Uni.SNR-PS-Febbraio2008ONLINE History
Hide minor edits - Show changes to output
Added lines 3-29:
!!Esercizio 1
''Spiegare in sintesi ma con precisione in cosa consiste un ACK scan e quale utilizzo può avere la combinazione di un ACK scan e di un SYN scan.''
L'ACK scan è un tipo di scansione in cui si invia ad una porta di un host un pacchetto con il solo flag ACK settato. Da specifiche, se la porta è raggiungibile, l'host risponde con un RST, altrimenti rimane muto. Da notare che raggiungibile vuol dire o aperta, o closed, ma comunque raggiungibile.\\
Il SYN scan invece consiste nell'inviare semplicemente un SYN ad una porta, e vedere se essa risponde con un SYN/ACK, ovvero se è aperta. Se è aperta, rispondo con un RST, così essa viene chiusa subito, e c'è il vantaggio che diversi S.O. non loggano questi tentativi di connessione.
La combinazione di ACK e SYN scan permette di determinare se un firewall è di tipo statico o stateful. Come? Prima faccio un SYN scan. Se la porta è inaccessibile, mi verrà risposto un ''admin-prohibited'' o roba del genere. Poi tento, sulla stessa porta, l'invio di un {-singolo impulso sonar-} singolo ACK. Se mi viene risposto un RST, vuol dire che il FW è static. Infatti, se fosse stato stateful avrebbe scartato il mio pacchetto, perché non facente parte di nessuna condizione. Se invece risponde con RST, vuol dire che il pacchetto è arrivato fino all'host, e allora vuol dire che il FW è static.
!!Esercizio 3
''Si consideri la seguente signature di Snort e si spieghi, in sintesi ma con precisione, i motivi per cui un corrispondente traffico può risultare significativo per motivi di sicurezza.''
[@
alert ip $EXTERNALNET any -> $HOME_NET any
(msg:"Tiny Fragments";
dsize:<25;
fragbits:M;
classtype:bad-unknown;
sid:522;
rev:5;)
@]
Per la discussione sulle signature di Snort, si veda il [[compito di Novembre 2008 -> SNR-PS-Novembre2008]]. In aggiunta diciamo che:
* ''fragbits:M;'' vuol dire che ha il bit MF a 1
* ''dsize:<25;'' vuol dire che la dimensione dei dati è inferiore a 25 byte.
La faccenda dei frammenti troppo piccoli è spiegata [[nella pagina della prova di Aprile 2008 -> SNR-PS-Aprile2008]]. La faccenda è che i sistemi onesti non generano mai frammenti più piccoli di circa 400 byte. Al contrario, gli scanner come nmap generano frammenti da 8 a 24 byte. Pertanto, è possibile che tali frammenti siano di provenienza disonesta, e possibilmente un tentativo di scansione. Vedi [[qui -> http://archives.neohapsis.com/archives/snort/2000-05/0115.html]].
Added lines 1-5:
(:title SNR - Prova scritta - Febbraio 2008 ONLINE:)
%titolo%''':: SNR - Prova scritta - Febbraio 2008 ONLINE ::'''
----
[[Torna alla pagina di Sicurezza Nelle Reti -> Sicurezza Nelle Reti]]
|
