cerca
SNR - Prova scritta - Febbraio 2008 ONLINE
modifica cronologia stampa login logout

Wiki

UniCrema


Materie per semestre

Materie per anno

Materie per laurea


Help

SNR - Prova scritta - Febbraio 2008 ONLINE 

 :: SNR - Prova scritta - Febbraio 2008 ONLINE ::

Esercizio 1

Spiegare in sintesi ma con precisione in cosa consiste un ACK scan e quale utilizzo può avere la combinazione di un ACK scan e di un SYN scan.

L'ACK scan è un tipo di scansione in cui si invia ad una porta di un host un pacchetto con il solo flag ACK settato. Da specifiche, se la porta è raggiungibile, l'host risponde con un RST, altrimenti rimane muto. Da notare che raggiungibile vuol dire o aperta, o closed, ma comunque raggiungibile.
Il SYN scan invece consiste nell'inviare semplicemente un SYN ad una porta, e vedere se essa risponde con un SYN/ACK, ovvero se è aperta. Se è aperta, rispondo con un RST, così essa viene chiusa subito, e c'è il vantaggio che diversi S.O. non loggano questi tentativi di connessione.

La combinazione di ACK e SYN scan permette di determinare se un firewall è di tipo statico o stateful. Come? Prima faccio un SYN scan. Se la porta è inaccessibile, mi verrà risposto un admin-prohibited o roba del genere. Poi tento, sulla stessa porta, l'invio di un singolo impulso sonar singolo ACK. Se mi viene risposto un RST, vuol dire che il FW è static. Infatti, se fosse stato stateful avrebbe scartato il mio pacchetto, perché non facente parte di nessuna condizione. Se invece risponde con RST, vuol dire che il pacchetto è arrivato fino all'host, e allora vuol dire che il FW è static.

Esercizio 3

Si consideri la seguente signature di Snort e si spieghi, in sintesi ma con precisione, i motivi per cui un corrispondente traffico può risultare significativo per motivi di sicurezza. 

alert ip $EXTERNALNET any -> $HOME_NET any
(msg:"Tiny Fragments";
dsize:<25;
fragbits:M;
classtype:bad-unknown;
sid:522;
rev:5;)

Per la discussione sulle signature di Snort, si veda il compito di Novembre 2008. In aggiunta diciamo che:

  • fragbits:M; vuol dire che ha il bit MF a 1
  • dsize:<25; vuol dire che la dimensione dei dati è inferiore a 25 byte.

La faccenda dei frammenti troppo piccoli è spiegata nella pagina della prova di Aprile 2008. La faccenda è che i sistemi onesti non generano mai frammenti più piccoli di circa 400 byte. Al contrario, gli scanner come nmap generano frammenti da 8 a 24 byte. Pertanto, è possibile che tali frammenti siano di provenienza disonesta, e possibilmente un tentativo di scansione. Vedi qui.

Torna alla pagina di Sicurezza Nelle Reti