Manipolazione dei protocolli di rete con ettercap

Slides:



Advertisements
Presentazioni simili
Prof. Carla Fanchin – L.S. Tron
Advertisements

Indirizzamento LAN e ARP
Il livello di trasporto
Italo Losero S tray B ytes strane cose succedono nelle reti....
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Corso di laurea in INFORMATICA
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti
Web mail Una modalità alternativa per accedere alla posta elettronica.
Gestione del processore
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO. Di INFORMATICA..
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
Laurea Triennale in Infermieristica
1 LA RANA SPLash: the return presentato da: BFC SOLUTIONS composto da: Buonocore Remo Falco Onofrio Chiappetti Ciro
Architettura del World Wide Web
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
RETI E INTERNET.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Concetti introduttivi
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
Corso di Informatica per Giurisprudenza Lezione 7
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Manuale Utente Assoviaggi ver Contenuti Prontovisto: cosa è ed a chi è rivolto Le procedure per la vendita del servizio Prontovisto 2.
Guida IIS 6 A cura di Nicola Del Re.
Test Reti Informatiche A cura di Gaetano Vergara Se clicchi sulla risposta GIUSTA passi alla domanda successiva Se clicchi sulla risposta ERRATA passi.
ISOIVA (LOCALE) TO ISOIVA (WEB) RIPARTIZIONE INFORMATICA UFFICIO APPLICATIVI AMMINISTRATIVI 13/04/2011 UNIVERSITÀ DEGLI STUDI DI FERRARA 1.
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
Bando Arti Sceniche. Per poter procedere è indispensabile aprire il testo del Bando 2ROL - Richieste On Line.
LE SAI LE TABELLINE? Mettiti alla prova!.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Fondamenti delle Reti di Computer Seconda parte Carasco 15/04/2010.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
File system distribuito transazionale con replicazione
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
Informatica Avanzata Trattamento di Foto e Immagini Digitali UNI3 - NICHELINO Lez. N Gennaio 2009 di Pautasso Luciano Lez. N.
BIOINFO3 - Lezione 101 GLI IPERTESTI Una delle innovazioni introdotte da HTML e dal WWW in generale, rispetto ad un testo normale è sicuramente la possibilità
Le reti di calcolatori ©Apogeo 2004.
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
Reti di computer Corso aggiornamento interno Da Vinci - Ripamonti.
Internet: una panoramica
Creato da Riccardo Nuzzone
Laboratorio 4: PHP e MySQL
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Lezione Riccardo Sama' Copyright  Riccardo Sama' Outlook e la posta.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
Il DHCP (Dinamic Host Configuration Protocol) fornisce un meccanismo per assegnare dinamicamente gli indirizzi IP ed i parametri di configurazione ad un.
1 Luigi Vetrano Esercitazione di Reti di Calcolatori A.A
Sistemi di elaborazione dell’informazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 1 – Assegnazione.
Infrastruttura per la gestione distribuita di un sistema di prenotazione Progetto di: Fabio Fabbri Matricola
Servizi Internet Claudia Raibulet
Silvia Pasqualotto e Giulia Nanino
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Phishing Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Livello 7: Applicazione. Protocolli più importanti HTTP = Hyper Text Transfer Protocol HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer DNS.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

Manipolazione dei protocolli di rete con ettercap Tesina di ”Sicurezza dei sistemi informatici” Politecnico di Torino Manipolazione dei protocolli di rete con ettercap 31/01/2008 Alberto Realis-Luc Matr. 142119 < Indice

1. Introduzione 2. ARP poisoning 3. DHCP spoofing 4. Port stealing Indice 1. Introduzione 2. ARP poisoning 3. DHCP spoofing 4. Port stealing 5. DNS spoofing 6. Denial of Service

Introduzione Ettercap è un tool per fare attacchi ''Man in the middle'' in reti LAN Ethernet basate sull'uso di switch. Si basa sulla manipolazione dei protocolli di rete di basso livello, in particolar modo opera principalmente sui protocolli ARP e DHCP. Permette di perpetrare attacchi MITM anche se non ci si trova collegati fisicamente nel mezzo tra le due vittime, è invece sufficiente essere collegati su una porta dello stesso switch di rete. In pratica ettercap permette di far passare tutto il traffico tra due host, o tra due gruppi di host per la macchina sulla quale viene esguito. L'attaccante avrà quindi a disposizione tutto il traffico che potrà quindi intercettare ma anche modificare per i più svariati scopi. < Indice

