cerca
SNR - Prova scritta ONLINE - Dicembre 2007
modifica cronologia stampa login logout

Wiki

UniCrema


Materie per semestre

Materie per anno

Materie per laurea


Help

SNR - Prova scritta ONLINE - Dicembre 2007 

 :: SNR - Prova scritta ONLINE - Dicembre 2007 ::

Esercizio 1

ARP Poisoning! Basta! Qui la spiegazione!.

Esercizio 3

Si svolgano in sintesi ma con precisione i seguenti punti:

  1. Descrivere la tecnica di evasione di un IDS basata sulla manipolazione dei TTL nello scenario mostrato dalla figura seguente (la figura non la metto, la spiego poi).
  2. Descrivere il significato dei parametri presenti nella seguente regola di Snort; 
alert tcp $HOME_NET any -> $EXTERNAL_NET 1024:
(msg:"***";
flow:to_server,established;
content:"AJust";
nocase;
content:"server";
distance:0;
nocase;
pcre:"/^\d+\x0dAJust\s+a\s+serever\x00[^\r\n]*\x00\d+\.\d+\.\d+\.\d+\x00/smi";
reference:url,securityresponse.symantec.com/avcenter/venc/data/backdoor.netshadow.html;
reference:url,www.megasecurity.org/trojans/n/netshadow/Netshadow_a.html;
classtype:trojan-activity;
sid:6027;
rev:1;)

Punto 1

Abbiamo un NIDS, seguito da un ROUTER e poi la VITTIMA. All'esterno della rete c'è un Attaccante.

Per sfruttare il TTL per attaccare la vittima in questo scenario, facciamo così. Creiamo un pacchetto cattivo composto da 3 parti, di cui il messaggio propriamente malizioso sta nella prima e nell'ultima, mentre la seconda parte è fuffa.
Inviamo il primo alla vittima, con TTL sufficientemente alto per farlo arrivare alla vittima. Sia il NIDS che la vittima lo prendono e lo tengono via.
Inviamo il secondo pacchetto, ma con TTL appena sufficiente a farlo fermare dal ROUTER che si trova appena prima della vittima. Il NIDS lo prende, lo assembla a quello che ha già ricevuto prima, e non trova niente. La vittima invece non riceve niente.
Inviamo il terzo pacchetto, con TTL adatto a farlo arrivare alla vittima. Sia il NIDS che la vittima lo ricevono. Il NIDS lo assembla con gli altri due, e non vede niente. La vittima invece lo assembla con il PRIMO, et voilà ecco che la vittima ha riassemblato il pacchetto cattivo, mentre il NIDS non si è accorto di niente!

Punto 2

La spiegazione dei parametri della regola di SNORT la si può trovare nel compito di Novembre 2008.

Torna alla pagina di Sicurezza Nelle Reti