La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sniffing. Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma.

Presentazioni simili


Presentazione sul tema: "Sniffing. Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma."— Transcript della presentazione:

1 Sniffing

2 Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma di "sniffing" permette a qualcuno di ascoltare delle conversazioni tra computers. Perciò, i programmi di intercettazione di rete vengono forniti con una funzionalità nota come "analisi di protocollo", che gli permette di "decodificare" il traffico fra computer e di dargli un senso. Lo sniffing ha un vantaggio rispetto all'intercettazione telefonica: diverse reti utilizzano un "supporto condiviso".

3 Sniffer ethernet Uno Sniffer Ethernet è un programma in grado di ascoltare tutto il traffico che attraversa un dispositivo di rete piuttosto che intercettare solo quello indirizzato ad essa. Per consentire questa funzionalità il dispositivo di rete deve essere impostato in modalità promiscua.

4 Ethernet Ethernet è stata costruita su un principio di "condivisione": tutte le macchine sulla stessa rete, condividono lo stesso cavo. Questo comporta che tutte le macchine sono in grado di "vedere" tutto il traffico. Così, l'hardware Ethernet viene costruito con un "filtro" che ignora tutto il traffico che non gli appartiene. Fa questo ignorando tutti i frames contenenti indirizzo MAC non corrispondenti al proprio. Un programma di intercettazione disattiva questo filtro, ponendo l'hardware Ethernet in "modalità promiscua". Così Marco potrà vedere tutto il traffico tra Alice e Roberto, finchè saranno tutti sullo stesso cavo Ethernet.

5 Applicazioni Gli usi tipici di questi programmi di intercettazione includono: Analisi automatica della rete alla ricerca di passwords e nomi utente in chiaro: questo è un uso comune per gli hackers/crackers per consentirgli di accedere ai sistemi; Conversione dei dati in un formato umanamente leggibile: così che le persone possano leggere il traffico; Analisi delle anomalie: per scoprire eventuali problemi all'interno delle reti, come ad esempio, perchè il computer A non può comunicare con il computer B; Analisi delle prestazioni: per scoprire i colli di bottiglia nelle reti; Rilevazione delle intrusioni di rete: così da rilevare hackers/crackers (vedere detection.html); Registrazione del traffico di rete: per creare registri a cui gli hackers non possano accedere e quindi cancellare.

6 Servizi vulnerabili Telnet e rlogin La cattura dei pacchetti permette di avere i tasti che l'utente preme man mano che questi vengono HTTP La versione di default di HTTP ha numerosi bachi. Diversi siti web utilizzano il metodo di autenticazione "Basic", che invia le password sul cavo in chiaro. Altri siti web utilizzano un'altra tecnica, richiedendo all'utente un nome utente ed una password, ma anche in questo caso i dati vengono inviati in rete in chiaro. SNMP Praticamente tutto il traffico SNMP è di tipo SNMPv1, il che non presenta un buon livello di sicurezza. Le password SNMP (chiamate stringa di comunità) vengono inviate sul cavo in chiaro. NNTP Password inviate in chiaro. Dati inviati in chiaro. POP Password inviate in chiaro. Dati inviati in chiaro. FTP Password inviate in chiaro. Dati inviati in chiaro. IMAP Password inviate in chiaro. Dati inviati in chiaro.

7 Applicativi sniffer Gli strumenti software utilizzati per eseguire Packet Sniffing sono detti Sniffer. Tcpdump Ethereal (grafico, ma esiste la versione testuale Tethereal) Dsniff Snort Sniffit

8 Hub e switch Per sniffare pacchetti occorre, fondamentalmente far funzionare lo Sniffer su una rete LAN connessa con un HUB e non con uno SWITCH. In una rete hubbed di n pc (A, B, C, …), se F vuole comunicare con C, i dati passano attraverso lHUB.

9 Lo switch Uno SWITCH conosce sia quali sono i pc connessi, sia dove sono.

10 Ingannare lo switch Ciò rende più impegnativa lattività di Packet Sniffing… MA NON IMPOSSIBILE!!!

11 Esempio tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ] Tcpdump stampa a video lheader dei pacchetti in transito su una LAN che corrispondono alle caratteristiche indicate in expression.