Classico scenario per attacchi con ettercap Introduzione Classico scenario per attacchi con ettercap Internet Gateway Switch Client Server Attaccante

Flussi di traffico in condizioni normali Introduzione Flussi di traffico in condizioni normali Traffico da e verso l'esterno Traffico interno

1. ARP poisoning 2. DHCP spoofing 3. Port stealing Introduzione Flussi di traffico dirottati 3 modi per farlo con ettercap: 1. ARP poisoning 2. DHCP spoofing 3. Port stealing Traffico esterno Traffico interno L'attaccante dopo aver sniffato o modificato i pacchetti in transito provvederà a inoltrali verso la vera destinazione. < Indice

ARP poisoning C, per tutta la durata dell'attacco, manda periodicamente verso A e B delle false risposte ARP dicendo ad A che l'IP di B è reperibile al MAC di C e dicendo a B che l'IP di A è reperibile al MAC di C. B A Server IP: 192.168.1.2 MAC: bb:bb:bb:bb:bb:bb Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa ARP Reply 192.168.1.2 is at cc:cc:cc:cc:cc:cc ARP Reply 192.168.1.12 is at cc:cc:cc:cc:cc:cc C Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc < Indice

ARP poisoning A e B ricevendo questi avvisi ARP provvederanno ad aggiornare la loro cache ARP che sarà ora 'avvelenata' con l'indirizzo MAC dell'attaccante. Dunque tutto il traffico scambiato tra A e B verrà spedito in realtà verso l'attaccante. A B Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Server IP: 192.168.1.2 MAC: bb:bb:bb:bb:bb:bb ARP Cache 192.168.1.1 -> 00:c0:49:ac:8b:06 192.168.1.2 -> cc:cc:cc:cc:cc:cc 192.168.1.9 -> 00:40:95:d1:90:82 ... ARP Cache 192.168.1.1 -> 00:c0:49:ac:8b:06 192.168.1.12-> cc:cc:cc:cc:cc:cc 192.168.1.9 -> 00:40:95:d1:90:82 ...

A B C ARP poisoning Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Server IP: 192.168.1.2 MAC: bb:bb:bb:bb:bb:bb A spedisce un qualsiasi pacchetto IP verso B. C dopo averlo ricevuto lo inoltra a B usando il suo MAC corretto. Ethernet From: aa:aa:aa:aa:aa:aa To: cc:cc:cc:cc:cc:cc Ethernet From: cc:cc:cc:cc:cc:cc To: bb:bb:bb:bb:bb:bb IP From: 192.168.1.12 To: 192.168.1.2 .......... IP From: 192.168.1.12 To: 192.168.1.2 .......... C Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc < Indice

DHCP spoofing Un nuovo utente che si vuole connettere alla LAN, se non ha già un indirizzo IP statico preimpostato, dovrà farsene assegnare uno da un server DHCP. Oltre a far questo il server DHCP comunica al nuovo utente l'IP del gateway da utilizzare per uscire all'esterno della LAN, e quasi sempre anche un paio di indirizzi IP di server DNS. L'attaccante tenterà di sostituirsi al vero DHCP fornedo il proprio IP come gateway così da poter intercettare tutto il traffico generato dalla vittima verso Internet. Inoltre l'attaccante potrebbe sostituirsi anche al server DNS potendo così dirottare la vittima su server fake. Switch Server DHCP / Gateway Internet Utente che si vuole connettere alla rete Attaccante < Indice

DHCP spoofing Il nuovo host manda un pacchetto DHCP discover, in broadcast, alla ricerca di un server DHCP. Ovviamente anche l'attaccante lo riceve. DHCP Discover From: aa:aa:aa:aa:aa:aa To: ff:ff:ff:ff:ff:ff (Broadcast)‏ Server DHCP IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Utente che si connette MAC: aa:aa:aa:aa:aa:aa Un'altra vittima! Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Il DHCP gli vuole assegnare 192.168.1.12... DHCP spoofing In ettercap è possibile impostare un insieme di IP da assegnare alla vittime, ma dato che l'attaccante non sa a priori quali IP sono già usati e quale sia il piano di assegnazione di indirizzi IP del vero server DHCP, gli conviene lasciare che sia quest'ultimo ad assegnare l'indirizzo IP al nuovo host appena connesso. Il server DHCP offre l'IP 192.168.1.12 al nuovo utente. DHCP Offer From: 00:c0:49:ac:8b:06 To: ff:ff:ff:ff:ff:ff (Broadcast)‏ Offered IP: 192.168.1.12 for aa:aa:aa:aa:aa:aa ... Server DHCP IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Utente che si connette MAC: aa:aa:aa:aa:aa:aa Il DHCP gli vuole assegnare 192.168.1.12... Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

