Gli sniffer


Si definisce sniffing (dall'inglese, odorare), in informatica e nelle telecomunicazioni, l'attività di intercettazione passiva dei dati che transitano in una rete telematica. Tale attività può essere svolta sia per scopi legittimi (ad esempio l'analisi e l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). I prodotti software utilizzati per eseguire queste attività vengono detti sniffer ed oltre ad intercettare e memorizzare il traffico offrono funzionalità di analisi del traffico stesso. Gli sniffer intercettano i singoli pacchetti, decodificando le varie intestazioni di livello datalink, rete, trasporto, applicativo. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione TCP per valutare il comportamento del protocollo di rete o per ricostruire lo scambio di dati tra le applicazioni. Sniffing del traffico locale Il traffico può essere intercettato da uno degli host coinvolti nella comunicazione, indipendentemente dal tipo di interfaccia di rete su cui viene inviato. Sniffing in reti locali Per intercettare i dati che circolano su una determinata LAN è necessario possedere od ottenere l'accesso fisico al mezzo trasmissivo oppure avere l'accesso remoto (tramite telnet, ssh, vnc o altro) e poteri amministrativi su un host fisicamente connesso alla rete in questione. Sniffing in reti ethernet non-switched In questo tipo di reti ethernet il mezzo trasmissivo (cavo coassiale o, attualmente, cavo UTP o STP connesso ad un hub) è condiviso, quindi tutte le schede di rete dei computer nella rete locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell'indirizzo MAC (indirizzo hardware univoco della scheda di rete). Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta modalità promiscua, che disattivando questo "filtro hardware" permette al sistema l'ascolto di tutto il traffico passante sul cavo. Sniffing in reti ethernet switched In questo caso l'apparato centrale della rete, definito switch, si occupa di inoltrare su ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna interfaccia di rete riceve, quindi solo i pacchetti destinati al proprio indirizzo ed i pacchetti di broadcast. L'impostazione della modalità promiscua è quindi insufficiente per poter intercettare il traffico in una rete gestita da switch. In questo caso ci si può collegare ad una porta chiamata "SPAN" nella terminologica di Cisco, "Roving Analysis" per 3Com e "port mirroring" per gli altri produttori che riceve il traffico circolante su tutte le porte dello switch. Alcuni metodi per poter ricevere tutto il traffico dallo switch da una porta qualunque sono il MAC flooding, l'ARP poisoning e il port stealing. Sniff ing in reti geografiche Per intercettare i dati che transitano su reti geografiche si utilizzano tecniche Man in the middle analoghe a quelle accennate in precedenza, operanti però a livello più alto: possono intervenire a livello di instradamento del traffico IP (routing) oppure inviare alle vittime informazioni fasulle per quanto riguarda la corrispondenza tra nomi a dominio e indirizzi IP sfruttando l'assenza di autenticazione del sistema DNS. Modalità di difesa Una soluzione open source è ArpON "ARP handler inspection". ArpON è un demone portabile che rende il protocollo ARP sicuro contro attacchi Man in The Middle (MITM) attraverso tecniche ARP Spoofing, ARP Cache Poisoning, ARP Poison Routing (APR). Blocca anche attacchi derivati quali Sniffing, Hijacking, Injection, Filtering come: DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking e SSL/TLS Hijacking & co attacks. Cifratura del traffico, in particolare delle informazioni sensibili. Utilizzo di strumenti software in grado di rilevare la presenza di sniffer nella rete. Rafforzamento della sicurezza dei protocolli di rete.