Sniffing

Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica. Tale attività può essere svolta sia per scopi legittimi (ad esempio l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili).

I prodotti software utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso.

Indice

1 Sniffing in reti locali 1.1 Sniffing in reti ethernet non-switched 1.2 Sniffing in reti ethernet switched 2 Sniffing in reti geografiche 3 Modalità di difesa 4 Bibliografia 5 Collegamenti esterni

Sniffing in reti locali

In generale, per intercettare i dati in una rete locale è necessario possedere od ottenere l'accesso fisico al mezzo trasmissivo.

Sniffing in reti ethernet non-switched

In questo tipo di reti ethernet il mezzo trasmissivo (cavo coassiale o, attualmente, tramite un cavo twisted ossia un cavo che al suo interno contiene 4 coppie di filo intrecciate) è condiviso tramite un hub centrale, quindi tutte le schede di rete dei computer nella rete locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell'indirizzo MAC (indirizzo hardware univoco della scheda di rete).

Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta modalità promiscua, che disattivando questo "filtro hardware" permette al sistema l'ascolto di tutto il traffico passante sul cavo.

Sniffing in reti ethernet switched

In questo caso l'apparato centrale della rete, definito switch, si occupa di inoltrare su ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna interfaccia di rete riceve quindi solo i pacchetti destinati al proprio indirizzo ed i pacchetti di broadcast.

L'impostazione della modalità promiscua è quindi inutile e per intercettare il traffico si deve ricorrere a tecniche più sofisticate (ARP Spoofing, ARP Poisoning) che sfruttando alcune vulnerabilità del protocollo ARP consentono di deviare il traffico tra due host verso un terzo (attaccante), facendo credere ad entrambe le vittime che l'attaccante sia il loro interlocutore legittimo. Questo tipo di attacco è definito Man in the middle.

Sniffing in reti geografiche

Per intercettare i dati che transitano su reti geografiche si utilizzano tecniche Man in the middle analoghe a quelle accennate in precedenza, operanti però a livello più alto: possono intervenire a livello di instradamento del traffico IP (routing) oppure inviare alle vittime informazioni fasulle per quanto riguarda la corrispondenza tra nomi a dominio e indirizzi IP sfruttando l'assenza di autenticazione del sistema DNS.

Modalità di difesa

• Cifratura del traffico, in particolare delle informazioni sensibili.
• Utilizzo di strumenti software in grado di rilevare la presenza di sniffer nella rete.
• Rafforzamento della sicurezza dei protocolli di rete.

Bibliografia

• Marco Valleri, Alberto Ornaghi - [Man in the middle attacks]

Collegamenti esterni

• Ethereal - Ethereal (GPL)
• ettercap - ettercap
• Packet sniffer - Sniff-em
• TCP Dump - TCP Dump (GPL)

See also: Sniffing, ARP Poisoning, Address Resolution Protocol, Autenticazione, Broadcast, Cavo coassiale, Computer, Crittografia, Domain Name System, Ethernet