DHCP spoofing Il nuovo host accetta e richiede l'IP proposto dal server DHCP mandando un pacchetto DHCP request. DHCP Request From: aa:aa:aa:aa:aa:aa To: ff:ff:ff:ff:ff:ff (Broadcast)‏ Requested IP: 192.168.1.12 for aa:aa:aa:aa:aa:aa Server DHCP IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Utente che si connette MAC: aa:aa:aa:aa:aa:aa La vittima lo accetta... Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Questo è il tuo IP, però usa me come gateway! DHCP spoofing L'attaccante risponde subito, al posto del vero server DHCP, proponendosi come gateway. DHCP ACK From: 00:c0:49:ac:8b:06 To: aa:aa:aa:aa:aa:aa Your IP: 192.168.1.12 for aa:aa:aa:aa:aa:aa Gateway: 192.168.1.13 DNS1: 151.99.125.2 DNS2: 151.99.125.3 Lease time: 30 min Server DHCP IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Utente che si connette IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Questo è il tuo IP, però usa me come gateway! Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

DHCP spoofing Dopo aver fatto alcune verifiche anche il vero DHCP risponde con DHCP ACK, ma non verrà più preso in considerazione, avendo, il nuovo host, già ricevuto un DHCP ACK. DHCP ACK From: 00:c0:49:ac:8b:06 To: ff:ff:ff:ff:ff:ff (Broadcast)‏ Your IP: 192.168.1.12 for aa:aa:aa:aa:aa:aa Gateway: 192.168.1.1 DNS1: 151.99.125.2 DNS2: 151.99.125.3 Lease time: 24 hours Server DHCP IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Utente che si connette IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Troppo tardi! Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

DHCP spoofing Nuovo utente IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Internet Ora l'attaccante può intecettare tutto il traffico generato dalla vittima verso Internet Ethernet From: aa:aa:aa:aa:aa:aa To: cc:cc:cc:cc:cc:cc Ethernet From: aa:aa:aa:aa:aa:aa To: 00:c0:49:ac:8b:06 IP From: 192.168.1.12 To: 130.192.73.1 .......... IP From: 192.168.1.12 To: 130.192.73.1 .......... Gateway IP: 192.168.1.1 MAC: 00:c0:49:ac:8b:06 Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc < Indice

Port stealing Durate questo tipo di attaco, si inonda periodicamente la rete con dei pacchetti ARP particolari: Gratuitos ARP for 0.0.0.0. Questi pacchetti vengono solitamente usati per verificare che un dato IP non sia ancora usato da nessun host. Questo procedimento permette all'attaccante di impadronirsi delle porte a cui sono collegate le vittime sullo switch di rete. E' possibile propagare questi pacchetti ad altri switch, qualora la rete locale sia costituita da più switch, usando un indirizzo MAC di destinazione 'incerto', altrimenti ettercap usa quello dell'attaccante. Gli altri host non 'vedranno' questi pacchetti per il fatto che non sono destinati al loro indirizzo MAC. Switch Client Server Attaccante < Indice

