SNIFFING. Conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall'utente,



Documenti analoghi
Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Reti di Telecomunicazione Lezione 8

Dal protocollo IP ai livelli superiori

Man-in-the-middle su reti LAN

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Elementi sull uso dei firewall

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Introduzione allo sniffing

Transmission Control Protocol

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Modulo 1.3 Reti e servizi

Lo scenario: la definizione di Internet

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

LAN Sniffing con Ettercap

Informatica per la comunicazione" - lezione 8 -

Progettare un Firewall

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ARP (Address Resolution Protocol)

Protocolli di Comunicazione

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

Inizializzazione degli Host. BOOTP e DHCP

Guida di Pro PC Secure

Reti di Calcolatori. Il software

Hardware delle reti LAN

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Aspetti di sicurezza in Internet e Intranet. arcipelago

Reti di Calcolatori

SWITCH. 100 Mb/s (UTP cat. 5E) Mb/s SWITCH. (UTP cat. 5E) 100 Mb/s. (UTP cat.

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

GLI APPARATI PER L INTERCONNESSIONE DI RETI LOCALI 1. Il Repeater 2. L Hub 2. Il Bridge 4. Lo Switch 4. Router 6

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

Dispositivi di rete. Ripetitori. Hub

Reti di calcolatori ed indirizzi IP

Maschere di sottorete a lunghezza variabile

Apparecchiature di Rete

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Internet. Introduzione alle comunicazioni tra computer

ATTIVAZIONE SCHEDE ETHERNET PER STAMPANTI SATO SERIE ENHANCED

Linux User Group Cremona CORSO RETI

Internet. Internet. Internet Servizi e Protocolli applicativi. Internet. Organizzazione distribuita

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Reti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1

Firewall e Abilitazioni porte (Port Forwarding)

Wireshark revealed. Dario Lombardo Linuxday Torino 2010

Reti di Calcolatori. una rete di calcolatori è costituita da due o più calcolatori autonomi che possono interagire tra di loro una rete permette:

DA SA Type Data (IP, ARP, etc.) Padding FCS

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Software per Helpdesk

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Mac Application Manager 1.3 (SOLO PER TIGER)

Reti di Telecomunicazione Lezione 7

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Gestione degli indirizzi

Reti LAN. IZ3MEZ Francesco Canova

FTP. Appunti a cura del prof. ing. Mario Catalano

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 3 a lezione a.a. 2009/2010 Francesco Fontanella

Simulazione seconda prova Sistemi e reti Marzo 2016

IDS: Intrusion detection systems

Corso di Sistemi di Elaborazione delle informazioni. Reti di calcolatori 2 a lezione a.a. 2009/2010 Francesco Fontanella

Informatica per la comunicazione" - lezione 13 -

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Gestione degli indirizzi

Start > Pannello di controllo > Prestazioni e manutenzione > Sistema Oppure clic destro / Proprietà sull icona Risorse del computer su Desktop

Istruzioni. Il cuore del dispositivo è un Embedded PC Linux che raccoglie e gestisce tutte le funzioni dell' apparecchiatura.

Configurare una rete con PC Window s 98

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

1) GESTIONE DELLE POSTAZIONI REMOTE

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

INDIRIZZI IP AUTORIZZATI

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

Proteggiamo il PC con il Firewall di Windows Vista

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

WebFax- manuale utente

ARP e instradamento IP

I COMPONENTI DI UNA RETE

P2-11: BOOTP e DHCP (Capitolo 23)

1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/ Lato client

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Software di interfacciamento sistemi gestionali Manuale di installazione, configurazione ed utilizzo

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Identità sulla rete protocolli di trasmissione (TCP-IP) L architettura del sistema. Dal livello A al livello B

Manuale d'uso del Connection Manager

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Riccardo Paterna

Stampe in rete Implementazione corretta

Reti di Calcolatori. Corso di Informatica. Reti di Calcolatori. Reti di Calcolatori. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

Reti di calcolatori. Reti di calcolatori

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

A intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Creare una Rete Locale Lezione n. 1

Creare connessioni cifrate con stunnel

Internet e protocollo TCP/IP

2.1 Configurare il Firewall di Windows

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Transcript:

SNIFFING PACKET SNIFFER Un packet sniffer è un qualsiasi dispositivo, software o hardware, che si connette a reti di computer ed origlia sul traffico di rete. Generalmente si utilizzano software sniffer e il termine in questione si riferisce a: The Sniffer Network Analyzer, il nome del primo programma di questo tipo, sviluppato dalla Network Associates, Inc. e protetto da trademark. Tuttavia la parola 'sniffer' e' ora di uso comune e con essa ci riferiamo a tutti i programmi che implementano quelle stesse funzioni. Si possono dividere i vari tipi di sniffer in due grandi branche: i prodotti commerciali che sono rivolti agli amministratori di rete e alla manutenzione interna delle reti stesse e i prodotti sviluppati nell'underground informatico, spesso dotati di un'incredibile varietà di funzioni ulteriori rispetto ai 'tool' commerciali; entrambi possono essere utilizzati come mezzo per accedere ad una rete. Se vogliamo fare una distinzione che non si basi solo sul prezzo del prodotto o sulla sua provenienza, possiamo considerare i software precedenti come un tutt' uno e rapportarli ad applicativi come gli analizzatori di rete (network analyzer) che danno la possibilità di fare qualche operazione in più rispetto al semplice ascolto e archiviazione dei dati di passaggio su una rete, come compilare statistiche sul traffico e sulla composizione dei pacchetti. Le funzioni tipiche degli sniffer non differiscono di molto e possono essere riassunte sinteticamente in: Conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall'utente, Analisi dei difetti di rete, ad es. perche' il computer 'A' non riesce a dialogare con 'B', Analisi di qualita' e portata della rete (performance analisys), ad es.per individuare colli di bottiglia lungo la rete, Setacciamento automatizzato di password e nomi di utenti (in chiaro o, più spesso cifrati) per successiva analisi (questo è un uso comune degli hackers per consentirgli di accedere ai sistemi), Creazione di log, lunghi elenchi che contengono la traccia, in questo caso, del traffico sulla rete, Scoperta di intrusioni in rete attraverso l'analisi dei log del traffico. COMPONENTI DI UN PACKET SNIFFER Hardware La maggior parte dei prodotti lavora con normali adattatori di rete, per quanto alcuni richiedano un hardware speciale, utilizzando il quale, è possibile analizzare errori hardware come CRC, problemi nel voltaggio o nel cavo, errori di negoziazione e così via. Driver di cattura E la componente più importante. Cattura il traffico di rete dal cavo, filtrandolo secondo i dati richiesti e memorizza quest ultimi in un buffer. Buffer I frames catturati possono essere memorizzati in due modi: o finchè non si riempe il buffer oppure utilizzando il buffer in modalità circolare (Round Robin).Quest ultima modalità di riempimento consiste semplicemente nel sostituire i dati vecchi con quelli nuovi.alcuni prodotti (BlackICE Sentry IDS) supportano in modo completo un buffer di cattura circolare su disco a velocità dell ordine dei 100 mbps.questo permette di avere centinaia di giga di buffer piuttosto che un giga dato da un buffer che sfrutti esclusivamente memoria. 1

