Per capire quali porte sono CLOSED, beh, innanzitutto ce lo dice nmap:) Ad ogni modo, il FIN scan funziona perché, se la porta è aperta, il target non risponde. Se è chiusa, risponde invece con un RST. Pertanto, per ricavare le porte chiuse, ci serve sapere quali pacchetti ci sono arrivati dal PcDocente con RST attivo (tutto questo nelle specifiche: altri SO fanno un po' come vogliono loro...).

tcpdump -n -v -i eth0 src host PcDocente and "tcp[13] & 4 != 0 and tcp[0:2] >= 80 and tcp[0:2] < =90" -r traffico.dump

Questo robo ci darà tutti i pacchetti con RST attivo provenienti dal computer del docente. Se supponiamo che sul computer del docente solo la porta 80 sia attiva, allora riceveremo pacchetti con RST attivo provenienti dalle porte 81, 82 ... 90.

(:title Sicurezza nelle Reti - Prova Pratica - Luglio 2008:)

 :: Sicurezza nelle Reti - Prova Pratica - Luglio 2008 ::

Esercizio 1

Utilizzare tcpdump su PcA per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:

• utilizzare nmap per eseguire un FIN scan del computer del docente per il range di porte 80-90

Dal file contenente il traffico generato nel punto precedente, ricavare QUALI PORTE SONO CLOSED, utlizzando i filtri di tcpdump, i pacchetti che utilizzano contemporaneamente tutte le seguenti condizioni:

1. indirizzo della macchina destinataria
2. almeno un filtro per un flag TCP attivo (usare filtro sul contenuto binario)
3. range di porte (usare filtro sul contenuto binario)

Soluzione

Per salvare il traffico, usiamo la seguente sintassi:

tcpdump -n -v -i eth0 -w traffico.dump

Per fare il FIN scan con nmap, sul range di porte 80-90, usiamo la seguente sintassi:

nmap -sF -p80-90 PcDocente

Torna alla pagina di Sicurezza nelle Reti