Information gathering

Transcript

Strumenti di raccolta di
informazioni su topologia,
utenti e servizi di una rete
- Information gathering Stefano Suin
<[email protected]>
Centro di Servizi per la rete di Ateneo
Università
Università di Pisa
Corso sicurezza, edizione 2002
„ Stefano
Suin - Information gathering -1
Metodologie di recupero di
informazioni
„ Stefano
1
Tool di recupero informazioni
presenti sulla rete
„ Stefano
Enhanced tools
° host,
° vrfy
° ping
° whois
° ftp://ftp.ripe.net/tools
„ Stefano
2
PING
° E’ il primo test da effettuare sulla
“presenza attiva”
attiva” di una macchina in
rete
° Ping usa il protocollo ICMP per
spedire un ECHO_REQUEST
datagram verso un host remoto
costringendolo a generare una ICMP
ECHO_RESPONSE
° Oltre al fatto che la macchina
risponda si possono acquisire molte
informazioni sui RTT
„ Stefano
PING
°
°
°
Alla chiusura della sessione ritorna un
record che evidenza i
minimum/average/maximum round-trip time
numbers
I pacchetti duplicati non sono calcolati
nei singoli RTT ma solo nei dati
cumulativi finali
molte opzioni, interessanti -f (flood),-s
packet size(def. 56+8 hdr), -r (bypass the
routing table)
„ Stefano
3
Esempio di Ping
ping realta.unipi.it
PING 131.114.190.2: 56 data bytes
64 bytes from 131.114.190.2: seq=0 ttl=254 time=0.581 ms.
^C
---- 131.114.190.2 PING Statistics ---8 packets transmitted, 8 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0.273/0.334/0.581 (std = 0.94)
„ Stefano
RPING
° Supporta il
multihomed host,
host,
testando tutte le interfaccie
° E’ in grado di fornire più
più informazioni
sugli RTT degli host intermedi
„ Stefano
4
HPING
° …dove il
ping non può
può passare
° tcp ping
° costruzione di pacchetti
tcp/
tcp/ip per
studiare le configurazione firewall,
firewall,
screening router,
router, sistemi operativi
° E’ possibile eseguire un traceroute
per un particolare servizio
„ Stefano
TRACEROUTE
° Internet
è una grande e complessa
aggregazione di reti locali separate
da gateways.
gateways. Traceroute riesca a
tracciare il percorso di un pacchetto
visualizzando i gateways che lo
stesso attraversa per giungere a
destinazione; utilizza il campo time to
live del datagaram IP per generare
una risposta ICMP del tipo time
exceeded da ogni gateway incontrato
sul percorso
„ Stefano
Suin - Information gathering -1 0
5
Traceroute interesting option
° -A Autonomous
system
° -a multiple address interface
° -g gateway vorza il passaggio dal
gateway specificato. Utile per sapere
come, da quel gateway,
gateway, si raggiunge
la destinazione desiderata
° -m max hops (30 dflt)
dflt)
° -S statistica
° -f disable IP fragmentation
„ Stefano
Traceroute output
°
°
°
°
°
°
* no response within 3 sec (or -w)
!H host unreachable
!N network unreachable
!P protocol unreachable
!F fragmentation needed. Nel caso di MTU
conosciuto, questo è indicato
(ttl=n!) valore di ttl unexpected. Possibile routing
asimmetrico. Ci si aspetterebbe un valore del tipo (initial
value - (hop-1). Es se ci separano 5 hop dal gw A il valore
atteso è initial value -4. L’
L’initial value dipende dalla casa
costruttrice.Utilizzare -l per visualizzare i valori
„ Stefano
6
1 cisco-serra (131.114.190.12) 1.448 ms 1.254 ms 1.240 ms