Analisi in tempo reale Questa componente effettua una prima analisi sui frames così come vengono catturati dal cavo. In questo modo si è in grado di evidenziare problemi di prestazione ed errori durante la cattura.molti produttori hanno cominciato già ad inserire questa funzionalità nelle loro linee di prodotti.i sistemi per il rilevamento delle intrusioni fanno proprio questo al fine di rilevare segni dell attività degli hackers piuttosto che per i problemi relativi agli errori o alle prestazioni. Decodifica Permette di visualizzare il contenuto del traffico di rete accompagnato da una descrizione. RISCHI Gli sniffer rappresentano un rischio elevato per una rete o per un pc dell utente medio. La semplice esistenza di uno sniffer rappresenta una falla ed una minaccia alla sicurezza ed alla riservatezza delle comunicazioni all interno della rete. Se la LAN è sottoposta al controllo di uno sniffer ci sono due possibilità di rischio: o un intruso dall esterno è riuscito ad installare uno sniffer all interno della rete oppure un utente o il gestore della rete stessa ne sta facendo uso improprio (i.e. oltre al monitoraggio e alla manutenzione). I dati maggiormente a rischio sono le password personali utilizzate per accedere ai più svariati servizi di rete (login utente, accesso al proprio spazio su disco) o a servizi internet (la mail-box!), poiché la richiesta di accesso e quindi l invio di password rientra tra i primi pacchetti che vengono inviati per ogni tentativo di connessione al servizio prescelto dall utente ed è il primo dato che generalmente viene filtrato dallo sniffer. Inoltre i servizi in rete o web utilizzano protocolli di autenticazione del tutto in chiaro. E improbabile comunque che lo sniffer sia dotato di supporti che permettano di catturare tutto il traffico in passaggio dal network ed in più all aumentare del traffico in rete aumentano anche i pacchetti persi. Ciò ovviamente non significa che una rete più grande fornisca maggior sicurezza. FUNZIONAMENTO DI UN DISPOSITIVO DI SNIFFING Un dispositivo di sniffing analizza e processa i pacchetti che arrivano al suo dispositivo di rete. L hardware ethernet ovviamente si presta a questo tipo di attacco visto che più macchine condividono lo stesso cavo ethernet (o con una topologia ad anello con cavo coassiale o a stella con hub centrale). L attività di sniffing all interno di questo tipo di rete può essere menomata sostituendo switch a hub: si possono incontrare solo pacchetti originati dal o destinato al computer locale, oltre ai soliti broadcast. Esiste tuttavia una tecnica piuttosto evoluta (arp spoofing) tramite la quale è possibile sniffare i pacchetti di terzi anche in una rete di tipo switched. Questo concetto di condivisione del cavo non è previsto invece dai modem dial-up visto che si presuppone che ogni dato inviato dal modem sia destinato al capo opposto della linea telefonica. Quando sono inviati i pacchetti (con le varie intestazioni di livello TCP/IP) tutti gli adattatori hardware presenti vedono i frame, incluso l adattatore della macchina destinatario (solitamente un router), lo sniffer e qualsiasi altra macchina.gli adattatori in genere hanno però un chip hardware che confronta l indirizzo di destinazione MAC del frame con il proprio.visto che questo avviene al livello hadware, la macchina alla quale è collegato l adattatore è all oscuro del processo. Normalmente dunque solo l interfaccia del destinatario passa i dati allo strato superiore mentre nel caso in cui sia installato un dipositivo di sniffing il funzionamento è differente. Telnet HTTP TCP UDP IP Link Layer A ftp Telnet HTTP TCP UDP IP Link Layer B ftp Y,B,TCP,23,abcdef 1

Sniffing e TCP/IP Istanza di Netscape associata dal sistema alla porta 12423 Tcpdump o altro sniffer può sapere chi parla con chi e cosa dicono TCP UDP IP,ICMP Ethernet device driver S.O Copia dei pacchetti inviati Copia dei pacchetti ricevuti Filtro nel S.O. BPF Driver header etherne,<datagramma IP> Le API del sistema operativo permettono di leggere tutto ciò che passa sul canale ponendo l interfaccia di rete in modalità promiscua. In tal caso i dati vengono consegnati all applicazione che li richiede in modo grezzo, senza che essi passino attraverso gli opportuni strati di protocollo.resta a carico dello sniffer effettuare un interpretazione dei pacchetti e assemblare i dati. Vediamo che accade all interno di un Sistema Operativo: supponiamo di avere un istanza di Netscape associata ad una determinata porta;ora questa istanza passa attraverso i protocolli TCP/IP prima di accedere al cavo.a questo punto, attraverso il dispositivo ethernet, viene fatta una copia dei pacchetti inviati e dei pacchetti ricevuti e poiché il programma di sniffing TCPdump o un altro sniffer ha settato l interfaccia in modalità promiscua, tutti i dati saranno consegnati a questa applicazione attraverso il filtro del sistema operativo. Nei sistemi Unix la programmazione di rete avviene mediante i socket. Attraverso queste API il programmatore ottiene un controllo più o meno elevato della comunicazione in rete, ma deve gestire molti dettagli implementativi. Esistono per questo molte librerie che semplificano l utilizzo della rete.la libreria pcap (Packet Capture) rende relativamente semplice la cattura dei pacchetti, offre un interfaccia di programmazione per la cattura dei pacchetti di facile utilizzo ed è indipendente dal tipo di dispositivo di rete. TCP/IP agevola gli sniffer TCP/IP non offre alcun meccanismo di protezione dei dati che viaggiano in chiaro ed inoltre non è fornito alcun modo per garantire l autenticità degli interlocutori. Un altra caratteristica di TCP/IP utilizzata dagli sniffer è il numero di sequenza dei segmenti TCP.Lo sniffer li conosce, in quanto viaggiano in chiaro, e quindi può usarli per introdursi nella comunicazione al posto di un altro utente e,ad esempio, ponendo un attacco DoS rendere l ipotetica vittima incapace di comunicare.in questo modo anche se si è effettuato un riconoscimento, magari cifrato, l intruso potrebbe continuare le operazioni senza essere scoperto. Sostituirsi all indirizzo MAC vittima Questo è possibile sia in una rete di tipo shared che di tipo switched (a causa della caratteristica di apprendimento automatico dello switch) semplicemente inviando pacchetti con l indirizzo sorgente della vittima.ci sono tre modi per modificare l indirizzo MAC di una macchina e quindi sostituirsi alla vittima ( spoof ). 1. L indirizzo MAC è parte dei dati del frame quindi, inviando un frame ethernet sul cavo, è possibile sovrascriverne i contenuti con i propri. Chiaramente, bisogna avere in esecuzione un programma che faccia questo per qualche motivo. 2. La maggior parte degli adattatori permette di riconfigurare al volo l indirizzo MAC. Per esempio, alcune schede permettono di riconfigurare l indirizzo dall interno del pannello di controllo di Windows. 3. E possibile scrivere nuovamente (ad esempio, riprogrammando la EEPROM) l indirizzo della scheda. E necessario un programma/hardware che conosca le specifiche del chipset utilizzato dalla scheda.questo modifica la scheda per sempre con il nuovo indirizzo. 1

