Uni.SNR-PP-Giugno2008 History
Hide minor edits - Show changes to output
Added line 67:
(ATTENZIONE E' DA RIVEDERE questo comando non viene accettato da tcpdump!)
Changed lines 64-80 from:
Una cosa su cui sono incerto è se sia possibile combinare tutte queste cose in un comando solo... guardandolo così, non credo proprio, e dal testo non capisco se il prof lo voglia o mica... Boh! to:
Una cosa su cui sono incerto è se sia possibile combinare tutte queste cose in un comando solo... guardandolo così, non credo proprio, e dal testo non capisco se il prof lo voglia o mica...
La cosa migliore che posso fare in un botto solo è questa:
'''tcpdump -n -v -i eth 0'''
'''(src host PcDocente and tcp[0:2] = 20 and tcp[13] = 2)'''\\
'''or (src host PcDocente and tcp[0:2] = 20 and tcp[13] & 1 != 0)'''\\
'''or (src host PcNostro and tcp[2:2] = 20 and tcp[13] = 18)'''\\
'''or (src host PcNostro and tcp[2:2] = 20 and tcp[13] & 1 != 0)'''\\
'''-r traffico.dump'''
che prende i seguenti pacchetti:
* i pacchetti con soli SYN provenienti dalla porta 20 del PcDocente
* i pacchetti con almeno FIN provenienti dalla porta 20 del PcDocente
* i pacchetti con soli SYN ACK provenienti dal PcNostro e diretti alla porta 20 del PcDocente
* i pacchetti con almeno FIN provenienti dalla PcNostro e diretti alla porta 20 del PcDocente
Rimangono fuori gli ACK di risposta, ma se inserisco anche un filtro, troverebbe TUTTI gli hack, e quindi ritengo non si possa far molto di meglio.
Added lines 1-67:
(:title Sicurezza nelle Reti - Prova Pratica - Giugno 2008:)
%titolo%''':: Sicurezza nelle Reti - Prova Pratica - Giugno 2008 ::'''
!!Esercizio 1
Utilizzare '''tcpdump''' per salvare su un unico file tutto il traffico generato aprendo una sessione FTP ATTIVO verso il computer del docente e scaricando in locale il file presente sul server.
Dal file contenente il traffico generato nel punto precedente, ricavare, utilizzando il minor numero possibile di filtri tcpdump, i pacchetti necessari a mostrare:
* handshake TCP della connessione DATI
* protocollo di terminazione della connessione DATI
Utilizzare sempre almeno i seguenti filtri combinati con operatori logici:
* indirizzo IP di una delle due macchine
* combinazione di uno o più flag TCP (usare filtro sul contenuto binario)
* porta (o range di porte) applicativa (usare filtro sul contenuto binario dell'intero parametro dell'header)
!!!Soluzione
Per salvare il traffico, facciamo
'''tcpdump -n -v -i eth 0 -w traffico.dump'''
Per aprire la connessione FTP attiva, da linea di comando si fanno le seguenti cose:
[@
% ftp IpDocente
>LS
>GET nomefile
>QUIT
@]
'''ftp IpDocente''' apre la connessione, LS lista i files, GET lo recupera, QUIT esce. Se il file da scaricare non è lì, occorre cercarlo da qualche parte: dopo aver fatto LS ed essere comparsa una lista di directory, si fa '''CD nomedir''' per entrare nella directory.
Nell'FTP attivo, la connessione dati è eseguita dalla porta 20 del server ad una porta alta del client. L'handshake è composto così:
* client: SYN
* server: SYN ACK
* client ACK
Ma in questo caso, è il PcDocente a fare da CLIENT, e il nostro Pc a fare da SERVER. La sequenza sarebbe quindi:
* PcDocente: SYN
* PcNostro: SYN ACK
* Pcdocente: ACK
Per trovare il SYN del docente tramite '''tcpdump''', facciamo:
'''tcpdump -n -v -i eth0 src host PcDocente and "tcp[0:2] = 20 and tcp[13] & 1 != 0" -r traffico.dump'''
che ci trova il pacchetto proveniente dalla porta 20 del PcDocente con settato il flag SYN.
Per trovare il SYN/ACK del PcNostro inviato alla porta destinazione 20, facciamo:
'''tcpdump -n -v -i eth0 src host PcNostro and "tcp[13] = 18 and tcp[2:2] = 20" -r traffico.dump'''
Per trovare gli ACK che il PcDocente ci ha inviato, facciamo:
'''tcpdump -n -v -i eth0 src host Pcdocente and "tcp[13] = 16 and tcp[0:2] = 20" -r traffico.dump'''
La disconnessione avviene invece in questo modo: chi vuole terminare invia '''FIN''', l'altro risponde con '''FIN ACK''', e il primo risponde con '''ACK''', e finisce lì.\\
Siccome siamo noi a voler terminare la connessione, saremo noi ad inviare il FIN e a ricever FIN ACK:
'''tcpdump -n -v -i eth0 src host PcNostro and "tcp[13] = 1 and tcp[2:2] = 20" -r traffico.dump'''
E il docente risponderà con FIN ACK:
'''tcpdump -n -v -i eth0 src host PcDocente and "tcp[13] = 17 and tcp[0:2] = 20" -r traffico.dump'''
Una cosa su cui sono incerto è se sia possibile combinare tutte queste cose in un comando solo... guardandolo così, non credo proprio, e dal testo non capisco se il prof lo voglia o mica... Boh!
----
[[ Torna alla pagina di Sicurezza nelle Reti -> Sicurezza Nelle Reti]]
|