2 unipi-garr-gw (131.114.191.253) 2.443 ms 5.727 ms 2.232 ms
3 rc-iat2.bo.garr.net (193.206.128.45) 8.198 ms 86.356 ms 7.680 ms
4 rt-rc.bo.garr.net (193.206.128.9) 93.069 ms 80.228 ms 142.332 ms
5 * mi-bo.garr.net (193.206.129.9) 111.952 ms 106.600 ms
6 garr.IT.ten-34.net (193.203.226.25) 104.227 ms 120.565 ms 150.393 ms
7 it.DE-2.ten-34.net (193.203.227.9) 104.331 ms * *
8 de-2.DE-1.ten-34.net (193.203.227.25) 99.397 ms 122.733 ms 154.777 ms
9 212.1.199.1 (212.1.199.1) 137.566 ms 157.266 ms *
10 212.1.200.45 (212.1.200.45) 113.689 ms 112.937 ms 114.673 ms
11 38.ATM5-0-0.GW3.NYC4.ALTER.NET (157.130.14.73) 114.976 ms 127.768 ms 121.642
ms
12 140.ATM3-0.XR2.NYC4.ALTER.NET (146.188.179.158) 119.560 ms 227.713 ms 208.35
0 ms
13 188.ATM6-0.XR2.BOS1.ALTER.NET (146.188.178.34) 239.463 ms 199.390 ms 231.207
ms
14 190.ATM8-0-0.BR1.BOS1.ALTER.NET (146.188.177.5) 215.434 ms 189.088 ms 233.79
8 ms
15 h4-0.boston1-br2.bbnplanet.net (4.0.2.73) 219.033 ms 143.294 ms 182.441 ms
16 h1-0.cambridge2-br1.bbnplanet.net (4.0.1.186) 207.161 ms 240.358 ms 221.542
ms
17 * ihtfp.mit.edu (192.233.33.3) 231.262 ms 207.659 ms
18 * E40-RTR-FDDI.MIT.EDU (18.168.0.11) 253.207 ms 206.226 ms
19 MIT.MIT.EDU (18.72.0.100) 206.865 ms 163.205 ms 164.677 ms
„ Stefano
DNS query tool:
host / nslookup / dig
° Informazioni su host, reti e domini
registrati sul database distribuito DNS
SYNOPSIS
host [-v] [-a] [-t querytype] [options]
„ Stefano
name[server]
host [-v] [-a
7
HOST interesting options
°
°
°
°
°
°
°
-t querytype
-l zone-transfer
-C consistency check fra i vari NS
autoritativi
-L level (discesa ricorsiva)
-[HEDC]S statistic
-r turn off recursion
-u forza l’
l’uso del TCP invece dell’
dell’UDP
ª
tcp usato sempre in zone-transfer o
datagram>MTU
„ Stefano
HOST -t SOA
host -t SOA unipi.it
unipi.it
SOA serra.unipi.it postmaster.serra.unipi.it (
99010801
;serial (version)
86400 ;refresh period (1 day)
7200 ;retry interval (2 hours)
2592000 ;expire time (4 weeks, 2 days)
86400 ;default ttl (1 day)
)
„ Stefano
8
HOST -HS
host -HS di.unipi.it
Found 239 A records within di.unipi.it
Found 6 NS records within di.unipi.it
Found 26 CNAME records within di.unipi.it
Found 2 SOA records within di.unipi.it
Found 3 MX records within di.unipi.it
Found 236 hosts within di.unipi.it
Found 5 duplicate hosts within di.unipi.it
Found 2 delegated zones within di.unipi.it
„ Stefano
Host -l
host -l cli.unipi.it
cli.unipi.it.
NS progetti.cli.unipi.it.
cli.unipi.it.
NS nameserver.unipi.it.
anto.cli.unipi.it. A
131.114.7.17
galileo.cli.unipi.it. A
131.114.7.16
leonardo.cli.unipi.it. A
131.114.7.14
localhost.cli.unipi.it. A
127.0.0.1
staccato.cli.unipi.it. A
131.114.7.4
laser-4mv.cli.unipi.it. A
131.114.7.5
lab1.cli.unipi.it. A
131.114.7.11
lab2.cli.unipi.it. A
131.114.7.12
luna.cli.unipi.it. A
131.114.7.3
faeta.cli.unipi.it. A
131.114.7.1
progetti.cli.unipi.it. A
131.114.7.9
direttore.cli.unipi.it. A
131.114.7.8
caronte.cli.unipi.it. A
131.114.7.10
lucia.cli.unipi.it. A
131.114.7.13
„ Stefano
9
VRFY e-mail address
° Strumento per la verifica degli
indirizzi di posta elettronica
° La verifica viene effettuata sull’
sull’host
remoto (se la parte destra
dell’
dell’indirizzo identifica un host e non
un mailer exchange record)
