Uni.SNR-PS-Febbraio2008ONLINE History
Hide minor edits - Show changes to output
Added lines 3-29:
!!Esercizio 1 ''Spiegare in sintesi ma con precisione in cosa consiste un ACK scan e quale utilizzo può avere la combinazione di un ACK scan e di un SYN scan.''
L'ACK scan è un tipo di scansione in cui si invia ad una porta di un host un pacchetto con il solo flag ACK settato. Da specifiche, se la porta è raggiungibile, l'host risponde con un RST, altrimenti rimane muto. Da notare che raggiungibile vuol dire o aperta, o closed, ma comunque raggiungibile.\\ Il SYN scan invece consiste nell'inviare semplicemente un SYN ad una porta, e vedere se essa risponde con un SYN/ACK, ovvero se è aperta. Se è aperta, rispondo con un RST, così essa viene chiusa subito, e c'è il vantaggio che diversi S.O. non loggano questi tentativi di connessione.
La combinazione di ACK e SYN scan permette di determinare se un firewall è di tipo statico o stateful. Come? Prima faccio un SYN scan. Se la porta è inaccessibile, mi verrà risposto un ''admin-prohibited'' o roba del genere. Poi tento, sulla stessa porta, l'invio di un {-singolo impulso sonar-} singolo ACK. Se mi viene risposto un RST, vuol dire che il FW è static. Infatti, se fosse stato stateful avrebbe scartato il mio pacchetto, perché non facente parte di nessuna condizione. Se invece risponde con RST, vuol dire che il pacchetto è arrivato fino all'host, e allora vuol dire che il FW è static.
!!Esercizio 3 ''Si consideri la seguente signature di Snort e si spieghi, in sintesi ma con precisione, i motivi per cui un corrispondente traffico può risultare significativo per motivi di sicurezza.''
[@ alert ip $EXTERNALNET any -> $HOME_NET any (msg:"Tiny Fragments"; dsize:<25; fragbits:M; classtype:bad-unknown; sid:522; rev:5;) @]
Per la discussione sulle signature di Snort, si veda il [[compito di Novembre 2008 -> SNR-PS-Novembre2008]]. In aggiunta diciamo che: * ''fragbits:M;'' vuol dire che ha il bit MF a 1 * ''dsize:<25;'' vuol dire che la dimensione dei dati è inferiore a 25 byte.
La faccenda dei frammenti troppo piccoli è spiegata [[nella pagina della prova di Aprile 2008 -> SNR-PS-Aprile2008]]. La faccenda è che i sistemi onesti non generano mai frammenti più piccoli di circa 400 byte. Al contrario, gli scanner come nmap generano frammenti da 8 a 24 byte. Pertanto, è possibile che tali frammenti siano di provenienza disonesta, e possibilmente un tentativo di scansione. Vedi [[qui -> http://archives.neohapsis.com/archives/snort/2000-05/0115.html]].
Added lines 1-5:
(:title SNR - Prova scritta - Febbraio 2008 ONLINE:) %titolo%''':: SNR - Prova scritta - Febbraio 2008 ONLINE ::'''
---- [[Torna alla pagina di Sicurezza Nelle Reti -> Sicurezza Nelle Reti]]
|