PROTOCOLLI VULNERABILI Telnet e rlogin La cattura dei pacchetti permette di avere tasti che l utente preme man mano che questi vengono dati.esistono programmi che si occupano di catturare il testo e lo scaricano verso un emulatore di terminale che ricostruisce esattamente quello che l utente finale vede.questo fornisce una vista in tempo reale dello schermo dell utente remoto http La versione di default di http ha numerosi bachi.diversi siti web utilizzano il metodo di autenticazione Basic, che invia le password sul cavo in chiaro.altri siti web utilizzano un altra tecnica richiedendo all utente un nome e la password ma anche in questo caso i dati sono spediti in chiaro. Snmp E il protocollo di monitoraggio e controllo dei dispositivi di rete quali router, hub, server, switch.quasi la totalità del traffico snmp è di tipo snmpv1 che utilizza l invio dei nomi di community,utilizzati come password,in chiaro. Nntp Protocollo per le news per cui l autenticazione avviene attraverso delle password spedite in chiaro. Pop Password e dati spediti in chiaro. Ftp Passoword e dati spediti in chiaro. Imap Protocollo che elabora la posta su un server remoto e centralizzato.le password e i dati sono anche qui spediti in chiaro. Da notare che tutti questi sistemi hanno alternative sicure.inserendo dati come quelli relativi alle carte di credito, la maggior parte dei siti web utilizzano metodi crittografici come quelli offerti da SSL, piuttosto che il normale http. Allo stesso modo, S/MIME e PGP possono cifrare la posta elettronica ad un livello maggiore rispetto ai protocolli come Pop/Imap/Smtp. 4