12 Tcpdump: expressions Con le expression si definiscono i criteri qualitativi coi quali scegliere i pacchetti da visualizzare. Le expression consistono in una o più primitive precedute da qualificatori. I qualificatori sono: type, dir e proto.

13 Tcpdump qualificatori Type: host, net e port –Es. host , port 22, ecc. Dir: src, dst, src or dst –Es. src Proto: ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp and udp –Es. tcp port 21, arp net

14 Esempi di pacchetti cabernet:/home/bulgaro# tcpdump 'port 22' 16:30: cabernet.ing.unimo.it > twist.ing.unimo.it.ssh: S : (0) win 5840 (DF) 16:30: twist.ing.unimo.it.ssh > cabernet.ing.unimo.it.40526: S : (0) ack win 5792 (DF) 16:30: cabernet.ing.unimo.it > twist.ing.unimo.it.ssh:. ack 1 win 5840 (DF)

15 Attaccare una comunicazione Consideriamo tre macchine (A, B, C) collegate mediante uno switch Usiamo tcpdump per monitorare il traffico Se A e B stanno dialogando cosa vediamo sulla tre macchine ?????

16 Il protocollo ARP Allavvio A e B dovranno scambiarsi dei messaggi che permettano di associare i loro indirizzi IP a quelli fisici Ethernet La terza macchina vedrà lunico pacchetto: 16:38: arp who-has tell La risposta verrà inviata da a : 16:38: arp reply is at 08:00:20:77:4d:db

17 Il protocollo ARP È possibile ingannare il richiedente ? Le tabelle ARP sono dinamiche …. Il comando arp –a permette di visualizzare la cache ARP

18 Corrompere la cache ARP Arpspoof: Usage: arpspoof [-i interface] [-t target] host Il host è la macchina che riceve i pacchetti che vogliamo intercettare Il target è la macchina che vogliamo ingannare corrompendo la cache ARP

19 Corrompere la cache ARP Per ottenere intergettare una intera comunicazione bilaterale occorre lanciare due volte il programma: #./arpspoof –i eth0 –t #./arpspoof –i eth0 –t

20 Completare lopera Affinché i pacchetti ritornino poi al corretto destinatario occorre che la macchina C li forwardi verso la corretta destinazione: #echo 1 > /proc/sys/net/ipv4/ip_forward

21 MITM MITM: Man in the Middle È una tipologia di attacco Nellesempio precedente ci siamo inseriti in un comunicazione Potremmo modificare i pacchetti ….. Vediamo come sfruttare la situazione….

22 Attuare un attacco MITM Un sistema windows quando cerca di accedere ad una cartella remota si presenta con login ed hash della password usata dallutente connesso alla macchina locale Mettendosi nel mezzo si può intercettare la password Per crackarla ….. Ma non solo

23 SMB di windows Il protocollo SMB di windows serve ad accedere a file remoti Il server è attivo sulle porte TCP 139 e TCP 445 Un semplice collegamento in un pagina html forza la vittima ad accedere alla nostra macchina presentando le proprie credenziali (cifrate):

24 Un programma utile !? SMBRELAY può essere utilizzato per catturare queste informazioni Occorre: Disabilitare i listeners di window …. Lanciare SMBRELAY SMBRELAY /E //visualizza le interfacce SMBRELAY /IR /IL /T /R

25 Il relay Sia la macchina con SMBRELAY in esecuzione (la nostra attacente 1) Sia un secondo indirizzo IP che diamo allinterfaccia della nostra macchina Sia la nostra vittima Forziamo in qualche modo la vittima a collegarsi a (es. la pag html)

26 Attuare lattacco SMBRELAY memorizza le credenziali della vittima quando questa cerca di accedere Interompe la sessione e ne apre una nuova verso la vittima ripresentando le stesse credenziali SMBRELAY effettuerà il relay di qualunque richiesta inviata a alla macchina vittima insieme alle sue stesse credenziali Accedendo ad un cartella condivisa: \\ \docs\\ \docs in realtà la nostra richiesta viene fatta rimbalzare su con le credenziali corrette

27 Come difendersi Esiste da tempo un servizio SMB signing È possibile attivarlo agendo sul registro già in NT Server ed NT workstation (SP3) Esso annulla la possibilità di usare SMBRELAY


Scaricare ppt "Sniffing. Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma."

Presentazioni simili


Annunci Google