:: Sicurezza nelle Reti - Prova Pratica - Aprile 2008 ::
Esercizio 1
- Utilizzare tcpdump per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:
- utilizzare nmap per eseguire un OS fingerprint del computer del docente
- Dal file contenente il traffico generato nel punto precedente, ricavare, utilizzando i filtri di tcpdump, i pacchetti che soddisfano contemporaneamente tutte le seguenti condizioni:
- generati dalla macchina sorgente (PcA)
- contengono almeno la combinazione di flag FIN-PUSH (usare filtro sul contenuto binario)
- hanno porta destinataria compresa tra [512, 1024], estremi inclusi (usare filtro sul contenuto binario dell'intero parametro dell'header)
Soluzione
Per salvare tutto quanto con tcpdump, si usa il comando seguente:
tcpdump -n -v -i eth0 -w traffico.dump
Per fare OS fingerprinting con nmap, è sufficiente questo:
nmap -O IP-DOCENTE
Ecco la spiegazione:
- -n non risolve gli IP
- -v rende tcpdump verboso
- -i eth0 salva solo il traffico visto su eth0
- host IP-PcA legge solo il traffico in cui compare come mittente o destinatario l'IP definito come IP-PcA (è quello di una delle due macchine disponibili per l'esame)
- -w traffico.dump salva il tutto nel file traffico.dump
Si può interrompere tcpdump quando la scansione è finita, premendo CTRL+C.
Per filtrare:
tcpdump -n -v src host IP-PcA and "tcp[13] & 9 != 0
and tcp[2:2] >= 512 and tcp[2:2] <=1024" -r traffico.dump
Spiegazione:
- src host IP-PcA legge solo i pacchetti inviati da PcA
- tcp[13] & 9 != 0 legge solo i pacchetti che hanno almeno i flag PSH e FIN settati (vedi pagina di tcpdump per le spiegazioni)
- tcp[2:2] >= 512 and tcp[2:2] <=1024 leggono, filtrando il contenuto binario, solo i pacchetti che hanno porta destinataria compresa tra 512 e 1024
- -r traffico.dump legge dal file traffico.dump
Torna alla pagina di Sicurezza Nelle Reti
