Uni.SNR-PP-Luglio2008 History
Hide minor edits - Show changes to output
Added lines 22-26:
Per capire quali porte sono CLOSED, beh, innanzitutto ce lo dice '''nmap''':) Ad ogni modo, il FIN scan funziona perché, se la porta è aperta, il target non risponde. Se è chiusa, risponde invece con un RST. Pertanto, per ricavare le porte chiuse, ci serve sapere quali pacchetti ci sono arrivati dal PcDocente con RST attivo (tutto questo nelle specifiche: altri SO fanno un po' come vogliono loro...).
'''tcpdump -n -v -i eth0 src host PcDocente and "tcp[13] & 4 != 0 and tcp[0:2] >= 80 and tcp[0:2] < =90" -r traffico.dump'''
Questo robo ci darà tutti i pacchetti con RST attivo provenienti dal computer del docente. Se supponiamo che sul computer del docente solo la porta 80 sia attiva, allora riceveremo pacchetti con RST attivo provenienti dalle porte 81, 82 ... 90.
Added lines 1-24:
(:title Sicurezza nelle Reti - Prova Pratica - Luglio 2008:)
%titolo%''':: Sicurezza nelle Reti - Prova Pratica - Luglio 2008 ::'''
!!Esercizio 1
Utilizzare '''tcpdump''' su PcA per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:
* utilizzare '''nmap''' per eseguire un '''FIN scan''' del computer del docente per il range di porte 80-90
Dal file contenente il traffico generato nel punto precedente, ricavare QUALI PORTE SONO CLOSED, utlizzando i filtri di tcpdump, i pacchetti che utilizzano contemporaneamente tutte le seguenti condizioni:
# indirizzo della macchina destinataria
# almeno un filtro per un flag TCP attivo (usare filtro sul contenuto binario)
# range di porte (usare filtro sul contenuto binario)
!!!Soluzione
Per salvare il traffico, usiamo la seguente sintassi:
'''tcpdump -n -v -i eth0 -w traffico.dump'''
Per fare il '''FIN scan''' con '''nmap''', sul range di porte 80-90, usiamo la seguente sintassi:
'''nmap -sF -p80-90 PcDocente'''
----
[[Torna alla pagina di Sicurezza nelle Reti -> Sicurezza Nelle Reti]]
|
