Swappa :: Sicurezza nelle Reti - Prova Pratica

 :: Sicurezza nelle Reti - Prova Pratica - Aprile 2008 ::

Esercizio 1

Utilizzare tcpdump per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:
- utilizzare nmap per eseguire un OS fingerprint del computer del docente
Dal file contenente il traffico generato nel punto precedente, ricavare, utilizzando i filtri di tcpdump, i pacchetti che soddisfano contemporaneamente tutte le seguenti condizioni:
1. generati dalla macchina sorgente (PcA)
2. contengono almeno la combinazione di flag FIN-PUSH (usare filtro sul contenuto binario)
3. hanno porta destinataria compresa tra [512, 1024], estremi inclusi (usare filtro sul contenuto binario dell'intero parametro dell'header)

Per salvare tutto quanto con tcpdump, si usa il comando seguente:

tcpdump -n -v -i eth0 -w traffico.dump

Per fare OS fingerprinting con nmap, è sufficiente questo:

nmap -O IP-DOCENTE

Ecco la spiegazione:

-n non risolve gli IP
-v rende tcpdump verboso
-i eth0 salva solo il traffico visto su eth0
host IP-PcA legge solo il traffico in cui compare come mittente o destinatario l'IP definito come IP-PcA (è quello di una delle due macchine disponibili per l'esame)
-w traffico.dump salva il tutto nel file traffico.dump

Si può interrompere tcpdump quando la scansione è finita, premendo CTRL+C.

Per filtrare:

tcpdump -n -v src host IP-PcA and "tcp[13] & 9 != 0 
and tcp[2:2] >= 512 and tcp[2:2] <=1024" -r traffico.dump

Spiegazione:

src host IP-PcA legge solo i pacchetti inviati da PcA
tcp[13] & 9 != 0 legge solo i pacchetti che hanno almeno i flag PSH e FIN settati (vedi pagina di tcpdump per le spiegazioni)
tcp[2:2] >= 512 and tcp[2:2] <=1024 leggono, filtrando il contenuto binario, solo i pacchetti che hanno porta destinataria compresa tra 512 e 1024
-r traffico.dump legge dal file traffico.dump