Sniffer e Sniffing
Che
cos'e' uno sniffer?
Lo
sniffer e' un programma che, rilasciato sopra qualche server, ne cattura le
informazioni richieste e le trattiene fino a lettura o le invia ad un
destinatario ( ad esempio ).
L'atto
di catturare di queste informazioni e' chiamato sniffing.
Molte
delle piu' popolari connessioni tramite computer si eseguono attraverso ethernet.
Il
protocollo Ethernet lavora mandando pacchetti di informazioni a tutti gli host
dello stesso circuito.
L'inizio
del pacchetto contiene l'indirizzo proprio della macchina di destrinazione.
Solo
il computer con l'indirizzo uguale e' predisposto ad accettare quel pacchetto;
per non fare confronti bisogna porre la macchina in modo chiamato
"promiscuo".
A
causa del fatto che in un normale scambio di informazioni attraverso network,
account e password sono inviati attraverso ethernet in normale testo non
cifrato, non e' difficile per un intruso, una volta che ha ottenuto il livello
di superuser, porre la macchina in modo "promiscuo" e, facendo lo
sniffing, compromettere tutte le macchine sulla rete di quel computer.
Dove
si possono trovare gli sniffer?
Lo
sniffing e' una delle piu' popolari tecniche di attacco degli hackers.
Uno
speciale sniffer chiamato Esniff.c, veramente piccolo, e' stato creato per
lavorare sulle stazioni SunOS e riesce a catturare "solo" i primi 300
bytes delle sessioni di telnet, ftp e rlogin.
Questo
e' stato pubblicato in Phrack, cioe' uno dei giornali hackers piu' letti di
tutta internet.
I
vari articoli del Phrack si possono trovare su diversi siti ftp.
Tu,
lanciando lo sniffer su di un network autorizzato, puoi vedere come questo
comprometta tutte le macchine della rete.
Altri
sniffer, tesi a risolvere i debug dei programmi di rete sono:*Etherfind sul
SunOS 4.1.x
*Snoop
sul Solaris 2.x e SunOS 4.1 ( ftp playground.sun.com )
*Tcpdump
3.0
*Packetman,
Interman, Etherman, Loadman lavorano sulle seguenti piattaforme:
SunOS, Dec-mips, SGI, Alpha e Solaris
Lo
sniffer chiamato Packerman ( cosi' come Etherman o Interman ) e' stato creato
per catturare
Sniffer
per il DOS:
*Gobbler
per macchine IBM DOS
*Ethdump v1.03
*Ethload v1.04
Sniffer
commerciali:
*Network
General
La
network general produce numerosi prodotti. I piu' importanti sono gli Expert
Sniffer, che non solo corrono su tutta la rete ma possono anche caricare
pacchetti attraverso un sistema ad alte prestazioni diagnosticando i problemi
per te.
*Microsoft's
Net Monitor
Come
si individua se vi e' uno sniffer su di un sistema?
Per
individuare uno sniffer che raccoglie solo dati e non risponde a informazioni
bisogna fisicamente verificare tutti i propri collegamenti Ethernet,
controllandoli uno ad uno.
E'
impossibile verificare in modo remoto un computer mandandogli un pacchetto di
informazioni o facendo un ping alla macchina se questa e' stata
"sniffata".
Uno
sniffer che e' stato lanciato su di una macchina, mette l'interfaccia in modo
promiscuo con il quale accetta tutti i pacchetti di informazioni. Su alcuni
sistemi UNIX e' possibile individuare se una macchina e' stata messa in modo
promiscuo.
E'
possibile lanciare uno sniffer su di una macchina in maniera non promiscua ma
questo intercettera' solamente le informazioni che sono state lanciate
direttamente dalla macchina.
E'
anche possibile per l'intruso eseguire una simile cattura di informazioni
lanciando alcuni trojan horse ( vedi sopra ) su diversi programmi come telnet,
rlogin, in.telnetd e altri.
Tutti
questi tipi di attacchi compromettono solo le sessioni che vengono da una
macchina invece lo sniffing in modo promiscuo compromette TUTTE le sessioni su
Ethernet.
Per
SunOS, NetBSD e altri possibili derivati BSD dello UNIX c'e' un comando "ifconfig
-a" che ti dice tutte le informazioni su tutte le interfacce e se loro sono
in modo promiscuo.
Sul
DEC OSF/1 e IRIX e altri possibili OS, bisogna specificare che interfaccia si
vuole verificare.
Non
esiste un comando ( per quanto ne so' ) per individuare una macchina IBM PC
posta in maniera "promiscua", ma solitamente queste macchine non
permettono comandi di esecuzione tranne che dalla console principale e quindi
intrusi che operano in modo remoto non possono cambiare un computer PC in uno
sniffer senza avere aiuto dall'interno.