• Handshake TCP (SYN e SYN/ACK): SYN=2, ACK=16

(:title Sicurezza nelle Reti - Connessioni e tcpdump:)

 :: Sicurezza nelle Reti - Connessioni e tcpdump ::

(Riassunto dei vari esercizi con tcpdump presenti su swappa)

Flag TCP

Come ricordare i flag tcp? Semplicissimo, Un Attaccante Pirla Raggira Solo Fruttivendoli ossia URG,ACK,PUSH,RST,SYN,FIN. Il valore decimale di URG è 32, quindi ora basta essere in grado di dividere per 2 per ricavare gli altri valori. (Se non volete fare calcoli li scrivo io: 32,16,8,4,2,1).
Tutto ciò potrebbe risultare utile per i filtri di tcpdump, vediamo come:
sapendo che i flag sono nel 13° byte dell'header tcp (non lo sapete? sapevatelo!),quindi:

• SYN scan: invio un pacchetto con flag SYN, se la porta è aperta ricevo un pacchetto con il flag SYN e ACK. Ora so che SYN=2 e ACK=16, mi occorrono entrambi settati quindi 16+2=18 e nel filtro scrivo tcp[13]=18.
• FIN scan: invio un pacchetto con flag FIN, se la porta è aperta non ricevo nulla, se è chiusa ricevo un pacchetto con flag RST. RST=4, per trovare le porte chiuse uso il filtro tcp[13]=4
• trovare pacchetti con almeno combinazione FIN e PUSH: FIN=1, PUSH=8, 8+1=9 quindi tcp[13] & 9 != 0
• Chiusura connessione: per terminare invio FIN, ricevo FIN e ACK, invio ACK