° Per gli indirizzi locali sono fornite
informazioni aggiuntive
„ Stefano
VRFY operational mode
° FILE mode (-f flag)
ª
vrfy list-users vs. vrfy -f /mail/lists/listuser or vrfy -L 1 list-users
° PING mode (-p flag)
° EXTRN mode (-T flag)
° RECURSIVE mode (-L level)
ª
mailing list, forwarding option e mail
forwarding loop
„ Stefano
10
VRFY strategy
°
°
°
°
°
Se viene specificata la verifica esplicita sull’
sull’host,
questo viene contattato direttamente
Se l’
l’indirizzo non ha parti @, viene considerato
locale
Se contiene una parte @, viene cercato un MX
record per quel dominio, se questo non esiste la
parte dominio viene considerato un fully
qualified host
Se viene trovati Mxs la verifica viene effettuata
sull’
sull’MX primario
Se viene specificato -a ed esistono più
più MX la
verifica viene effettuata su tutti gli MXs
„ Stefano
Gli obiettivi
° Network mapping
° Identificazione dei sistemi operativi e
loro release
° Identificazione di firewall e packet
filtering
° Identificazione dei servizi
° Attack obfuscation
„ Stefano
11
Le prime informazioni
°
Una parte significativa delle informazioni
può
può essere ricavata dalla normale visibilità
visibilità
esterna della rete
ÿ
ÿ
ÿ
ÿ
ÿ
Interrogazioni al nameserver
Web page
Ftp repository
Interrogazioni al sistema di posta
Interrogazioni al finger
L’hacker ottiene una lista degli host e un
piano delle relazioni esistenti fra questi
„ Stefano
Identificazione dei componenti
““trusted”
trusted” della rete obiettivo
° macchine di amministrazione
° server
° router
Ottenuto l’
l’accesso ad un host trusted
è abbastanza semplice espandere i
propri attacchi all’
all’interno della rete
„ Stefano
12
Le tecnologie dei tool di scan
¤Analisi dello stack TCP/IP
Firewalking
Stealth scanning
Decoys
„ Stefano
TCP/IP
….
TCP/IP in
in breve
breve….
ftp://
ftp.infonexus.com/pub/Philes/
ftp://ftp.infonexus.com/pub/Philes/
NetTech
/TCP-IP/tcipIp.intro.txt.gz
NetTech/TCP-IP/tcipIp.intro.txt.gz
„ Stefano
13
Analisi dello stack TCP/IP
°
Identificazione del sistema operativo e
relativa versione
ª
ª
banner
differenze di implementazione dello stack, che
possono essere testate inviando particolari
pacchetti “costruiti in casa”
casa” e rilevando la
reazione della macchina obiettivo
Se qualcuno sta tentando di rilevare il vostro
sistema operativo si tratta, quasi con
certezza, dell’
dell’ultimo passo prima di un
attacco
„ Stefano
Gli strumenti pi
ù utilizzati
più
° Queso
° http://www.apostols.org/projectz/que
so
° NMAP
° http://www.insecure.org/nmap
„ Stefano
14
FingerPrint con queso
° Queso
° identificazione di oltre 100 sistemi
operativi, memorizzati in un file di
configurazione
° Ex. Usage
[[email protected]]# queso -p23
myhost.com
ª 131.114.20.2:80 * Solaris 2.x
ª
„ Stefano
Queso figerprint signature
17:32:32.259996 hack.telnet > realta-vpn.34151: P 213531131:1213531168(37)
ack 4262377316 win 32120 (DF)
17:32:32.703129 hack.telnet > realta-vpn.34151: P 37:41(4) ack 3 win 32120
17:32:32.728002 hack.21595 > realta.80: S 425413583:425413583(0) win 4660
17:32:32.728457 hack.21595 > realta.80: R 425413584:425413584(0) win 0
17:32:32.742262 hack.21596 > realta.80: S 425413583:425413583(0) ack 0 win
17:32:32.762146 hack.21597 > realta.80: F 425413583:425413583(0) win 4660
