:: SNR - Prova scritta ONLINE - Dicembre 2007 ::
ARP Poisoning! Basta! Qui la spiegazione!.
Si svolgano in sintesi ma con precisione i seguenti punti:
alert tcp $HOME_NET any -> $EXTERNAL_NET 1024: (msg:"***"; flow:to_server,established; content:"AJust"; nocase; content:"server"; distance:0; nocase; pcre:"/^\d+\x0dAJust\s+a\s+serever\x00[^\r\n]*\x00\d+\.\d+\.\d+\.\d+\x00/smi"; reference:url,securityresponse.symantec.com/avcenter/venc/data/backdoor.netshadow.html; reference:url,www.megasecurity.org/trojans/n/netshadow/Netshadow_a.html; classtype:trojan-activity; sid:6027; rev:1;)
Abbiamo un NIDS, seguito da un ROUTER e poi la VITTIMA. All'esterno della rete c'è un Attaccante.
Per sfruttare il TTL per attaccare la vittima in questo scenario, facciamo così. Creiamo un pacchetto cattivo composto da 3 parti, di cui il messaggio propriamente malizioso sta nella prima e nell'ultima, mentre la seconda parte è fuffa.
Inviamo il primo alla vittima, con TTL sufficientemente alto per farlo arrivare alla vittima. Sia il NIDS che la vittima lo prendono e lo tengono via.
Inviamo il secondo pacchetto, ma con TTL appena sufficiente a farlo fermare dal ROUTER che si trova appena prima della vittima. Il NIDS lo prende, lo assembla a quello che ha già ricevuto prima, e non trova niente. La vittima invece non riceve niente.
Inviamo il terzo pacchetto, con TTL adatto a farlo arrivare alla vittima. Sia il NIDS che la vittima lo ricevono. Il NIDS lo assembla con gli altri due, e non vede niente. La vittima invece lo assembla con il PRIMO, et voilà ecco che la vittima ha riassemblato il pacchetto cattivo, mentre il NIDS non si è accorto di niente!
La spiegazione dei parametri della regola di SNORT la si può trovare nel compito di Novembre 2008.