Wikipedia

Sniffing: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedente
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
m Annullate le modifiche di 95.252.141.59 (discussione), riportata alla versione precedente di Parma1983
Etichetta: Rollback
Nessun oggetto della modifica
 
(18 versioni intermedie di 13 utenti non mostrate)
Riga 1:
[[File:Wireshark_Screeshot.png|thumb|Screenshoot di [[Wireshark]], un famoso ''packet sniffer'' ad [[interfaccia grafica]]]]
Si definisceCon '''sniffing''' (dall'[[lingua inglese|inglese]], ''odorare''), in [[informatica]] e nelle [[telecomunicazioni]], si definisce l'attività di [[intercettazione]] passiva dei dati che transitano in una [[Reti di calcolatori|rete]] [[telematica]]. Tale attività: può essere svolta sia per scopi legittimi (ad esempio l'analisi e l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti contro la [[sicurezza informatica]] (intercettazione fraudolenta di [[password]] o altre informazioni sensibili).
 
I prodotti [[software]] utilizzati per eseguire queste attività vengono detti '''sniffer''' ede oltre ada intercettare e memorizzare il [[traffico (telecomunicazioni)|traffico]] offrono funzionalità di analisi del traffico stesso: questi intercettano i singoli [[pacchetto (reti)|pacchetti]], decodificando le varie [[header|intestazioni]] di [[livello datalink]], [[livello di rete|rete]], [[livello di trasporto|trasporto]], [[livello applicazioni|applicativo]], potendo offrire inoltre strumenti di analisi per valutare il comportamento dei protocolli di rete o per ricostruire lo scambio di dati tra le applicazioni.
 
Gli sniffer intercettano i singoli [[pacchetto (reti)|pacchetti]], decodificando le varie [[header|intestazioni]] di [[livello datalink]], [[livello di rete|rete]], [[livello di trasporto|trasporto]], [[livello applicazioni|applicativo]]. Inoltre possono offrire strumenti di analisi che analizzano ad esempio tutti i pacchetti di una connessione [[Transmission Control Protocol|TCP]] per valutare il comportamento del [[protocollo di rete]] o per ricostruire lo scambio di dati tra le applicazioni.
 
== Metodologie ==
 
=== Rete locale ===
[[File:Tcpdump.png|thumb|Screnshot di [[tcpdump]], un popolare ''packet sniffer'' con interfaccia a [[riga di comando]]]]
 
Il traffico può essere intercettato da uno degli host coinvolti nella comunicazione, indipendentemente dal tipo di interfaccia di rete su cui viene inviato.
 
Per intercettare i dati che circolano su una determinata [[rete locale|LAN]] è necessario possedere odo ottenere l'accesso fisico al mezzo trasmissivo oppure avere l'accesso remoto (tramite [[telnet]], [[Secure shellShell|SSH]], [[Virtual Network Computing|VNC]] o altro) e poteriprivilegi [[root (utente)|amministrativi]] su un [[host]] fisicamente connesso alla rete in questione.
 
==== Rete ethernet non-switched ====
 
In questo tipo di reti [[ethernet]] il mezzo trasmissivo ([[cavo coassiale]] o, attualmente, cavo [[Unshielded Twisted Pair|UTP]] o [[Shielded Twisted Pair|STP]] connesso ada un [[hub (informatica)|hub]]) è condiviso, quindi tutte le [[Scheda di rete|schede di rete]] dei [[computer]] nella rete locale ricevono tutti i pacchetti, anche quelli destinati ad altri, selezionando i propri a seconda dell'[[indirizzo MAC]] (indirizzo hardware univoco della scheda di rete).
 
Lo sniffing in questo caso consiste nell'impostare sull'interfaccia di rete la cosiddetta ''modalità promiscua'', che disattivando questo "filtro hardware" permette al sistema l'ascolto di tutto il traffico passante sul cavo.
Riga 21 ⟶ 20:
==== Rete ethernet switched ====
 
In questo caso l'apparato centrale della rete, definito [[switch]], si occupa di inoltrare su ciascuna porta solo il traffico destinato al dispositivo collegato a quella porta: ciascuna interfaccia di rete riceve, quindi, solo i pacchetti destinati al proprio indirizzo ede i pacchetti di [[broadcast]].
 