17:32:32.782386 hack.21598 > realta.80: F 425413583:425413583(0) ack 0 win
17:32:32.802214 hack.21599 > realta.80: SF 425413583:425413583(0) win 660
17:32:32.802581 hack.21599 > realta.80: R 425413584:425413584(0) win 0
17:32:32.822117 hack.21600 > realta.80: P win 4660
17:32:32.842225 hack.21601 > realta.80: S 425413583:425413583(0) win 4660
17:32:32.842597 hack.21601 > realta.80: R 425413584:425413584(0) win 0
„ Stefano
15
FingerPrint con NMAP
° Analisi delle risposte ad una serie di
“bogus”
bogus” packet
° oltre 220 fingerprint di diversi sistemi
operativi identificabili
[[email protected]]# nmap -sS -p23 -PO myhost.com
Port State
Protocol Service
23 open
tcp
telnet
TCP Sequence Prediction: Class=random positive increments
Difficulty=34519 (Worthy challenge)
Remote operating system guess: Solaris 2.6 - 2.7
„ Stefano
Nmap fingerprint
17:37:05.067984 hack.telnet > realta-vpn.34151: P 6:85(79) ack 1 win 32120 (DF)
17:37:05.069264 hack.43848 > realta.telnet: S 3614024584:3614024584(0) win 4096
17:37:05.069713 hack.43848 > realta.telnet: R 3614024585:3614024585(0) win 0
17:37:05.071424 hack.43858 > realta.telnet: . ack 0 win 4096 <wscale 10,nop,mss
265,timestamp 1061109567[|tcp]>
17:37:05.071575 hack.43859 > realta.33704: S 4293221460:4293221460(0) win 4096
<wscale 10,nop,mss 265,timestamp 1061109567[|tcp]>
17:37:05.071700 hack.43860 > realta.33704: . ack 0 win 4096 <wscale 10,nop,mss
265,timestamp 1061109567[|tcp]>
17:37:05.071275 hack.43857 > realta.telnet: SFP 4293221460:4293221460(0) win 4096
urg 0 <wscale 10,nop,mss 265,timestamp 1061109567[|tcp]>
17:37:05.071840 hack.43861 > realta.33704: FP 4293221460:4293221460(0) win 4096
urg 0 <wscale10,nop,mss 265,timestamp 1061109567[|tcp]>
17:37:05.072029 hack.43848 > realta.33704: udp 300
„ Stefano
16
Altre informazioni
° Dall’
Dall’analisi delle risposte possiamo
ricavare molte altre informazioni
port filtering detection
ª tcp sequencability
ª username owner dei processi su una
certa porta
ª potenzialità
potenzialità di amplificazione smurfing
ª
„ Stefano
° Firewalking
° Stealth scanning
° Decoys
°
„ Stefano
17
Firewalking
° Una tecnica utilizzata per il recupero
di informazioni su una rete protetta
da un firewall
° si usa per analizzare firewall rules di
protezione (ACL) e individuare
router dietro a un firewall
L’hacker ottiene il disegno della
topologia di rete dietro a un firewall e
la lista delle porte aperte su un
firewall
„ Stefano
Firewalk
° Firewalk 0.99.1
° http://www.es2.net
° usa tecniche traceroute-like per
determinare se un pacchetto può
può o
no passare attraverso un firewall
packet-filtering
„ Stefano
18
hping
° Hping 0.67
° http://www.hping.org
° Costruzione ed invio di pacchetti
TCP/UDP/ICMP in modo
estremamente parametrico
° possibilità
possibilità di “bump up”
up” TTL usando
<ctrl-z>
„ Stefano
Router and filter policy
discovery
° Strategie traceroute -like
incremento del TTL e analisi delle
risposte “ICMP time exceeded”
exceeded” dai
router lungo il cammino
ª raggiungimento dei target host dietro i
firewall attraverso le porte che lasciano
passare il traffico
ª
° Mappa dei router dietro i firewall
„ Stefano
19
° Firewalking
° Stealth scanning
° Decoys
°
„ Stefano
