- From: "Donato Battaglino" <
>
- To:
- Subject: Re: [reti-accesso] Esercitazione 270508
- Date: Tue, 27 May 2008 16:53:59 +0000
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references; b=PsIiI02aUoQxXv4d2Kiavy+2dQHvNDrjSvgF4m5Jm0wAE4U5cvkbMbdtcCvovdnl2jCghJGTLnnfzLBJcX1Vm7OlpGpmdxQU+y5FPveqZ8x7oQRqZRu+X3/Ky3ktUcBPvnsT5h4ArkSx/7jz/WQAikGP4vnOaAceEY8zXjW3ZIc=
>
1 A quanto ho capito se l'host che si è spostato non manda nessun pacchetto,
>
e l'ageing time non è scaduto, i pacchetti del ping continueranno ad essere
>
inviati sul dominio di collisione sbagliato e quindi continueranno ad essere
>
persi, fino a che non si verifica una delle due situazioni (pacchetto da
>
parte dell'host che si è spostato o scadenza dell'ageing time).
>
In merito alla prima domanda quanto detto è esatto. Alcune puntualizzazioni:
1) lo switch non capisce se il ping (ICMP echo request) raggiunge
l'host di destinazione e ottiene un risposta (ICMP echo reply ). Lo
switch non distingue proprio se la trama che sta inoltrando è icmp,
udp tcp....insomma uno switch "puro" implementa solo funzionalità di
layer 2.
2) Potrebbe essere che l'host che invia il ping abbia una entry nella
propria arp cache per l'host di destinazione che sta per scadere In
questo caso, anche con l'ageing time dello switch "altissima" , appena
l'arp scade verrà generata una nuova richiesta/risposta arp per l'host
di destinazione; il fw database dello switch viene così aggiornato e
l'host di destinazione torna nuovamente raggiungibile.
per quanto riguarda la seconda domanda è necessario fare un pò di chiarezza:
1) l'attaccante non invia gli arp replay spoofati in seguito ad un arp
request inviato dalla vittima
2) poichè ARP è stateless il fatto che la vittima riceva uno o più arp
replay (per cui non era stata fatta nessuna request) causa in
automatico un aggiornamento dell'arp cache (a meno di entry della
cache statiche)
3) l'arp spoofing sfrutta le arp cache degli host finali non le
capacità di learning degli switch come il port stealing
4) la vittima aggiurna la sua arp-cache sfruttando solo l'ultima
arp-reply ricevuta (come detto nelle precedenti mail)
>
Inoltre, non è possibile implementare un algoritmo per cui se un bridge
>
riceve istantaneamente >più di un ARP reply con lo stessa coppia IP/MAC
>
capisca che possa esserci un intruso e >scarti le ARP reply non potendo
>
sapere con certezza quale sia quella corretta?
Si ma devi introdurre delle funzionalità di livello superiore al due
nello switch. In particolare dovresti mettere un software che fa
ispezione dei pacchetti. In ogni caso questo tipo di funzionalità
aggiuntive dipendono dalla marca e dal costo dello switch che
acquisti.
>
Se uno switch utilizza completamente entry statiche, è possibile forzarlo
>
per applicare >comunque l'ARP poisoning?
Per quel che riguarda la terza domanda stai confondendo di nuovo l'arp
cache usata dagli host e dai router per mappare coppie mac-ip address
con il forwarding database che mappa il mac address con la porta dello
switch. Nell'arp poisoning io "avveleno" le arp cache degli host, gli
switch non li considero (al contrario di come avviene nel
port-stealing).
Gli *Esercitatori*
Donato, Lorenzo & Simone
Archivio con motore MhonArc 2.6.16.