L'impostazione della modalità promiscua è quindi insufficiente per poter intercettare il traffico in una rete gestita da switch.
In questo caso ci si può collegare ada una porta chiamata "SPAN[[Switched Port Analyzer]]" (SPAN) nella terminologica di [[Cisco Systems|Cisco]], "Roving Analysis" per [[3Com]] e "port mirroring" per gli altri produttori che riceve il traffico circolante su tutte le porte dello switch.
 
Alcuni metodi per poter ricevere tutto il traffico dallo switch da una porta qualunque sono il [[MAC flooding]], l'[[ARP poisoning]] e il [[port stealing]].
Riga 30 ⟶ 29:
=== Rete geografica ===
 
Per intercettare i dati che transitano su [[reti geografiche]] si utilizzano tecniche [[Man in the middle]] analoghe a quelle accennate in precedenza, operanti però a livello più alto: possono intervenire a livello di instradamento del traffico [[Internet Protocol|IP]] ([[routing]]) oppure inviare alle vittime informazioni fasulle per quanto riguarda la corrispondenza tra [[nomi adi dominio]] e [[indirizzo IP|indirizzi IP]] sfruttando l'assenza di [[autenticazione]] del sistema [[Domain Name System|DNS]].
 
== Strumenti ==
Riga 38 ⟶ 37:
Gli analizzatori spesso integrano anche funzionalità di ordinamento e filtraggio dei dati, a seconda della pila di incapsulamento dei protocolli dei [[Suite di protocolli Internet|diversi livelli di rete]], p.es. [[HTTP]], TCP, IP, [[802.11]].
 
Tra i software più comuni, con [[Software libero|licenza libera]] e disponibili per le più diffuse piattaforme, quali la [[Unix-like|famiglia Unix]], [[Microsoft Windows]] e [[macOS]], si ricordano: [[tcpdump]], uno strumento con [[interfaccia a riga di comando]] per condurre mera intercettazione; e [[Wireshark]], che offre invece tutte le citate funzionalità di analisi attraverso un'[[interfaccia grafica]].
 
== Modalità di difesa ==
Riga 46 ⟶ 45:
* Rafforzamento della sicurezza dei protocolli di rete.
 
== LoUtilizzo sniffinga nella difesatutela del [[diritto d'autore]] ==
{{Vedi anche|Diritto d'autore|Privacy}}
Lo sniffing pone problemi di [[privacy]] in quanto accede senza [[mandato]] e a insaputa dell'utente ada un computer che è sua [[proprietà privata]] nonché ada una rete che è proprietà di chi diffonde il software di accesso. In generale, l'accesso ada un'abitazione o altra proprietà privata per una [[perquisizione]] richiede un mandato della magistratura e che esso sia mostrato al proprietario del bene perquisito.
 
I dati forniti dall'Internet Service Provider non identificano la persona, ma l'utenza telefonica. Non necessariamente poi la persona che ha commesso il fatto è un componente del nucleo familiare, al quale è intestata l'utenza. Tramite un WISP o una rete wireless domestica è più facile che si verifichino violazioni della rete e accessi abusivi dall'esterno. La non-identificazione di chi commette materialmente il fatto esclude un nesso di causalità fra la connessione alla rete P2P e la violazione del diritto d'autore, e non è una prova sufficiente per gli effetti penali previsti dalla legge. Per l'ambito penale, serve un accertamento univoco e inequivocabile della persona e delle responsabilità. Tuttavia, il titolare della utenza telefonica può essere ritenuto responsabile della sua sicurezza e del suo utilizzo, e rispondere dell'illecito amministrativo.
Riga 79:
 
== Altri progetti ==
{{interprogetto|commonspreposizione=Category:Computer data network analyzerssullo}}
 
== Collegamenti esterni ==
* [http://arpon.sourceforge.net ArpON home page] - ArpON (BSD)
* [httphttps://www.wireshark.org Wireshark] - Wireshark (GPL)
* [httphttps://wiki.wireshark.org/CaptureSetup/Ethernet Wireshark] - Wiki di Wireshark
* [http://ettercap.sourceforge.net/ ettercap] - ettercap
* [http://www.sniff-em.com Packet sniffer] {{Webarchive|url=https://web.archive.org/web/20210905110321/https://www.sniff-em.com/ |date=5 settembre 2021 }} - Sniff-em
* [http://www.tcpdump.org TCP Dump] - TCP Dump (GPL)
* [http://www.ksniffer.org/ KSniffer] - KSniffer (GPL)
Estratto da "https://it.wikipedia.org/wiki/Sniffing"