Swappa : Uni / Sicurezza nelle Reti - Connessioni e tcpdump

 :: Sicurezza nelle Reti - Connessioni e tcpdump ::

(Riassunto dei vari esercizi con tcpdump presenti su swappa)

Flag TCP

Come ricordare l'ordine dei flag tcp? Semplicissimo, Un Attaccante Pirla Raggira Solo Fruttivendoli ossia URG,ACK,PUSH,RST,SYN,FIN. Il valore decimale di URG è 32, quindi ora basta essere in grado di dividere per 2 per ricavare gli altri valori. (Se non volete fare calcoli li scrivo io: 32,16,8,4,2,1).
Tutto ciò potrebbe risultare utile per i filtri di tcpdump, vediamo come:
sapendo che i flag sono nel 13° byte dell'header tcp (non lo sapete? sapevatelo!),quindi:

• SYN scan: invio un pacchetto con flag SYN, se la porta è aperta ricevo un pacchetto con il flag SYN e ACK. Ora so che SYN=2 e ACK=16, mi occorrono entrambi settati quindi 16+2=18 e nel filtro scrivo tcp[13]=18.
• FIN scan: invio un pacchetto con flag FIN, se la porta è aperta non ricevo nulla, se è chiusa ricevo un pacchetto con flag RST. RST=4, per trovare le porte chiuse uso il filtro tcp[13]=4
• trovare pacchetti con almeno combinazione FIN e PUSH: FIN=1, PUSH=8, 8+1=9 quindi tcp[13] & 9 != 0
• Handshake TCP (SYN e SYN/ACK): SYN=2, ACK=16
• Chiusura connessione: per terminare invio FIN, ricevo FIN e ACK, invio ACK

In generale se scrivo nel filtro tcp[13]=x, trovo i pacchetti che hanno solo il flag x settato, se scrivo tcp[13] & x !=0 trovo i pacchetti che hanno almeno il flag x settato.