Port stealing L'attaccante inizia a mandare innumerevoli Gratuitos ARP for 0.0.0.0. Per gli indirizzi MAC del mittente vengono alternati i MAC delle vittime. Questo procedivento vince ogni singola gara di condizioni per ottenerne la corrispettiva porta dello switch a discapito del vero proprietario. Gratuitos ARP for 0.0.0.0 From: aa:aa:aa:aa:aa:aa To: cc:cc:cc:cc:cc:cc Server IP: 192.168.1.2 MAC: bb:bb:bb:bb:bb:bb Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Gratuitos ARP for 0.0.0.0 From: bb:bb:bb:bb:bb:bb To: cc:cc:cc:cc:cc:cc Gratuitos ARP for 0.0.0.0 From: aa:aa:aa:aa:aa:aa To: cc:cc:cc:cc:cc:cc Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Port stealing Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Server MAC: bb:bb:bb:bb:bb:bb Dunque i pacchetti destinati a indirizzi MAC ''rubati'' saranno inoltrati dallo switch direttamente all'attaccante. Prima di poter inoltrare i pacchetti intercettati verso la vera destinazione, l'attaccante smette di mandare Gratuitos ARP a raffica e si assicura che la vera destinaione si 'riprenda' la sua porta dello switch. Ethernet From: aa:aa:aa:aa:aa:aa To: bb:bb:bb:bb:bb:bb IP From: 192.168.1.12 To: 192.168.1.2 .......... Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Port stealing Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Server MAC: bb:bb:bb:bb:bb:bb L'attaccante fa una richiesta ARP per la vera destinazione, la risposta gli permetterà di essere sicuro che quest'ultima si è ripresa la sua porta dello switch. ARP Request From: cc:cc:cc:cc:cc:cc To: bb:bb:bb:bb:bb:bb Who has 192.168.1.2? Tell 192.168.1.13. ARP Reply 192.168.1.2 is at bb:bb:bb:bb:bb:bb Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Port stealing Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Server MAC: bb:bb:bb:bb:bb:bb Ethernet From: aa:aa:aa:aa:aa:aa To: bb:bb:bb:bb:bb:bb Ora l'attaccante puo procedere a inoltrare il pacchetto proveniente dalla prima vittima verso la vera destinazione. IP From: 192.168.1.12 To: 192.168.1.2 .......... Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Port stealing L'attaccante riprende a inondare la rete con innumerevoli pacchetti Gratuitos ARP for 0.0.0.0 come prima, in attesa di ricevere altri pacchetti da intercettare. Gratuitos ARP for 0.0.0.0 From: bb:bb:bb:bb:bb:bb To: cc:cc:cc:cc:cc:cc Server IP: 192.168.1.2 MAC: bb:bb:bb:bb:bb:bb Client IP: 192.168.1.12 MAC: aa:aa:aa:aa:aa:aa Gratuitos ARP for 0.0.0.0 From: aa:aa:aa:aa:aa:aa To: cc:cc:cc:cc:cc:cc Gratuitos ARP for 0.0.0.0 From: bb:bb:bb:bb:bb:bb To: cc:cc:cc:cc:cc:cc Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc < Indice

DNS spoofing L'attaccante riesce quindi a sniffare il traffico delle vittime con i metodi precedenti, (a seconda del livello di protezione della rete, l'attaccante avrà scelto il metodo più efficace). Ettercap mette a dispozione molte funzionalità e plugin. Ad esempio con l'opzione -e verranno visualizzati i pacchetti contenenti un dato testo come “carta di credito”. Il plugin remote_browser permette all'attaccante di visualizzare nel proprio browser 'in diretta' tutte le pagine web che sta visitando la vittima. Mentre il plugin dns_spoof da la possibilità all'attaccante di fare DNS spoofing, sostituendosi al vero DNS e dirottando così le vittime su falsi server con lo scopo di rubare le chiavi di accesso. < Indice

DNS spoofing In questo esempio il server DNS usato dalla LAN è incorporato nel gateway, se fosse esterno, l'attaccante si metterà comunque in mezzo tra GW e vittima visto che le risposte del DNS passeranno comunque per il gateway. Internet Gateway / Server DNS Switch Vittima www.bancasicura.it IP: A.B.C.D Server fake di www.bancasicura.it IP: K.X.Y.Z Attaccante

DNS spoofing L'attaccante inizia il suo attacco ponendosi tra la vittima e il gateway, in attesa di richieste DNS da parte della vittima. Internet Gateway / Server DNS Switch Vittima www.bancasicura.it IP: A.B.C.D Server fake di www.bancasicura.it IP: K.X.Y.Z Attaccante

Un'altro conto da ripulire! DNS spoofing La vittima si collega al sito della propria banca facendo una query DNS per tale indirizzo. www.bancasicura.it www.bancasicura.it IP: A.B.C.D Server DNS IP: 192.168.1.1 DNS query for www.bancasicura.it From: 192.168.1.12 To: 192.168.1.1 Un'altro conto da ripulire! Vittima IP: 192.168.1.12 Server fake di www.bancasicura.it IP: K.X.Y.Z DNS query for www.bancasicura.it From: 192.168.1.12 To: 192.168.1.1 La query DNS viene ovviamente intercettata dall'attaccante. Attaccante

DNS spoofing L'attaccante risponde subito spacciandosi per il server DNS e fornendo l'IP di un serfer fake. www.bancasicura.it IP: A.B.C.D Server DNS IP: 192.168.1.1 Vittima IP: 192.168.1.12 DNS answer From: 192.168.1.1 To: 192.168.1.12 www.bancasicura.it is at: K.X.Y.Z Server fake di www.bancasicura.it IP: K.X.Y.Z Intanto il vero DNS locale, non sapendone la risposta, inoltra la query DNS all'esterno verso altri server DNS. Attaccante

