Attacchi a Sniffer

RICORDO CHE TUTTE LE INFORMAZIONI CHE SEGUONO SONO SOLO A SCOPO INFORMATIVO. CHIUNQUE UTILIZZASSE QUESTE INFORMAZIONI PER NUOCERE A QUALCUNO O QUALCOSA IO NON MI RITERRO' RESPONSABILE.
Gli attacchi a sniffer passivo rappresentano il primo passo prima che un hacker esegua un dirottamento attivo o un attacco IP spoofing. Per iniziare un attacco sniffing, un hacker ottiene user-ID e la password di un utente legittimo e utilizza le informazioni dell'utente per accedere a una rete distribuita.Dopo essere entrato nella rete, l'hacker osserva e copia le trasmissioni dei pacchetti e tenta di raccogliere quante piu informazioni possibili sulla rete l'esecuzione di un programma sniffer preclude che dopo che l'hacker abbia avuto accesso alla rete distribuita, debba anche diventare root infatti l'uso delle socket raw che permettono lo sniffing sono permesse solo all'amministratore di sistema. Un altro scenario di sniffing è l'attacco mascherato. In un attacco mascherato l'hacker inizia la sessione inviando al server un pacchetto di sincronizzazione SYN utilizzando come indirizzo di origine l'indirizzo IP del client. Il server riceverà il pacchetto SYN e risponderà con pacchetto SYN/ACK. L'hacker a sua volta esegue l'acknowledgement del pacchetto SYN/ACK del server. Il pacchetto dell'hacker contiene il numero di sequenza supposto dall'hacker. Per avere successo, l'hacker non ha bisogno di ascoltare i pacchetti del client, sempre che l'hacker possa prevedere il numero di sequenza che il server si aspetta ed eseguirne l'acknowledgement. L'attacco mascherato ha principalmente due difetti:
1. Se il client sostituito è attivo sulla rete riceverà dal server il pacchetto SYN/ACK e risponderà, a sua volta, con un pacchetto RST per resettare la sessione, in quanto ha ricevuto una risposta ad una richiesta di connessione mai inviata. Per evitare questo l'hacker potrebbe eseguire questo attacco quando il client è inattivo, oppure saturando la coda TCP (Denial Of Service sulla porta di connessione) in modo che il client perda il pacchetto SYN/ACK inviato dal server.
2. L'hacker non può ricevere dati dal server perchè le risposte vengono inviate al client valido; può pero' inviargli dati, e questo in genere è sufficiente per compromettere il sistema, a meno che la macchina dell'hacker e quella della vittima condividano lo stesso canale (esempio segmento di una rete L.A.N. collegata tramite Hub) e quindi la risposta debba passare per forza dalla macchina dell'hacker.