cerca
SNR - Prova scritta ONLINE - Dicembre 2007
modifica cronologia stampa login logout

Wiki

UniCrema


Materie per semestre

Materie per anno

Materie per laurea


Help

Uni.SNR-PS-Dicembre2008ONLINE History

Hide minor edits - Show changes to output

December 29, 2008, at 04:34 PM by dario -
Added lines 1-41:
(:title SNR - Prova scritta ONLINE - Dicembre 2007:)
%titolo%''':: SNR - Prova scritta ONLINE - Dicembre 2007 ::'''

!!Esercizio 1
ARP Poisoning! Basta! [[Qui la spiegazione! -> SNR-PS-Gennaio2008]].

!!Esercizio 3
''Si svolgano in sintesi ma con precisione i seguenti punti:''
# ''Descrivere la tecnica di evasione di un IDS basata sulla manipolazione dei TTL nello scenario mostrato dalla figura seguente (la figura non la metto, la spiego poi)''.
# ''Descrivere il significato dei parametri presenti nella seguente regola di Snort;''

[@
alert tcp $HOME_NET any -> $EXTERNAL_NET 1024:
(msg:"***";
flow:to_server,established;
content:"AJust";
nocase;
content:"server";
distance:0;
nocase;
pcre:"/^\d+\x0dAJust\s+a\s+serever\x00[^\r\n]*\x00\d+\.\d+\.\d+\.\d+\x00/smi";
reference:url,securityresponse.symantec.com/avcenter/venc/data/backdoor.netshadow.html;
reference:url,www.megasecurity.org/trojans/n/netshadow/Netshadow_a.html;
classtype:trojan-activity;
sid:6027;
rev:1;)
@]

!!!!Punto 1
Abbiamo un NIDS, seguito da un ROUTER e poi la VITTIMA. All'esterno della rete c'è un Attaccante.

Per sfruttare il TTL per attaccare la vittima in questo scenario, facciamo così. Creiamo un pacchetto cattivo composto da 3 parti, di cui il messaggio propriamente malizioso sta nella prima e nell'ultima, mentre la seconda parte è fuffa.\\
Inviamo il primo alla vittima, con TTL sufficientemente alto per farlo arrivare alla vittima. Sia il NIDS che la vittima lo prendono e lo tengono via.\\
Inviamo il secondo pacchetto, ma con TTL appena sufficiente a farlo fermare dal ROUTER che si trova appena prima della vittima. Il NIDS lo prende, lo assembla a quello che ha già ricevuto prima, e non trova niente. La vittima invece non riceve niente.\\
Inviamo il terzo pacchetto, con TTL adatto a farlo arrivare alla vittima. Sia il NIDS che la vittima lo ricevono. Il NIDS lo assembla con gli altri due, e non vede niente. La vittima invece lo assembla con il PRIMO, et voilà ecco che la vittima ha riassemblato il pacchetto cattivo, mentre il NIDS non si è accorto di niente!

!!!!Punto 2
La spiegazione dei parametri della regola di SNORT la si può trovare nel [[compito di Novembre 2008 -> SNR-PS-Novembre2008]].

----
[[Torna alla pagina di Sicurezza Nelle Reti -> Sicurezza Nelle Reti]]
Restore