Hacking Tool - utilizzare hping per analizzare una rete (Seconda Parte)

Lo scorso articolo ci eravamo fermati ad una panoramica generale sull’uso di hping (la prima parte la trovate qua), in questo invece ci concentreremo sul cosa significhi, cosa sia e che informazioni si possono ricavare tramite la tecnica del “Firewalking”, fare del firewalking significa riuscire a determinare le policy, che non sono nient’altro che regole di controllo sul traffico che attraversa la nostra rete, dei firewall posti nella zona perimetrale del nostro host target. Inoltre questo tipologia di tecnica ci permette di individuare la topologia della rete target e le regole di accesso al traffico, cioè il traffico consentito e quello non consentito.

Iniziamo la nostra parte pratica digitando il seguente comando:

hping -z -t 1 -C 8 -S < indirizzo_target >
-z permette di inviare pacchetti ogni volta che premete la combinazione dei tasti CTRL-z
-t setta il time to live TTL (vedere nota riportata sotto)

-C abilita l’invio di pacchetti ICMP, nei pacchetti ICMP vi è un campo ID che

identifica la tipologia della richiesta (vedi tabella 1.1)

-S modalità scansione SYN

Dall’output del comando possiamo farci un idea più chiara di come si presenta la rete, se ad esempio vi è un router di frontiera e quanti router deve oltrepassare per arrivare alla destinazione finale, vi consiglio di usare nel mentre anche il comando whois per riuscire a carpire qualche informazione supplementare e capire findove arriva internet e dove inizia la rete gestita dal nostro target.

Vi avevo anche accennato che hping può funzionare come tool per apportare attacchi di tipo DoS usato per testare la sicurezza degli IDS(intrusion Detection System) e dei firewall.

Come funziona:

E’ una tipologia di attacco che tende a saturare le risorse dell’host Target aprendo contemporaneamente molte connessioni.

Il protocollo TCP per aprire una connessione usa l’operazione di threeway-handshake che grossomodo funziona in questo modo:

• Il client inoltra un segmento TCP con il flag SYN attivato ( indica all’host con cui si vuole connettere che vuole stabilire una connessione su una determinata porta).

• L’host risponde con il flag di SYN attivato inviando nel frattempo la conferma (ACK) di ricezione dei dati precedentemente inviati.

• Il client conferma l’avvenuta ricezione inviando un ACK a sua volta

Per effettuare questo tipologia di test si procede usando il comando seguente:

COMANDO: hping –a 192.168.3.10 –S 192.168.3.20 –p 53 –i u2000

-a setta un indirizzo sorgente, mascherandone la provenienza reale

-S flag SYN attivato

-i intervallo di tempo che intercorre nell’invio di pacchetti in sucessione

Naturalmente questo tipo di test funziona nel momento in cui l’host target non ha un firewall attivo, altrimenti il firewall lo rileverà e adotterà la policy più opportuna.

Giocando con i vari parametri, flags e consultando il manuale del comando hping capirete che è uno strumento realmente performante che ci permettende di analizzare una rete e capire quali potrebbero essere i problemi che ne affligono la sicurezza.

Spero di essere stato abbastanza esauriente e di avervi dato qualche spunto in più per andare ad approfondire le caratteristiche e le molteplici possibilità insite in questo strumento.

Happy Hacking

Nota:

Il time to live non è il tempo di vita del pacchetto ma è il numero di hop che quest’ultimo può fare prima di venire scartato dai vri router che trova sul suo cammino, quando questo campo TTL=0 il router che si trova a riceverlo lo scarta e restituisce un pacchetto “ICMP time excedeed”.

Se non riuscite a proseguire con l’analisi perchè avete un router in casa vi consiglio di settarlo a 2, in modo tale da non considerare il gateway di casa vostra.

Tab 1.1

TIPO PACCHETTO ICMP	DESCRIZIONE
0	ECHO REPLY
8	ECHO REQUEST
5	REDIRECT
17	REQUEST ADRESS MASK

Per altri ID vi rimando a questo link: http://it.wikipedia.org/wiki/ICMP

Invia articolo ad un amico