Ethereal Packet Sniffing | Cerca per titolo, autore, parola chiave | ||||||||
Ethereal Packet Sniffing by Angela Orebaugh. 2004. Sniffing e eavesdropping (origliare) sono termini spesso associati alle attività di coloro che intercettano informazioni in modo fraudolento. Tuttavia, oggi il termine sniffing ha assunto anche un significato positivo, venendo spesso associato alla attività di analisi delle reti (network analysis). Utilizzare uno sniffer illegittimamente è considerato un attacco passivo. Uno sniffer, infatti, non permette di interfacciarsi direttamente o connettersi ad un altro sistema della rete. Anche se, è bene ricordarlo, il computer sul quale è stato installato uno sniffer potrebbe essere stato oggetto di un attacco attivo. La natura passiva di uno sniffer è ciò che rende così difficile il suo rilevamento. Per eseguire lo sniffing, è necessario avere accesso al cavo di comunicazione del sistema di interesse. Cioè: trovarsi sullo stesso segmento condiviso di rete, oppure entrare nel cavo in un punto qualsiasi, oppure installare in un computer della rete un software di sniffing controllato da remoto. I programmi di sniffing sono spesso inclusi nei rootkit, normalmente installati nei sistemi compromessi. I rootkit vengono utilizzati per eliminare le tracce dell'intruso, sostituendo i comandi e le utility e cancellando le righe nei file di log. I comandi più comunemente rimpiazzati sono:
Spesso i rootkit installano anche altri software, quali gli sniffer, i key logger, i backdoor. I protocolli più vulnerabili agli sniffer sono: telnet, FTP, POP3, IMAP, SMTP, HTTP, rlogin, SNMP. Gli sniffer più diffusi sono:
Ethernet è il protocollo più usato dai computer per comunicare tra loro. Ethernet fu costruito intorno al principio di un medium condiviso: tutti i computer posti sullo stesso segmento di una rete locale condividono lo stesso cavo. È un protocollo broadcast: quando un computer deve inviare un'informazione, la invia a tutti i computer posti sullo stesso segmento di rete (e sullo stesso cavo). L'informazione viene suddivisa in pacchetti di dati. Ciascun pacchetto contiene un suo header, un'intestazione in cui sono contenuti gli indirizzi del mittente e del destinatario del pacchetto. Anche se l'informazione viene inviata in rete, quindi a tutti i computer installati in quel segmento di rete, solo il computer che detiene l'indirizzo di destinazione invierà una risposta. Tutti gli altri computer continueranno a vedere il pacchetto di dati, ma se non sono il computer di destinazione lo butteranno via, a meno che sul computer non sia installato uno sniffer. Se uno sniffer è in esecuzione, il driver di cattura dei pacchetti di dati metterà la scheda di rete (NIC) in una modalità chiamata promiscuous mode: in questa modalità, il computer in fase di sniffing sarà in grado di leggere tutto il traffico dati in corso sul segmento di appartenenza, a prescindere dal mittente e dal destinatario di ciascun pacchetto. Normalmente, un computer viene eseguito in modalità non-promiscuous, restando in ascolto delle sole comunicazioni a lui destinate, mentre in modalità promiscua lo stesso computer potrà vedere anche le comunicazioni intercorrenti tra i computer appartenenti allo stesso segmento di rete. Per impostare la scheda di rete in promiscuous mode, eseguite il comando: ifconfig enp3s0 promisc Il comando: ifconfig -a mostrerà la flag PROMISC attiva: enp3s0: flags=4355<UP,BROADCAST,PROMISC,MULTICAST> mtu 1500
Gli indirizzi Ethernet sono noti come Media Access Control (MAC) addresses, hardware addresses, o, più semplicemente, Ethernet addresses. Visto che sullo stesso cavo coesistono più computer, ciascuno di essi dovrà avere un identificatore univoco. Questo identificatore univoco è impresso fisicamente (hard-coded) nella scheda di rete (NIC) ed è un numero a 48-bit, di cui i primi 24 identificano il produttore della scheda di rete, mentre i restanti 24 vengono assegnati in modo univoco dal produttore stesso. Per conoscere il MAC address della propria scheda di rete, eseguire: arp -a Pur essendo hard-coded nella scheda di rete, un MAC address può essere modificato a livello software, con un programma come: ifconfig oppure riconfigurato in runtime, oppure addirittura re-impresso nella scheda di rete! Falsificare un MAC address è eseguire lo spoofing. Spoofing è una pratica di alterazione delle informazioni contenute in un pacchetto di dati: IP, MAC, e-mail address. OSI model La International Standards Organization (ISO) ha sviluppato un modello che descrive il funzionamento dei protocolli e dei vari componenti di una rete: lo Open Systems Interconnection (OSI) model (primi anni 1980), in cui le funzioni di una rete vengono suddivise in sette strati o layers, ciascuno dei quali è descritto da specifiche tecniche e contiene specifiche funzioni e svolge determinate attività:
Lo OSI model è un modello generico e può essere utilizzato per spiegare qualsiasi protocollo di rete. Tuttavia, occorre ricordare che, per esempio, TCP/IP fu modellato sul modello del U.S. Department of Defense (DoD), che sviluppò un modello a 4 strati, cui aderirono i protocolli più importanti di Internet:
Protecting Against Sniffers Il miglior metodo per proteggere i nostri dati è la cifratura (encryption). Una volta criptati i nostri dati, un intruso potrebbe ancora intercettarli, ma quei dati risulterebbero illeggibili per l'intruso. Solo il destinatario reale sarebbe in grado di decriptare i dati e leggerli. Una virtual private network (VPN) utilizza cifratura ed autenticazione per fornire comunicazioni sicure su reti altrimenti insicure. Una VPN può essere usata anche all'interno di una rete locale, oltre che su Internet. Tuttavia, se un intruso dovesse compromettere uno dei nodi terminali di una VPN, la protezione svanirebbe. Il prossimo elenco descrive alcuni metodi usati da una VPN per proteggere i dati dallo sniffing:
|
|||||||||
Ethereal Packet Sniffing | Disclaimer: questo è un link a contenuti ospitati su server esterni. |