Stealth scan
° Varie tecniche per il rilevamento di
host, servizi, sistemi operativi e
release di software
° gli scan basati su connect sono
facilmente rilevabili e sono da
attribuire ad hacker poco “sofisticati”
sofisticati”
° hacker più
più competenti non vogliono
essere rilevati da sistemi IDS o
firewall e non lasciare traccia delle
operazioni compiute
„ Stefano
20
Nmap
°
Nmap supporta 4 tipi di stealth scanning
ª
ª
ª
°
SYN (Syn flag settato)
FIN (FIN flag settato) XMAS (FIN,URG, PUSH)
NULL (nessun flag settato)
FIN, XMAS, NULL (negative scan)
ª
ª
le porte non aperte rispondono con un RST
le porte chiuse lo ignorano
„ Stefano
Syn scan signature
Nmap -sS -p25 myhost.com
19:00:08.664881 hack > realta: icmp: echo request
19:00:08.665047 hack.44132 > realta.80: . ack 2722473141 win
2048
19:00:08.974314 hack.44112 > realta.smtp: S
1191220368:1191220368(0) win 2048
19:00:08.974772 hack.44112 > realta.smtp: R
1191220369:1191220369(0) win 0
„ Stefano
21
FIN scan signature
Nmap -sF -p25 myhost.com
19:03:00.912915 hack.46005 > realta.80: . ack 195874952 win 2048
19:03:01.222258 hack.45985 > realta.smtp: F 0:0(0) win 2048
19:03:01.526442 hack.45986 > realta.smtp: F 0:0(0) win 2048
„ Stefano
XMAS scan signature
Nmap -sX -p25 myhost.com
19:05:12.375024 hack.58578 > realta.smtp: FP 0:0(0) win 4096 urg 0
19:05:12.679396 hack.58579 > realta.smtp: FP 0:0(0) win 4096 urg 0
„ Stefano
22
NULL scan signature
Nmap -sN -p25 myhost.com
19:07:06.994192 hack.33941 > realta.smtp: . win 3072
19:07:07.295434 hack.33942 > realta.smtp: . win 3072
„ Stefano
Service discovery
° Le tecniche stealth per il service
discovery coprono la quasi totalità
totalità
degli attacchi registrati
° Molti tool ma le tecniche sono
analoghe
„ Stefano
23
° Firewalking
° Stealth scanning
° Decoys
°
„ Stefano
Decoys
° Molti
scanners includono la
possibilità
possibilità di utilizzare dei Decoy o
indirizzi alterati per portare gli
attacchi
° La tecnica rende molto difficile
determinare la vera sorgente
dell’
dell’attacco
° NMAP
ATTACK obfuscation
„ Stefano
24
Decoys attack
Nmap -sS -P0 -Ddecoy.com,decoy1.com,decoy3.com
-Ddecoy.com,decoy1.com,decoy3.com myhost.com
19:22:54.063126 www.rai.it.44419 > realta.telnet: S 2800940989:2800940989(0)
win 2048
19:22:54.063275 207.46.131.28.44419 > realta.telnet: S
2800940989:2800940989(0) win 2048
19:22:54.063420 hack.44419 > realta.telnet: S 2800940989:2800940989(0) win
2048
19:22:54.063568 www.repubblica.it.44419 > realta.telnet: S
2800940989:2800940989(0) win 2048
19:22:54.063724 www.rai.it.44419 > realta.smtp: S 2800940989:2800940989(0)
win 2048
19:22:54.063872 www.microsoft.com44419 > realta.smtp: S
2800940989:2800940989(0) win 2048
19:22:54.064016 hack.44419 > realta.smtp: S 2800940989:2800940989(0) win
2048
„ Stefano
Identificazione delle
vulnerabilit
à
vulnerabilità
° Tool automatici di scan
Nessus
ª http://www.nessus.org
ª Satan
http://www.fish.com/~zen/satan
http://www.fish.com/~zen/satan//satan.ht
ml
ª
° Aggiornamento periodico database
vulnerabilità
vulnerabilità
„ Stefano
25
Azione degli strumenti di scan
°
°
°
°
°
°
°
°
TCP portscan di un host
Lista degli indirizzi IP e macchine associate
Dump dei servizi RCP
Lista delle directory esportate via nfs, samba o