DNS spoofing La vittima inizia a scambiare traffico con il server fake. www.bancasicura.it IP: A.B.C.D IP From: 192.168.1.12 To: K.X.Y.Z HTTP GET index.html ...... Vittima IP: 192.168.1.12 Gateway Nella barra dell'indirizzo nel browser della vittima resterà scritto l'indirizzo corretto, pur essendo collegati su di un server falso. Anche la cache DNS della vittima rimane inquinata con queste false informazioni. Server fake di www.bancasicura.it IP: K.X.Y.Z Attaccante

DNS spoofing Intanto arriva anche la risposta del vero server DNS, l'attaccante potrebbe anche evitare di inoltrare queste informazioni, ma ormai è troppo tardi: la cache DNS della vittima ha già un indirizzo per tale richiesta e quindi non prenderà più in considerazione la vera risposta. www.bancasicura.it IP: A.B.C.D Server DNS IP: 192.168.1.1 DNS answer From: 192.168.1.1 To: 192.168.1.12 www.bancasicura.it is at: A.B.C.D Vittima IP: 192.168.1.12 Server fake di www.bancasicura.it IP: K.X.Y.Z DNS Cache www.polito.it -> 130.192.73.1 www.bancasicura.it -> K.X.Y.Z www.google.com -> 209.85.137.104 ... Attaccante < Indice

Denial of Service Appena instaurato un attacco MITM l'attaccante può anche rendere indisponibile un servizio usando tcpkill per chiudere tutte le connessioni dei client che tentano di accedere a tale servizio. Inoltre vi sono alcuni plugin di ettercap specifici per fare attacchi DoS, come per esempio: dos_attack che mette in atto il calssico attacco DoS basato sull'invio di pacchetti TCP SYN. Per fare questo tipo di attacco l'attaccante ha bisogno di un IP non ancora usato sulla rete da usare per madare i pacchetti TCP SYN. In ettercap troviamo uno specifico plugin per fare anche questo: find_ip che facendo una scansione della rete con le solite richieste ARP permette di sapere quali IP sono liberi. Fatto ciò l'attacante è pronto a iniziare l'attacco. Switch Client Server Attaccante < Indice

L'IP 192.168.1.6 non è ancora usato da nessuno... SYN attack I pacchetti TCP SYN vengono usati per aprire una nuova connessione TCP, quest'attacco consiste nel fare aprire al server più connessioni TCP possibili fino a saturagli i buffer, in questo modo non sarà più in grado di accettare altre connessioni, nemmeno quelle dei veri client. L'attaccante trova un IP libero da usare come IP fantasma per iniziare a mandare innumerevoli TCP SYN verso la vittima. TCP SYN From: 192.168.1.6 To: 192.168.2 TCP SYN From: 192.168.1.6 To: 192.168.2 Server IP: 192.168.1.2 L'IP 192.168.1.6 non è ancora usato da nessuno... TCP SYN From: 192.168.1.6 To: 192.168.2 TCP SYN From: 192.168.1.6 To: 192.168.2 Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

SYN attack Per far sì che la vittima apra una nuova connessione per ogni TCP SYN ricevuto, l'attaccante ha bisogno di intercettare le risposte ACK con il numero di sequenza corretto. Per questo motivo l'attaccante manda ogni tanto anche qualche falsa risposta ARP, per poter intercettare gli ACK da parte della vittima destinati all'indirizzo fantasma. ARP Reply 192.168.1.6 is at cc:cc:cc:cc:cc:cc Server IP: 192.168.1.2 TCP ACK From: 192.168.1.2 To: 192.168.6 Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc

Destination unreachable! SYN attack Nel giro di pochi istanti la vittima non riesce più ad aprire altre connessioni e risulta quindi indisponibile a tutta la rete. IP From: 192.168.1.12 To: 192.168.1.2 .......... Destination unreachable! TCP SYN From: 192.168.1.6 To: 192.168.2 TCP SYN From: 192.168.1.6 To: 192.168.2 Server IP: 192.168.1.2 Client IP: 192.168.1.12 TCP SYN From: 192.168.1.6 To: 192.168.2 TCP SYN From: 192.168.1.6 To: 192.168.2 Attaccante IP: 192.168.1.13 MAC: cc:cc:cc:cc:cc:cc < Indice