ANALISI DI PROTOCOLLO L analisi di protocollo è il processo di cattura (con i programmi di cattura) e osservazione del traffico di rete,di modo da capire cosa accada. I dati inviati sul cavo vengono pacchettizzati e quindi riassemblati sul lato opposto. Di seguito vi è un esempio di pacchetto preso da uno sniffer che scarica pagine da un sito web. 000 00 00 BA 5E BA 11 00 A0 C9 B0 5E BD 08 00 45 00...^...^.. 010 05 DC 1D E4 40 00 7F 06 C2 6D 0A 00 00 02 0A 00...@...m... 020 01 C9 00 50 07 75 05 D0 00 C0 04 AE 7D F5 50 10.P.u...}.P 030 70 79 8F 27 00 00 48 54 54 50 2F 31 2E 31 20 32 py.'..http/1.1.2 040 30 30 20 4F 4B 0D 0A 56 69 61 3A 20 31 2E 30 20.OK..Via:.1.0 050 53 54 52 49 44 45 52 0D 0A 50 72 6F 78 79 2D 43 STRIDER..Proxy-C 060 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D onnection:.keep 070 41 6C 69 76 65 0D 0A 43 6F 6E 74 65 6E 74 2D 4C Alive..Content-L 080 65 6E 67 74 68 3A 20 32 39 36 37 34 0D 0A 43 6F ength:.29674..co 090 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 ntent-type:.text 0A0 2F 68 74 6D 6C 0D 0A 53 65 72 76 65 72 3A 20 4D /html..server:.m 0B0 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 34 2E 30 icrosoft-iis/4.0 0C0 0D 0A 44 61 74 65 3A 20 53 75 6E 2C 20 32 35 20..Date:.Sun,.25 0D0 4A 75 6C 20 31 39 39 39 20 32 31 3A 34 35 3A 35 Jul.1999.21:45:5 0E0 31 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 61 1.GMT..Accept-Ra 0F0 6E 67 65 73 3A 20 62 79 74 65 73 0D 0A 4C 61 73 nges:.bytes..las 100 74 2D 4D 6F 64 69 66 69 65 64 3A 20 4D 6F 6E 2C t-modified:.mon 110 20 31 39 20 4A 75 6C 20 31 39 39 39 20 30 37 3A.19.Jul.1999.07 120 33 39 3A 32 36 20 47 4D 54 0D 0A 45 54 61 67 3A 39:26.GMT..Etag 130 20 22 30 38 62 37 38 64 33 62 39 64 31 62 65 31."08b78d3b9d1be1 140 3A 61 34 61 22 0D 0A 0D 0A 3C 74 69 74 6C 65 3E :a4a"... 150 53 6E 69 66 66 69 6E 67 20 28 6E 65 74 77 6F 72 Sniffing.(networ 160 6B 20 77 69 72 65 74 61 70 2C 20 73 6E 69 66 66 k.wiretap,.sniff 170 65 72 29 20 46 41 51 3C 2F 74 69 74 6C 65 3E 0D er).faq</title>. 180 0A 0D 0A 3C 68 31 3E 53 6E 69 66 66 69 6E 67 20...<h1>Sniffing. 190 28 6E 65 74 77 6F 72 6B 20 77 69 72 65 74 61 70 (network.wiretap 1A0 2C 20 73 6E 69 66 66 65 72 29 20 46 41 51 3C 2F,.sniffer).FAQ</ 1B0 68 31 3E 0D 0A 0D 0A 54 68 69 73 20 64 6F 63 75 h1>...this.docu 1C0 6D 65 6E 74 20 61 6E 73 77 65 72 73 20 71 75 65 ment.answers.que 1D0 73 74 69 6F 6E 73 20 61 62 6F 75 74 20 74 61 70 stions.about.tap 1E0 70 69 6E 67 20 69 6E 74 6F 20 0D 0A 63 6F 6D 70 ping.into...comp 1F0 75 74 65 72 20 6E 65 74 77 6F 72 6B 73 20 61 6E uter.networks.an... Sono presenti i primi 512 byte del pacchetto in rappresentazione standard in formato Hexdump di un pacchetto inviato in rete, prima di essere decodificato. Un HexDump ha tre colonne: l offset, i dati in formato esadecimale e l equivalente formato ASCII.Questo pacchetto contiene 14 byte di intestazione Ethernet, 20 byte di intestazione IP, 20 byte di intestazione TCP, un intestazione http e quindi i dati. Il motivo per cui vengono visualizzati sia in formato esadecimale che ASCII è dato dal fatto che a volte è piuù semplice leggere l uno o l altro.per esempio, nella parte superiore del pacchetto, l ASCII non ha alcun significato apparente ma il formato esadecimale è leggibile, per cui è possibile dire che l indirizzo MAC sorgente è 00-00-BA- 5E-BA-11. 5

