Si definisce sniffing l'attività di intercettazione passiva dei
dati che transitano in una rete telematica. Tale attività può essere
svolta sia per scopi legittimi (ad esempio l'individuazione di problemi di
comunicazione o di tentativi di intrusione) sia per scopi illeciti
(intercettazione fraudolenta di password o altre informazioni
sensibili).
I prodotti software utilizzati per eseguire queste attività vengono
detti sniffer ed oltre ad intercettare e memorizzare il traffico
offrono funzionalità di analisi del traffico stesso.
Sniffing in reti locali
In generale, per intercettare i dati in una rete locale è necessario
possedere od ottenere l'accesso fisico al mezzo trasmissivo.
Sniffing in reti ethernet non-switched
In questo tipo di reti ethernet il mezzo trasmissivo (cavo
coassiale o, attualmente, tramite un cavo twisted ossia un cavo che al suo
interno contiene 4 coppie di filo intrecciate) è condiviso tramite un hub
centrale, quindi tutte le schede di rete del computer nella rete locale
ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i
propri a seconda dell' indirizzo MAC (indirizzo hardware univoco della scheda
di rete).
Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete
la cosiddetta modalità promiscua, che disattivando questo "filtro
hardware" permette al sistema l'ascolto di tutto il traffico passante sul
cavo.
Sniffing in reti ethernet switched
In questo caso l'apparato centrale della rete, definito switch, si occupa
di inoltrare su ciascuna porta solo il traffico destinato al dispositivo
collegato a quella porta: ciascuna interfaccia di rete riceve quindi solo i
pacchetti destinati al proprio indirizzo ed i pacchetti di .broadcost
L'impostazione della modalità promiscua è quindi inutile e per
intercettare il traffico si deve ricorrere a tecniche più sofisticate ( ARP
Poisoning, AEP Spoofing) che sfruttando alcune vulnerabilità del protocollo
ARP consentono di deviare il traffico tra due host verso un terzo
(attaccante), facendo credere ad entrambe le vittime che l'attaccante sia il
loro interlocutore legittimo. Questo tipo di attacco è definito Man in the
middle.
Sniffing in reti geografiche
Per intercettare i dati che transitano su reti geografiche si utilizzano
tecniche Man in the middle analoghe a quelle accennate in precedenza,
operanti però a livello più alto: possono intervenire a livello di
instradamento del traffico IP (routing) oppure inviare alle vittime
informazioni fasulle per quanto riguarda la corrispondenza tra nomi a dominio
e indirizzi IP sfruttando l'assenza di autenticazione del sistema DNS.
Modalità di difesa
Cifratura del traffico, in particolare delle informazioni sensibili.
Utilizzo di strumenti software in grado di rilevare la presenza di
sniffer nella rete.
Rafforzamento della sicurezza dei protocolli di rete.
|