• Forgiare lo stack TCP/IP con Windows

    L’implementazione corretta dello stack TCP/IP è alla base di un sistema operativo robusto.

    Ogni produttore, infatti, realizza il proprio stack TCP/IP a partire da convenzioni o standard comuni descritti nelle RFC; l’obiettivo dello IETF, dunque, è permettere l’integrazione tra sistemi eterogenei che costituiscono Internet appunto.

    Questa intercomunicazione però non sempre risulta valida, vuoi per la presenza di bug nel codice, per la cattiva interpretazioni delle RFC o nella loro errata stesura. Succede dunque che un pacchetto mal formato o troppo grande possa mandare in errore il sistema operativo provocando un Denial of Service.

    La possibilità di realizzare pacchetti malformati non è dato dal sistema operativo in quanto il kernel si preoccupa di gestire autonomamente lo stack TCP/IP correggendo eventuali errori o compilando automaticamente determinati campi (checksum, mac-address, ecc.); linux, il sistema operativo con kernel open source, è stato il primo a implementare i moduli di kernel selezionabili a runtime (LKM) così da intervenire sulle system call e decidere di modificare il comportamento del cuore del sistema operativo.

    Packet Builder è un tool molto interessante che per l’appunto, permette di costruire manualmente pacchetti di rete ad hoc per i sistemi operativi Microsoft.

    Si presenta con una GUI user-friendly mediante quale è possibile scegliere il tipo di pacchetto di rete da realizzare (ARP ,IP ,TCP ,UDP).

    Fatto ciò vi verrà presentata una struttura base per il pacchetto scelto; sarà vostro compito compilare accuratamente ogni campo per poi cliccare su “Send packets”; il pacchetto così realizzato verrà inoltrato sulla rete.

    Infine voglio segnalarvi che il tool è in grado di importare file realizzati con Ethereal e cosa più importante, è in grado di modificare il pacchetto fino al livello data link (Mac address).

    Consiglio di provarlo a chiunque abbia conoscenza del protocollo TCP/IP e del suo funzionamento.

    Tags:

    Se vuoi aggiornamenti su Forgiare lo stack TCP/IP con Windows inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Benji dice:

      fantastico! ed è pure freeware :-) non vedo l’ora di provarlo, devo giusto fare un po’ di prove di ARP spoofing nella mia LAN di casa, mi chiedevo infatti se invece di realizzare un MITM completo, cioè spoofare le cache ARP sia del nodo target che del gateway, non fosse più comodo invece spoofare solo quella del nodo con un’associazione IP gateway MAC di broadcast, in modo poi da sniffare il traffico con ethereal bypassando lo switch… credo dipenda da come viene gestita la cache dai vari OS e dai firmware dei router, cmq… vi farò sapere dopo i test che farò con questo bellissimo programmino, veramente ottima segnalazione!!

    2. Benji dice:

      provato: funziona!

    3. Benji, se hai notato questo tool permette anche di generare un numero di pacchetti (X) in un dato tempo (Y). Potresti provare a floodare lo switch con un elevato numero di pacchetti così da saturare la cam table rendendo così lo switch come un semplice hub e poi come dicevi tu dipende molto dal sistema target; lo hai già fatto? Che switch hai provato a colpire? L’ARP poisoning è un pò più difficile perchè i recenti sistemi operativi sembrano esserne immuni.

    4. Benji dice:

      sì, ho visto, è una funzionalità molto comoda… infatti per far funzionare il sistema con l’indirizzo di broadcast ho dovuto inviare un centinaio di response ARP prima che la voce venisse aggiunta nella cache dell’altro pc… ho provato anche il MAC flooding, ma evidentemente il mio switch casalingo Zyxel da 20 euro è meno stupido del previsto e invece che spedire su tutte le porte, quando si satura la CAM table non spedisce più da nessuna parte e blocca tutto! tutto sommato quindi un ottimo switch, preferisco che si comporti così piuttosto che spettegolare in broadcast tutto il traffico :-)
      in ogni caso sul mio pc inserisco sempre voci statiche nella cache ARP, così anche sul lavoro se qualcuno tenta di floodarmi sta fresco! (sempre che mi trovi visto che ho la fissa di disabilitare anche ICMP!)

    Commenta

    Your email address will not be published. Required fields are marked *