:: Sicurezza nelle Reti - Prova Pratica - Luglio 2008 ::
Utilizzare tcpdump su PcA per salvare su un unico file tutto il traffico generato eseguendo i seguenti comandi:
Dal file contenente il traffico generato nel punto precedente, ricavare QUALI PORTE SONO CLOSED, utlizzando i filtri di tcpdump, i pacchetti che utilizzano contemporaneamente tutte le seguenti condizioni:
Per salvare il traffico, usiamo la seguente sintassi:
tcpdump -n -v -i eth0 -w traffico.dump
Per fare il FIN scan con nmap, sul range di porte 80-90, usiamo la seguente sintassi:
nmap -sF -p80-90 PcDocente
Per capire quali porte sono CLOSED, beh, innanzitutto ce lo dice nmap:) Ad ogni modo, il FIN scan funziona perché, se la porta è aperta, il target non risponde. Se è chiusa, risponde invece con un RST. Pertanto, per ricavare le porte chiuse, ci serve sapere quali pacchetti ci sono arrivati dal PcDocente con RST attivo (tutto questo nelle specifiche: altri SO fanno un po' come vogliono loro...).
tcpdump -n -v -i eth0 src host PcDocente and "tcp[13] & 4 != 0 and tcp[0:2] >= 80 and tcp[0:2] < =90" -r traffico.dump
Questo robo ci darà tutti i pacchetti con RST attivo provenienti dal computer del docente. Se supponiamo che sul computer del docente solo la porta 80 sia attiva, allora riceveremo pacchetti con RST attivo provenienti dalle porte 81, 82 ... 90.