netbios
Richieste finger
Scan delle vulnerabilità
vulnerabilità CGI
Server X aperti
Identificazione delle vulnerabilità
vulnerabilità conosciute sui
processi server, tipicamente Posta elettronica,
Nameserver, IMAP, POP3, RPC, Http, Sistemi
Operativi, Ftp, IRC
„ Stefano
Scan automatici
° Informazioni in database
successivamente consultabili
° Architettura software modulare
(utilizzo di plugin)
plugin)
° Caratteristiche dello scan
estremamente parametrizzabili
„ Stefano
26
Information gathering interno
NTOP
http://ntop.unipi.i
t
by
Luca Deri [email protected]
and
Stefano Suin [email protected]
Stefano Suin - Information gathering -5 3
„
Architettura
° Basato su CIDF (Common
Intrusion
Detection Framefork)
Framefork)
Reaction to events
High level,
interpreted events
C-measure Box
Storage of events
Analysis Box
Storage Box
Event Box
Raw or low-level events
„ Stefano
27
Caratteristiche
° distribuito sulle principali piattaforme
unix
° completamente operativo nel campo
nei network monitoring tool
° le caratteristiche intrinseche ne
favoriscono una naturale evoluzione
verso la sicurezza
GNU GPL2 Licence agreement
„ Stefano
Supporto
° Media
ÿ Loopback,
Loopback,
Ethernet,
Ethernet, Token Ring, PPP, FDDI
° Protocols
ÿ IP,
IPX, DecNet, AppleTalk, Netbios, OSI,
DLC
° Platform
ÿ FreeBSD
, Linux, Debian , Plamo , Suse,
Suse,
Trinux,
Trinux, Solaris, SGI IRIX
„ Stefano
28
°
°
°
°
°
°
°
°
°
°
°
NTOP
Internet Domain Statistics
CGI support
Advanced 'per user' HTTP password protection
with encripoted passwords
Support for SQL database for storing persistent
traffic information
Remote hosts OS identification (via queso)
OSF-1 support Data received/
received/Sent:
Sent: all protocols
Host information
icmp plugin (by Luca Deri)
Deri)
TCP session history
Protocol distribuition
Traffic Statistic
TCPDUMP-like filtering expression
„ Stefano
Ntop e la sicurezza
°
Portscan detection
ª
°
Spoofing detection
ª
°
memorizzazione degli ultimi 3 host che hanno
spedito un qualsiasi pacchetto a una qualsiasi
porta di un qualsiasi host della rete
arpwatch - rilevamento dell’
dell’uso di uno stesso
ip address associati ad uno stesso MAC
Spy detection
ª
rilevamento delle interfaccie in promiscous
mode - neped (dummy
(dummy broadcast)
„ Stefano
29
Ntop e la sicurezza
° Trojan
horse detection
traffico e numero di connessioni per
porta
ª statistic detection
ª
° Syn attack (denial
(denial
ª
of service, smurf)
smurf)
traffic sent/
sent/received by host
° Network
discovery
„ Stefano
Ntop e la sicurezza
° Souspicious
packet
Peak of packets having the RST (reset)
flag set.
ª Packets with SYN/ACK flag that do not
belong to an established connection.
ª Packets with SYN/FIN flag that do not
belong to an established connection.
ª Overlapping offsets of fragmented
packets.
ª
„ Stefano
30

Information gathering

Transcript

Documenti analoghi

Rubâiyât di Omar Khayyâm secondo la lezione di edoardo FitzGerald

Giornale di Carate 111030

Comunicato Stampa

Il team “Allora” vince Hack the City 2016 con il progetto SimplePark

Documento in formato pdf 219Kb

08 TESINA - Piccola Bibliografia

data luogo titolo 16/07/2014 roma 17/07/2014 roma 18/07

[email protected] gianlucafiori.org millmann-grabel

Circolare