ma non il MAC address, invia a tutte le macchine sulla LAN una arp-request (in broadcast) per il numero IP che conosce. La macchina che ha tale numero IP risponde con il proprio MAC address. Per velocizzare il riempimento delle tavole Arp, spesso all'avvio un elaboratore invia a tutte le macchine un unsolicited-arp con il quale informa tutte le macchine del proprio numero IP e MAC address. Un elaboratore che riceve una informazione Arp per un indirizzo IP per il quale ha già il MAC address nella tavola Arp, sostituisce il vecchio MAC con il nuovo a meno che l'amministratore non abbia specificatamente marcato il MAC address nella tavola come immutabile. Questo comportamento del protocollo Arp permette in condizioni normali di sostituire schede ethernet, cambiare indirizzi IP ecc. senza doversi curare di quello che

ICT Security n. 26, Settembre 2004 p. 2 di 7 succede a livello ethernet. Da questo punto di vista possiamo dire che la LAN ethernet a livello 2 della pila ISO/OSI si auto-configura. Questa semplicità può essere però sfruttata per un semplice attacco man-in-the-middle. L'attacco Supponiamo di avere due macchine che si devono parlare, host 192.168.12.66 e GateWay 192.168.12.254, e l'attaccante attack 192.168.12.193. L'attaccante utilizza ad esempio dei unsolicited arp per cambiare le tavole Arp delle due macchine sotto attacco mettendo in queste il proprio indirizzo MAC al posto di quello del relativo corrispondente. In tabella 1 riportiamo la situazione prima dell'attacco su tre macchine con SO Linux prese come esempio. 1 Utilizzando ettercap su 192.168.12.193, l'attacco è molto semplice, basta dare il comando ettercap -a 192.168.12.66 192.168.12.254 l'opzione -a indica di effettuare un attacco di sniffing basato sulla manipolazione delle tavole Arp delle due macchine indicate nella linea di comando. Dopo aver dato questo comando, le tavole Arp su host e GateWay sono modificate come riportato in Tabella 2. Il significato di queste tabelle è molto semplice, sia host che GateWay associano all'indirizzo IP dell'altro il MAC address di attack e perciò inviano ad attack tutti i pacchetti destinati all'altro. In condizioni normali, quando attack riceve dei pacchetti a livello ethernet per un numero IP non proprio, li scarta. Invece in un attacco mitm, quando attack riceve i pacchetti in transito tra host e GateWay, ne fa una copia, li modifica se vuole, e poi li invia al legittimo destinatario che non si accorge di nulla. Ettercap rende tutto questo procedimento semplice da implementare con il solo comando indicato, ma questo tipo di attacchi è ben noto e facilmente implementabile in molti altri modi e con molti altri tool. Per verificare il successo dell'attacco, ci colleghiamo ad host e scarichiamo una pagina web tramite GateWay. In realtà il traffico passa attraverso attack, ed infatti le figure 1, 2, e 3 mostrano cosa viene registrato da Ettercap su attack: tutto il traffico! Contromisure Possiamo ora provare a prendere delle contromisure. Ad esempio su GateWay blocchiamo la tavola Arp in modo che attack non possa cambiarla dando il comando: arp -s 192.168.12.66 00:00:B4:C7:14:7B in questo modo assegnamo staticamente al numero IP 192.168.12.66 il MAC address 00:00:B4:C7:14:7B ed Arp non può più cambiare questa assegnazione. Nella tabella 3 è riportata la nuova Arp Table su GateWay, il flag M indica che la relativa riga non può essere modificata dinamicamente ma solo dall'amministratore del sistema manualmente. Provando ancora a scaricare 1 Nulla cambia, a parte il formato dell'output nelle tabelle, su altri SO.

ICT Security n. 26, Settembre 2004 p. 3 di 7 una pagina web su host, dalle figure 4 e 5 si nota come Ettercap rileva solo il traffico da host verso GateWay ma correttamente non vede il traffico da GateWay verso host. Questo esempio ci indica quali possibili azioni possiamo adottare per proteggerci da questi tipi di attacchi. Fondamentalmente bisogna bloccare le righe di interesse delle tavole Arp. Questo si può fare, a secondo del caso, a livello del singolo host, o dei server, dei gateway, ed anche sugli switch; si può inoltre dividere il traffico sulla LAN introducendo le VLAN ecc. Il problema principale è quello della gestione degli indirizzi MAC: distribuire e tenere aggiornate su tutte o parte delle macchine tavole Arp parziali o complete è un grande lavoro che non si sposa per nulla con le odierne richieste di dinamicità, dai portatili alle W-LAN, delle reti aziendali. Andrea Pasquinucci Libero Professionista in Sicurezza Informatica pasquinucci@ucci.it Riferimenti Bibliografici [1] Ethernet RFC-894, ARP RFC-826 [2] http://ettercap.sourceforge.net/

ICT Security n. 26, Settembre 2004 p. 4 di 7 host# ifconfig eth0 Link encap:ethernet HWaddr 00:00:B4:C7:14:7B inet addr:192.168.12.66 Bcast:192.168.12.255 Mask:255.255.255.0 host# arp -n Address HWtype Hwaddress Flags Mask Iface 192.168.12.254 ether 00:06:7B:02:6A:39 C eth0 ---------- GW# ifconfig eth0 Link encap:ethernet HWaddr 00:06:7B:02:6A:39 inet addr:192.168.12.254 Bcast:192.168.12.255 Mask:255.255.255.0 GW# arp -n 192.168.12.66 ether 00:00:B4:C7:14:7B C eth0 ---------- attack# ifconfig eth0 Link encap:ethernet HWaddr 00:50:BA:5D:C2:0F inet addr:192.168.12.193 Bcast:192.168.12.255 Mask:255.255.255.0 attack# arp -n 192.168.12.66 ether 00:00:B4:C7:14:7B C eth0 192.168.12.254 ether 00:06:7B:02:6A:39 C eth0 Tabella 1. Indirizzi IP, Mac Address e Arp Table prima dell'attacco host# arp -n Address HWtype Hwaddress Flags Mask Iface 192.168.12.254 ether 00:50:BA:5D:C2:0F C eth0 GW# arp -n 192.168.12.66 ether 00:50:BA:5D:C2:0F C eth0 Tabella 2. Le Arp Table durante l'attacco GW# arp -n 192.168.12.66 ether 00:00:B4:C7:14:7B CM eth0 Tabella 3. La Arp Table di GW con il MAC di 192.168.12.66 bloccato

ICT Security n. 26, Settembre 2004 p. 5 di 7 Figura 1. Le due connessioni (DNS e HTTP) per la richiesta di una pagina web Figura 2. I dati intercettati per la connessione DNS

ICT Security n. 26, Settembre 2004 p. 6 di 7 Figura 3. I dati intercettati per la connessione HTTP Figura 4. La nuova richiesta di host rimane nello stato CLOSING poiché attack non vede i pacchetti di ritorno che chiudono del tutto la connessione

ICT Security n. 26, Settembre 2004 p. 7 di 7 Figura 5. Ettercap rileva solo la richiesta da host ma non i pacchetti di ritorno con i dati della pagina web

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back