tcpdump è uno strumento di sniffing molto diffuso nel mondo Unix/Linux: permette di analizzare il tipo di pacchetti che passano per l’interfaccia di rete specificata. Di fatto, il suo utilizzo è molto simile a quello di WireShark/Ethereal, di cui abbiamo parlato in questo articolo, ma agisce solamente da linea di comando, anziché tramite una (comoda) interfaccia grafica.
Come detto, è molto diffuso e utilizzato su molte piattaforme Unix-like: Linux, Solaris, BSD, Mac OS X, HP-UX e AIX, sviluppato sulla base delle librerie per la cattura di pacchetti libpcap. Su Windows invece è stato fatto un porting, che prende il nome di WinDump. Vediamo insieme qualche semplice esempio di utilizzo.
Continua »
Snort è un software gratuito e open-source che si distingue per offrire due caratteristiche principali: agisce infatti sia come Network Intrusion Prevention System (NIPS) che Network Intrusion Detection System (NIDS).
In pratica offre una risposta passiva alle intrusioni e rileva intrusioni che sfruttano vulnerabilità.
Continua »
Hping è un tool di rete, sviluppato da un italiano, Salvatore Sanfilippo (aka antirez), in grado di generare pacchetti di rete, gestendo la frammentazione, la lunghezza arbitraria dei pacchetti stessi e l’incapsulamento di diversi protocolli (TCP, UDP, ICMP e RAW-IP).
È disponibile per diverse piattaforme del mondo Unix/Linux: Linux, Unix, Mac OS X, FreeBSD, NetBSD e OpenBSD.
Continua »
Kismet è sicuramente il più famoso e utilizzato strumento per la rilevazione di rete WiFi: è in grado infatti di rilevare reti, agire come packet sniffer e come sistema di IDS (Intrusion Detection System) per le rete Wireless (802.11).
Kismet funziona con tutte le schede di rete wireless che hanno il supporto alla modalità “raw monitoring” e può sniffare il traffico 802.11a, 802.11b e 802.11g.
È uno strumento molto potente e adatto a persone esperte: uno delle sue principali caratteristiche è di essere in grado di lavorare in modo “passivo”.
Non lascia infatti alcun segnale (log) della sua presenza, inoltre è in grado di rilevare sia la presenza di access point che dei dispositivi wireless, associando gli ultimi ai primi, al fine di ricostruire la rete.
Continua »
Wireshark, il cui nome fino al 2006 era Ethereal, con il quale spesso ancora oggi viene chiamato, è uno sniffer di pacchetti il cui utilizzo ha molteplici scopi: rilevare e analizzare problemi di rete, sviluppo di software o protocolli di comunicazione oppure anche a scopi didattici.
Le funzionalità di Wireshark sono simili a quelle offerte da tcpdump, ma la presenza di una interfaccia grafica rende l’utilizzo molto più semplice: la possibilità di filtrare e ordinare i risultati permette un’analisi più efficace e immediata.
Come avviene lo sniffing? Una volta selezionata la scheda di rete e impostata in “promiscuos mode”, Wireshark inizia a raccogliere tutti i pacchetti in entrata e in uscita dalla stessa interfaccia di rete.
Continua »
Chkrootkit, Check Rootkit, è un programma per Linux in grado di rilevare noti rootkit presenti nel sistema.
Il rootkit altro non è che un software utilizzato dagli hacker per prendere il controllo di un computer o di un server senza lasciare tracce.
In pratica, chkrootkit è uno script shell (un piccolo programma che può essere eseguito da linea di comando) che raccoglie in sé una serie di tool tipici del mondo Unix/Linux e permette di verificare l’integrità del sistema attraverso il controllo delle signature di programmi base del sistema e tramite il confronto del contenuto del filesystem /proc con l’output del comando ps (process status) alla ricerca di differenze.
Continua »
Nessus è un software di scansione e analisi di un server per rilevare eventuali vulnerabilità del sistema operativo e/o del software installato.
Lo scopo di Nessus è quindi di rilevare:
- vulnerabilità che consentono ad un hacker di controllare o accedere ai dati del sistema;
- configurazioni non corrette (mancanza di patch in particolare);
- presenza di password di default, password vuote o password comuni. Nessus utilizza Hydra per effettuare attacchi di tipo dizionario per scovare le password;
- Denial of Service sul protocollo TCP/IP;
Continua »
Nmap è un network security scanner, ossia un programma che permette di fare una scansione della rete alla ricerca degli host e dei servizi che questi offrono, al fine di creare una “mappa” della rete stessa.
Nmap non è solo un semplice port scanner, ma è in grado di fornire numerosi dettagli sui server: ipotizza il sistema operativo in uso, il tipo di device, uptime (ossia da quanto time il server è acceso), quale programma e quale versione fornisce un determinato servizio su una porta, il fornitore delle schede di rete e altro ancora.
Continua »
Iniziamo con questo articolo una serie di 10 recensioni sui software più famosi e utilizzati in ambito di sicurezza, per l’analisi, il monitoraggio dei propri sistemi e della rete.
Naturalmente, consigliamo l’uso a fini didattici per i meno esperti e per usi di “difesa” per chi invece voglia attrezzarsi adeguatamente contro possibili attacchi.
Iniziamo questa serie con John The Ripper.
Continua »
