Appunti Laboratorio di sicurezza informatica

Indice

Nmap

Wireshark

Packet sniffer

Filtri

Caratteristiche di Wireshark

Punti di forza di Wireshark

tcpdump

Espressioni di tcpdump

Ettercap

BeEF

Metasploit

SEToolkit

Nmap

Permette di controllare quali servizi sono in uso e su quali porte essi sono in ascolto.

Laboratorio 1

È stato sviluppato per avviare attività di port scanning, sia in locale che in remoto, su singoli indirizzi IP o sugli intervalli specificati dall'utente, così da determinare la presenza di porte aperte.

Oltre all'attività di port scanning, Nmap consente di lanciare il comando ping e controllare i sistemi operativi utilizzati su ciascun dispositivo.

Tramite Nmap è possibile fare:

Traceroute: dato un URL, mostra tutti i gateway attraversati

Identificare MAC address e produttore (o dire se è una Virtual Box)

Version scan: rilevare quale software è installato, in modo da organizzare un attacco

Nmap

Wireshark

WireShark è un packet sniffer, ovvero un software che partendo

dall'utilizzo del medesimo canale di comunicazione condiviso tra più utenti consente di esaminare il contenuto di tutti i pacchetti dati in transito. Il software trae vantaggio dall'utilizzo della cosiddetta modalità promiscua: una scheda di rete diventa in grado di "intercettare" tutto il traffico, compreso quello destinato verso altri dispositivi connessi alla rete locale. Grazie a Wireshark è quindi possibile verificare in tempo reale che cosa avviene sulla rete locale e individuare eventuali credenziali di accesso trasmesse in chiaro, attività sospette e così via. Laboratorio 2 Wireshark Packet sniffer Le reti interne e le reti locali LAN sono reti a commutazione di pacchetto: non è prevista la costruzione di un canale di comunicazione diretto tra la stazione sorgente e la stazione di destinazione dei dati, ma ogni messaggio viene suddiviso in pacchetti numerati con gli indirizzi delle stazioni. I software come Wireshark catturano quali

Sono le attività che stanno avvenendo sul WiFi al fine di individuare (eventualmente) gli scambi di dati non autorizzati, le trasmissioni di password non crittografate, etc.

Filtri

Possiamo avere filtri di:

• Cattura: si fa sniffing catturando solo pacchetti tra un certo sorgente o destinatario, oppure determinati range di porte.
• Visualizzazione: si cattura tutto e si visualizzano solo certi pacchetti.

Caratteristiche di Wireshark

Laboratorio 3

• I dati possono essere visualizzati dal vivo o da file acquisiti in precedenza.
• I dati possono essere acquisiti in tempo reale da numerose interfacce e tipi di rete.
• È presente un potente sistema di filtraggio.
• Ha la capacità di agire a più livelli dello stack TCP/IP.

Punti di forza di Wireshark

• Può registrare il traffico WiFi, consentendo di visualizzare il contenuto di ogni pacchetto di dati che passa sulla rete.
• È in grado di intercettare tutto il traffico della rete in tempo reale.

tcpdump

tcpdump è un tool per il debug.

tcpdump è un'utilità delle reti di computer che funziona da riga di comando ed è usato per l'analisi del traffico di rete. Consente all'utente di intercettare pacchetti e trasmissioni, ad esempio nel protocollo TCP/IP, condotti attraverso una rete alla quale il computer è collegato.

tcpdump viene comunemente utilizzato per:

• Il debugging di applicazioni
• Il debugging della configurazione di rete
• Intercettare e visualizzare le comunicazioni di un altro utente o computer

Tra le funzioni messe a disposizione:

• Mostrare la lista delle interfacce disponibili
• Fornire un timestamp in formato human-readable
• Mostrare il contenuto dei pacchetti sia in esadecimale che in ASCII, insieme anche ai dati contenuti nell'header
• Modalità verbosa: aumenta la quantità di informazioni sui pacchetti stampati a video
• Catturare solo un certo numero di pacchetti

È possibile fare uso di espressioni (o filtri) per filtrare il traffico catturato.

Laboratorio 4

Esistono 3

Tipologie di espressioni:

• type: identificano a quale tipo di oggetti si riferiscono le opzioni.
• dir: specificano la direzione di trasferimento dei frame.
• proto: restringono il match a un particolare protocollo.

Tcpdump e Ettercap:

È un software che permette di implementare un attacco man in the middle. È in grado di intercettare tutto il traffico nel dominio permettendo quindi la cattura di password, l'intercettazione di una serie di protocolli comuni e attacchi man in the middle.

Per un miglior funzionamento occorre mettere l'interfaccia di rete in modalità promiscua e procedere all'avvelenamento dell'ARP della macchina di destinazione. È fondamentale al termine dell'attacco procedere con la fase di chiusura, attraverso un'uscita pulita: bisogna stoppare l'attacco restituendo i MAC address giusti, altrimenti la comunicazione verrebbe interrotta.

Laboratorio 5

Ettercap e BeEF:

È uno dei tool più potenti a disposizione per automatizzare la

exploitation di Cross-Site Scripting (XSS). Il funzionamento del framework è il seguente: una volta individuata una XSS in una applicazione, il tester inietta un client JavaScript che si occupa di instaurare un canale di comunicazione con il server BeEF. Il server, dopo aver fatto il fingerprint delle vittime agganciate (browser, OS, etc), mette automaticamente a disposizione del tester tramite una comoda interfaccia una serie di attacchi specifici per violare i browser delle vittime (zombies) agganciati dal client.

I comandi eseguibili spaziano dall'estrarre i cookie della vittima, eseguire exploit per specifiche vulnerabilità nel browser o nei plugin installati, estrarre la history, alterare le pagine visitate al volo (ad esempio modificando i link), effettuare il keylogin in tempo reale, eseguire JavaScript definito dal tester e molto altro.

Laboratorio 6