cerca
Sicurezza nelle Reti - Prova Pratica - Aprile 2008
modifica cronologia stampa login logout

Wiki

UniCrema


Materie per semestre

Materie per anno

Materie per laurea


Help

Uni.SNR-PP-Aprile2008 History

Show minor edits - Show changes to output

January 07, 2009, at 07:45 PM by dario -
Changed lines 13-14 from:
Per fare '''OS fingerprinting''' con '''nmap''', è sufficiente questo:
to:
Per salvare tutto quanto con tcpdump, si usa il comando seguente:
Changed line 16 from:
nmap -O IP-DOCENTE
to:
tcpdump -n -v -i eth0 -w traffico.dump
Changed lines 19-20 from:
Per salvare tutto quanto con tcpdump, si usa il comando seguente:
to:
Per fare '''OS fingerprinting''' con '''nmap''', è sufficiente questo:
Changed line 22 from:
tcpdump -n -v -i eth0 host IP-PcA -w traffico.dump
to:
nmap -O IP-DOCENTE
Restore
January 06, 2009, at 03:00 PM by dario -
Changed line 36 from:
tcpdump -n -v src host IP-PcA "tcp[13] & 9 != 0
to:
tcpdump -n -v src host IP-PcA and "tcp[13] & 9 != 0
Restore
January 06, 2009, at 02:57 PM by dario -
Changed lines 36-37 from:
tcpdump -n -v src host IP-PcA "tcp[13] & 9 != 0 and tcp[2:2] >= 512 and tcp[2:2] <=1024" -r traffico.dump
to:
tcpdump -n -v src host IP-PcA "tcp[13] & 9 != 0
and tcp[2:2] >= 512 and tcp[2:2] <=1024" -r traffico.dump
Restore
January 06, 2009, at 02:57 PM by dario -
Added lines 1-46:
(:title Sicurezza nelle Reti - Prova Pratica - Aprile 2008:)
%titolo%''':: Sicurezza nelle Reti - Prova Pratica - Aprile 2008 ::'''

!!Esercizio 1
# Utilizzare '''tcpdump''' per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:
** utilizzare '''nmap''' per eseguire un '''OS fingerprint''' del computer del docente
# Dal file contenente il traffico generato nel punto precedente, ricavare, utilizzando i filtri di '''tcpdump''', i pacchetti che soddisfano contemporaneamente tutte le seguenti condizioni:
## generati dalla macchina sorgente (PcA)
## contengono almeno la combinazione di flag FIN-PUSH (usare filtro sul contenuto binario)
## hanno porta destinataria compresa tra [512, 1024], estremi inclusi (usare filtro sul contenuto binario dell'intero parametro dell'header)

!!!Soluzione
Per fare '''OS fingerprinting''' con '''nmap''', è sufficiente questo:

[@
nmap -O IP-DOCENTE
@]

Per salvare tutto quanto con tcpdump, si usa il comando seguente:

[@
tcpdump -n -v -i eth0 host IP-PcA -w traffico.dump
@]

Ecco la spiegazione:
* '''-n''' non risolve gli IP
* '''-v''' rende tcpdump verboso
* '''-i eth0''' salva solo il traffico visto su '''eth0'''
* '''host IP-PcA''' legge solo il traffico in cui compare come mittente o destinatario l'IP definito come IP-PcA (è quello di una delle due macchine disponibili per l'esame)
* '''-w traffico.dump''' salva il tutto nel file '''traffico.dump'''

Si può interrompere '''tcpdump''' quando la scansione è finita, premendo '''CTRL+C'''.

Per filtrare:
[@
tcpdump -n -v src host IP-PcA "tcp[13] & 9 != 0 and tcp[2:2] >= 512 and tcp[2:2] <=1024" -r traffico.dump
@]

Spiegazione:
* '''src host IP-PcA''' legge solo i pacchetti inviati da PcA
* '''tcp[13] & 9 != 0''' legge solo i pacchetti che hanno almeno i flag PSH e FIN settati (vedi [[pagina di tcpdump -> SNR-tcpdump]] per le spiegazioni)
* '''tcp[2:2] >= 512 and tcp[2:2] <=1024''' leggono, filtrando il contenuto binario, solo i pacchetti che hanno porta destinataria compresa tra 512 e 1024
* '''-r traffico.dump''' legge dal file '''traffico.dump'''

----
[[Torna alla pagina di Sicurezza Nelle Reti -> Sicurezza Nelle Reti]]
Restore