Wireshark, all'attacco della rete con lo squalo

Wireshark, all'attacco della rete con lo squalo

I pirati informatici lo usano per preparare le loro incursioni, gli amministratori per difendersi. Noi vi mostriamo come fanno

(pagina 4 di 5)

Cattura del traffico

Eseguiamo Wireshark con i privilegi di amministratore: sudo wireshark. Scegliamo di nuovo l’interfaccia di rete su cui ascoltare e avviamo una sessione in live capture cliccando su Capture/Start. Proveremo a isolare dal normale traffico di rete i tentativi di scansione delle porte effettuati tramite Nmap.

Scansione delle porte con Nmap

Portiamoci su una seconda macchina di test ed effettuiamo con Nmap almeno un SYN Scan e un Xmas Scan: nmap -sS -F ip e nmap -sX -F ip. L’opzione -F effettuerà lo scan solo sulle porte “standard”, attendiamo il termine dell’operazione e quindi torniamo sulla macchina che sta effettuando la cattura del traffico.

Filtrare solo alcuni pacchetti

Come facciamo a isolare un Syn scan (pacchetto SYN) dal normale traffico? Utilizzeremo un filtro che evidenzierà le richieste SYN formate da pacchetti di lunghezza 0, ecco come: ip.proto == 6 and tcp.flags == 2 and tcp.len == 0. Questo filtro mostrerà solo i pacchetti di tipo TCP (ip.proto == 6) che hanno il flag SYN settato (tcp.flags == 2) e che sono privi di payload (tcp.len == 0).

Un altro tipo di scansione

Il filtro per l’Xmas scan è molto simile, l’unico parametro che varia è il tcp.flags che questa volta deve essere uguale a 41, ovvero il numero ottenuto sommando il singolo valore dei flag: FIN, PUSH e URG. Con i filtri appena visti siamo stati in grado di evidenziare due tipi differenti di scan, ma con impostazioni simili possiamo discriminarne molte altre tipologie.

Analisi di una sessione MSN

Usare Wireshark per esaminare il flusso di una conversazione MSN tra due client

La cavia: una sessione di chat

Iniziamo una sessione di chat con un qualunque contatto della nostra lista, chiaramente tenendo Wireshark attivo per tutto il tempo, in modo da avere il log completo di tutti i messaggi che vengono scambiati tra i client ed il server centrale, in questo modo riusciremo, nel caso ci interessasse, anche a intercettare la stringa di login.

Tutto il traffico generato

Al termine della conversazione fermiamo la cattura, vedremo la finestra dei pacchetti popolata con tutto il traffico generato dalla rete fino a quel momento. Guardando con attenzione il listato, vedremo alcuni pacchetti il cui protocollo è MSNMS ovvero MSN Messenger Service, dovremo quindi evidenziare questi pacchetti e lasciar lavorare il dissector.