Un analizzatore di protocollo prenderà questo Hexdump ed interpreterà così i singoli campi: ETHER: Destination address : 0000BA5EBA11 ETHER: Source address : 00A0C9B05EBD ETHER: Frame Length : 1514 (0x05EA) ETHER: Ethernet Type : 0x0800 (IP) IP: Version = 4 (0x4) IP: Header Length = 20 (0x14) IP: Service Type = 0 (0x0) IP: Precedence = Routine IP:...0... = Normal Delay IP:...0... = Normal Throughput IP:...0.. = Normal Reliability IP: Total Length = 1500 (0x5DC) IP: Identification = 7652 (0x1DE4) IP: Flags Summary = 2 (0x2) IP:...0 = Last fragment in datagram IP:...1. = Cannot fragment datagram IP: Fragment Offset = 0 (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protocol = TCP - Transmission Control IP: Checksum = 0xC26D IP: Source Address = 10.0.0.2 IP: Destination Address = 10.0.1.201 TCP: Source Port = Hypertext Transfer Protocol TCP: Destination Port = 0x0775 TCP: Sequence Number = 97517760 (0x5D000C0) TCP:Acknowledgement Number = 78544373(0x4AE7DF5) TCP: Data Offset = 20 (0x14) TCP: Reserved = 0 (0x0000) TCP: Flags = 0x10 :.A... TCP:..0... = No urgent data TCP:...1... = Acknowledgement fieldsignificant TCP:...0... = No Push function TCP:...0.. = No Reset TCP:...0. = No Synchronize TCP:...0 = No Fin TCP: Window = 28793 (0x7079) TCP: Checksum = 0x8F27 TCP: Urgent Pointer = 0 (0x0) HTTP: Response (to client using port 1909) HTTP: Protocol Version = HTTP/1.1 HTTP: Status Code = OK HTTP: Reason = OK... La decodifica di protocollo funziona in questo modo: estraendo ogni campo dal pacchetto cercando di dare una spiegazione ad ogni singolo numero.alcuni campi sono piccoli quanto un singolo bit, altri superano diversi byte. Se ne conclude, dunque, che l analisi di protocollo è piuttosto complessa e richiede un ampia conoscenza del protocollo per essere portata a termine con successo. La ricompensa è che in questo modo si ottengono molte informazioni dai protocolli.queste informazioni possono essere utili agli amministratori di rete durante la risoluzione di problemi oppure agli hackers che cercano di accedere ai sistemi. CATTURARE IL TRAFFICO IN UNA RETE DI TIPO SWITCHED Switch jamming Alcuni switch possono essere portati dalla modalità bridge alla modalità hub (i.e semplici ripetitori). Questo è ottenibile sovraccaricando la tabella degli indirizzi con numerosi indirizzi MAC falsi. Tutto ciò si ottiene con una semplice fase di generazione di traffico, o inviando un flusso continuo di traffico casuale attraverso lo switch.in termini di sicurezza questo comportamento è noto come fail open nel senso che quando il dispositivo commette errori di trasmissione vengono rimosse tutte le condizioni di sicurezza. Questo perché gli switch non sono stati sviluppati avendo la sicurezza come punto prioritario. 6

ARP redirect I pacchetti ARP (Adress Resolution Protocol) contengono, come sappiamo, sia l associazione locale (MAC-IP) che quella desiserata.se, ad esempio, Alice ha intenzione di inviare un pacchetto ICMP ping (Internet Control Message Protocol) e non conosce l indirizzo MAC di Bob (non è presente nella sua cache ARP) invia una richiesta ARP per la risoluzione dell indirizzo.essa è inviata in Broadcast quindi un eventuale attaccante può introdursi nella comunicazione, come avevamo visto in precedenza, attraverso una tecnica di spoof anche se non ha partecipato allo scambio di battute originale. E possibile inviare un pacchetto in broadcast sostendendo di essere il router, in tal caso ognuno tenterà di instradare i pacchetti verso di lui (il problema è il rischio che si possa saturare). Oppure è possibile inviare una richiesta Arp solo all indirizzo Mac della vittima, sostenendo di essere il router, a questo punto solo la vittima inoltrerà i pacchetti verso di lui.al contrario è possibile inviare un pacchetto ARP all indirizzo MAC del router sostenendo di essere la vittima.ovviamente le entries della cache sono provviste di timeout,quindi l attaccante dovrà periodicamente rinfrescarle. Questo produce buoni risultati con i sistemi Windows visto che non fa altro che chiudere tutte le proprie connessioni in corso, dando in questo modo la possibilità di sostituirsi alla vittima. ICMP redirect Un ICMP redirect indica alla macchina di inviare i suoi pacchetti in una direzione diversa.un esempio tipico è quello delle subnet logiche sullo stesso segmento fisico.quando un host vuole comunicare e non sa di essere sullo stesso segmento fisico dell ipotetico interlocutore invia i pacchetti al router ma il router invia un ICMP redirect per informarlo del fatto che può inviare i pacchetti direttamente all indirizzo MAC del destinatario. ICMP Router Advertisment L ICMP Router Advertisment informa gli utenti su chi sia il router.un hacker può inviare questi pacchetti sostenendo di essere il router; gli utenti crederanno a questi pacchetti ed inizieranno ad inoltrare i pacchetti verso di lui. Fortunatamente, molti sistemi non supportano tale caratteristica visto che è relativamente nuova.ma anche ora che le implementazioni relative alla sicurezza sono ben note molti sistemi non le supportano. SNIFFING CON MODEM Un primo problema sta nel fatto che un cable-modem si divide in due canali asimmetrici: upstream e downstream. Infatti, esso può ricevere-solo da un canale ad alta velocità (tra i 30 mbs e i 50 mbs), e trasmettere-solo su un canale a bassa velocità (tipicamente un mbs). Ci sono diversi cavi-modem che quando lavorano su un segmento non possono lavorare su un altro diverso. I cablemodem sono ponti o routers e separano gli indirizzi MAC dagli indirizzi IP; ciò vuol dire che settare il proprio adattatore ethernet in modalità promiscua non ha alcun effetto su di esso. Quando il cable-modem è un ponte, qualche volta può essere riconfigurato per lasciar passare tutto il traffico. Tradizionalmente quindi non è possibile sniffare sul cavo modem. Lasciando fuori dunque il discorso della cattura tradizionale esistono altre tecniche per poterlo fare.prima di tutto è possibile catturare i pacchetti di broadcast, multicast, semi-direct.per esempio, se qualcuno avviasse PCAnywhere, quest ultimo invierebbe un pacchetto PCAnywhere a tutti i vicini.in questo modo segnalerebbe la presenza di qualcuno che potrebbe avere PCAnywhere in esecuzione e di un qualcun altro che potrebbe subire un azione di hacking. La media del segmento cable-modem è piena di altri broadcast, come i pacchetti NetBios (pubblicano i nomi utente), broadcast SNMP (rendono pubblici gli apparati di rete come router e stampanti), ecc.. Per permettere inoltre la cattura delle connessioni ci sono, analogamente alle reti di tipo switched, i metodi: ARP: spacciarsi per qualcun altro attraverso l invio di un pacchetto ARP. ICMP REDIRECT: ridirezionare il traffico ad esempio sul proprio sistema anzichè sul router locale. ICMP ROUTER ADVERTISMENT: ridireziona il traffico convincendo una macchina che il proprio sistema è il router. 7

