Sniffer e Sniffing

 

                                                                            

SNIFFER???

 

Che cos'e' uno sniffer?

Lo sniffer e' un programma che, rilasciato sopra qualche server, ne cattura le informazioni richieste e le trattiene fino a lettura o le invia ad un destinatario ( ad esempio ).

L'atto di catturare di queste informazioni e' chiamato sniffing.

Molte delle piu' popolari connessioni tramite computer si eseguono attraverso ethernet.

Il protocollo Ethernet lavora mandando pacchetti di informazioni a tutti gli host dello stesso circuito.

L'inizio del pacchetto contiene l'indirizzo proprio della macchina di destrinazione.

Solo il computer con l'indirizzo uguale e' predisposto ad accettare quel pacchetto; per non fare confronti bisogna porre la macchina in modo chiamato "promiscuo".

A causa del fatto che in un normale scambio di informazioni attraverso network, account e password sono inviati attraverso ethernet in normale testo non cifrato, non e' difficile per un intruso, una volta che ha ottenuto il livello di superuser, porre la macchina in modo "promiscuo" e, facendo lo sniffing, compromettere tutte le macchine sulla rete di quel computer.

Dove si possono trovare gli sniffer?

Lo sniffing e' una delle piu' popolari tecniche di attacco degli hackers.

Uno speciale sniffer chiamato Esniff.c, veramente piccolo, e' stato creato per lavorare sulle stazioni SunOS e riesce a catturare "solo" i primi 300 bytes delle sessioni di telnet, ftp e rlogin.

Questo e' stato pubblicato in Phrack, cioe' uno dei giornali hackers piu' letti di tutta internet.

I vari articoli del Phrack si possono trovare su diversi siti ftp.

Tu, lanciando lo sniffer su di un network autorizzato, puoi vedere come questo comprometta tutte le macchine della rete.

Altri sniffer, tesi a risolvere i debug dei programmi di rete sono:*Etherfind sul SunOS 4.1.x

*Snoop sul Solaris 2.x e SunOS 4.1 ( ftp playground.sun.com )

*Tcpdump 3.0

*Packetman, Interman, Etherman, Loadman lavorano sulle seguenti piattaforme:

                SunOS, Dec-mips, SGI, Alpha e Solaris

Lo sniffer chiamato Packerman ( cosi' come Etherman o Interman ) e' stato creato per catturare pacchetti di informazioni mentre Loadman per monitorare il traffico tra i computer.

Sniffer per il DOS:

*Gobbler per macchine IBM DOS

*Ethdump v1.03               

*Ethload v1.04               

 

Sniffer commerciali:

 

*Network General

La network general produce numerosi prodotti. I piu' importanti sono gli Expert Sniffer, che non solo corrono su tutta la rete ma possono anche caricare pacchetti attraverso un sistema ad alte prestazioni diagnosticando i problemi per te.

*Microsoft's Net Monitor

Come si individua se vi e' uno sniffer su di un sistema?

Per individuare uno sniffer che raccoglie solo dati e non risponde a informazioni bisogna fisicamente verificare tutti i propri collegamenti Ethernet, controllandoli uno ad uno.

E' impossibile verificare in modo remoto un computer mandandogli un pacchetto di informazioni o facendo un ping alla macchina se questa e' stata "sniffata".

Uno sniffer che e' stato lanciato su di una macchina, mette l'interfaccia in modo promiscuo con il quale accetta tutti i pacchetti di informazioni. Su alcuni sistemi UNIX e' possibile individuare se una macchina e' stata messa in modo promiscuo.

E' possibile lanciare uno sniffer su di una macchina in maniera non promiscua ma questo intercettera' solamente le informazioni che sono state lanciate direttamente dalla macchina.

E' anche possibile per l'intruso eseguire una simile cattura di informazioni lanciando alcuni trojan horse ( vedi sopra ) su diversi programmi come telnet, rlogin, in.telnetd e altri.

Tutti questi tipi di attacchi compromettono solo le sessioni che vengono da una macchina invece lo sniffing in modo promiscuo compromette TUTTE le sessioni su Ethernet.

Per SunOS, NetBSD e altri possibili derivati BSD dello UNIX c'e' un comando "ifconfig -a" che ti dice tutte le informazioni su tutte le interfacce e se loro sono in modo promiscuo.

Sul DEC OSF/1 e IRIX e altri possibili OS, bisogna specificare che interfaccia si vuole verificare.

Non esiste un comando ( per quanto ne so' ) per individuare una macchina IBM PC posta in maniera "promiscua", ma solitamente queste macchine non permettono comandi di esecuzione tranne che dalla console principale e quindi intrusi che operano in modo remoto non possono cambiare un computer PC in uno sniffer senza avere aiuto dall'interno.