SNIFFING SENZA ACCESSO AL CAVO Si vogliono catturare i pacchetti da una connessione tra due persone senza avere accesso al cavo.questo ovviamente è impossibile ma ci sono in ogni caso dei modi per arrivare ad accedere all comunicazione. ACCESSO REMOTO AL CAVO Accedere ai sistemi ed installarvi un software di cattura che possa essere controllato da remoto. Accedere al relativo ISP ed installarvi il software di cattura. Trovare un sistema presso l ISP che supporti la cattura, tipo una sonda RMON (Remote MONitoring: standard basato su SNMP che permette la gestione del traffico in rete) oppure DDS (Distributed Sniffer System).. NELLE VICINANZE DEL CAVO In alcune situazioni, come i cable-modems, DSL, VLAN ETHERNET, ecc. è possibile dirottare il traffico che scorre tra due utenti come abbiamo visto prima. ROOKITS E ADMIN TROJANS Un altra possibilità è data dall accesso al sistema di un utente e la successiva installazione di un programma sniffer. Su UNIX, i programmi di sniffing sono parte integrante della maggior parte dei rookits (strumenti automatici di scansione e sfruttamento di vulnerabilità). In Windows la capacità rientra all interno di alcuni RAT (come BackOrifice). In teoria questi programmi possono essere usati per sniffare traffico in generale e solitamente sono configurati per sniffare semplicemente e-mail e password. BREVE PANORAMICA SUI PROGRAMMI DI INTERCETTAZIONE Programmi realizzati con funzioni di monitoring ed analisi: Sniffer Network Analyzer: ha dato vita a tutti i prodotti di questo genere, (DOS). Ethereal: è il miglior programma sniffer con interfaccia grafica per LINUX. Supersniffer: è un avanzato sniffer di pacchetto basato su libcap ma con molte modifiche tipo l uso della crittografia DES per il file di log, la possibilità di memorizzare il traffico in base a ricorrenze di normali espressioni, connessioni POP e FTP memorizzate su una singola linea, scarto dello sporco introdotto dalla fase di negoziazione telnet, scarto delle connessioni duplicate, riassemblamento dei pacchetti tcp, memorizzazione delle connessioni tcp in parallelo,modalità demone per la memorizzazione dei log su una porta specifica fornita di autenticazione ecc., (UNIX). BlackICE Pro: è un sistema di rilevamento delle intrusioni che può anche memorizzare su disco i file contenenti gli indizi utilizzando un formato che può essere letto utilizzando altri analizzatori di protocollo.e utilizzabile solo in modalità non promiscua e può quindi catturare solo i pacchetti diretti o che partono dalla macchina dalla quale è installato, (WINDOWS). Windows Network Monitor: analogo ad Ethereal per Windows. Tcpdump: è uno strumento di sniffing particolarmente flessibile e diffuso nel mondo di Linux.E simile a snoop, più diffuso su Solaris, e permette di analizzare il tipo di pacchetti che passano per l interfaccia di rete specificata.va sottolineato che Tcpdump NON visualizza il contenuto dei pacchetti ma le loro intestazioni (protocollo, IP sorgente, destinazione, porte ecc.) per cui si presta bene alla diagnostica di problemi di networking ma non ad un attività di cracking., TCPdump è la versione di UNIX di un decodificatore di pacchetti. Originalmente scritto da Van Jacobsen per analizzare problemi di performance di TCP, ed oggi giorno grazie a versioni più aggiornate viene ancora largamente utilizzato.tcpdump deve potere mettere l'interfaccia (tipicamente un Ethernet) in maniera promiscua per leggere tutto il traffico della rete. Usi del TCPdump: il più semplice modo per usare TCPdump è di eseguirlo ponendo un ` -i ' switch per specificare quale interfaccia della rete dovrebbe essere usata. Esso darà delle informazioni riassuntive per ogni pacchetto ricevuto o trasmesso sull'interfaccia.tcpdump prevede molte 8

importanti opzioni, così come l'abilità di specificare un'espressione per restringere la serie di pacchetti che si desidera studiare, (UNIX) Programmi utilizzati per attività di hacking Ettercap: l impossibilità di analizzare il traffico con sorgente e destinazioni diverse da quelle locali è una limitazione degli sniffer normali quando vengono utilizzati in ambienti switchati. Sviluppato da due programmatori italiani è uno sniffer evoluto che permette di sniffare tutto il traffico anche in reti in cui è presente uno switch con un attività arp cache poisoning (vengono mandate arp reply infinite, che associano il MAC address della macchina su cui gira ettercap agli IP sorgente e destinatario, rispettivamente al destinatario e al sorgente), tramite la quale si frappone fra le macchine ignare e la macchina bersaglio (che può essere un server o il default gateway di una rete). Ettercap inoltre offre una serie di feature che fanno la gioia di ogni hacker: - SSH 1 e HTTPS password sniffing; - Password collection per una moltitudine di protocolli; - OS fingerprinting per il riconoscimento dei sistemi operativi sugli host trovati in rete; - Possibilità di killare una connessione o inserire caratteri estranei; - Supporto di plugin vari che a loro volta presentano features quali DNS spoofing Dsniff: è una collezione di tools che permette diversi tipi di attacchi.i tools Poisoning, Sniffing,SSH Sniffing (detto proxy attack) infatti sono tools per attacchi di tipo arp cache poisoning mentre Dnsspoof è una programma per attacchi di tipo Dns spoofing. Sniffit: la sua vera potenza è nella possibilità di scrivere Plug-in ad hoc anche se non per tutte le situazioni, ma solo per quelle per cui lo sniffer è stato scritto. Infatti SNIFFIT inizialmente è nato per "spiare" le sessioni TELNET ed FTP. Successivamente è stato ampliato e potenziato rendendolo un valido strumento per l'analisi di rete ed è incluso addirittura nelle distribuzioni di TRINUX. Può produrre due tipi di output, uno contenente solo il carico dei pacchetti in formato ASCII, esadecimale o decimale, un altro in stile libpcap (pacchetti rozzi) e pertanto utilizzabile anche da altre applicazioni come TCPDUMP o altri sniffer. Snort: sniffer e logger con intense capacità di filtraggio, (UNIX). Programmi per la Topologia della rete. Sono applicazioni in grado di descrivere la rete nelle sue connessioni fra le varie macchine. NMAP: scritto da Fyodor, noto Hacker, è forse il programma più completo per questa categoria. Permette di effetuare il port-scanning di macchine su una rete anche in modo invisibile sfruttando le debolezze e le caratteristiche dello stack TCP/IP. Risulta particolarmente utile quando si vuole vedere se una macchina può accettere connessioni su determinate porte. QUESO: è in grado di stabilire qual è il sistema operativo girante su macchine remote in base al diverso comportamento degli stessi nelle risposte a tentativi di connessione remota. COME DIFENDERSI? I metodi di rilevamento e difesa da questo tipo di attacchi sono rimandati al seminario sui METODI DI DIFESA.Ricordiamo comunque che la miglior difesa in questo caso è la cifratura dei dati. 9

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back