Salve, devo sostenere un esame universitario di sicurezza delle reti, il prof. mi ha lasciato "carta bianca" dandomi delle linee guida per scegliermi il progetto che più mi piace/interessa. Precisamente mi ha detto:

Come progetto potresti sviluppare un sistema di monitoraggio degli accessi in SNMP o mediante la libreria pcap di Wireshark o qualcosa di attinente la messa in sicurezza di un sistema bancario.

Solo che sono a secco di idee. Mi piacerebbe tantissimo programmare qualcosina con le librerie pcap, ma non saprei cosa. Non voglio un progetto già fatto sia chiaro, solo qualche idea da portare avanti e sviluppare. Voi cosa consigliate?


grazie mille a tutti

Bello!!

Potresti realizzare un analizzatore di protocollo che effettua il parsing dei pacchetti alla ricerca di stringhe di attacco tipiche!

Operazione che viene fatta dai sistemi IDS.

Che te ne pare? E non è assolutamente complesso.

(questo per rimanere nell'ambito di azione delle libpcap)

Bello!!

Potresti realizzare un analizzatore di protocollo che effettua il parsing dei pacchetti alla ricerca di stringhe di attacco tipiche!

Operazione che viene fatta dai sistemi IDS.

Che te ne pare? E non è assolutamente complesso.

(questo per rimanere nell'ambito di azione delle libpcap)


molto interessante questo...potresti specificare meglio?


io avevo pensato anche ad uno sniffer che sempre parsando i pacchetti forniva informazioni diagnostiche (colli di bottiglia, prestazioni, etc etc) e "ciucciava" password o informazioni in chiaro....

Certo,

realizzare uno sniffer non è particolarmente complicato.
Per spunto puoi dare un occhio a ciò che realizzai tempo fa per linux, è per riga di comando e manca di qualche funzione ma come esempio è più che buono. Lo trovi QUI (http://www.tosatomatteo.altervista.org/LinuxSources/_ProtocolAnalyzer_dir/FirstDump.htm).
Basta che non lo copi .... :rolleyes: :D

Mentre, per realizzare quello che intendo, occorre aggiungere alle solite funzioni di parsing anche alcune specifiche per il riconoscimento delle stringhe tipiche di attacco.
Appartenenti a questa categoria sono ad esempio le lunghe sequenza di 0x90, le istruzioni di interrupt (Linux) '\xcd\x80', ma tante altre, credo che nei corsi di sicurezza queste cose le spiegano.
A questo punto il tuo programma da far girare ad esempio su un proxy server... può intercettare e dare l'allarme in caso riconosca queste stringhe...

Certo, non è in grado di fermare i pacchetti prima che arrivino all'host vittima...
Per questo scopo si dovrebbe lavorare su un kernel, su un modulo. (Cosa che ho in programma fra l'altro)...

anche la diagnostica di problemi non è da scartare, però andrebbe bene per un progetto che deve riguardare la sicurezza? Questo non so.

Così di prima pensata mi viene in mente una procedura che riconosce la sindrome della finestra stupida di TCP, ovvero quando la finestra TCP raggiunge valori minimi.... e ridicoli....

realizzare uno sniffer non è particolarmente complicato.
Per spunto puoi dare un occhio a ciò che realizzai tempo fa per linux, è per riga di comando e manca di qualche funzione ma come esempio è più che buono. Lo trovi QUI (http://www.tosatomatteo.altervista.org/LinuxSources/_ProtocolAnalyzer_dir/FirstDump.htm).

[OT]
Ciao, la settima scorsa mi sono letto i sorgenti (da profano o quasi del protocollo, non ho letto tutta la RFC...) ed è stato molto istruttivo!
Complimenti e grazie per aver condiviso il materiale (era anche da tanto che non leggevo codice C :D)
[fine OT]

Certo,

realizzare uno sniffer non è particolarmente complicato.
Per spunto puoi dare un occhio a ciò che realizzai tempo fa per linux, è per riga di comando e manca di qualche funzione ma come esempio è più che buono. Lo trovi QUI (http://www.tosatomatteo.altervista.org/LinuxSources/_ProtocolAnalyzer_dir/FirstDump.htm).
Basta che non lo copi .... :rolleyes: :D

Mentre, per realizzare quello che intendo, occorre aggiungere alle solite funzioni di parsing anche alcune specifiche per il riconoscimento delle stringhe tipiche di attacco.
Appartenenti a questa categoria sono ad esempio le lunghe sequenza di 0x90, le istruzioni di interrupt (Linux) '\xcd\x80', ma tante altre, credo che nei corsi di sicurezza queste cose le spiegano.
A questo punto il tuo programma da far girare ad esempio su un proxy server... può intercettare e dare l'allarme in caso riconosca queste stringhe...

Certo, non è in grado di fermare i pacchetti prima che arrivino all'host vittima...
Per questo scopo si dovrebbe lavorare su un kernel, su un modulo. (Cosa che ho in programma fra l'altro)...

anche la diagnostica di problemi non è da scartare, però andrebbe bene per un progetto che deve riguardare la sicurezza? Questo non so.

Così di prima pensata mi viene in mente una procedura che riconosce la sindrome della finestra stupida di TCP, ovvero quando la finestra TCP raggiunge valori minimi.... e ridicoli....

mi piace...lo dico al prof vediamo che ne pensa..

[OT]
Ciao, la settima scorsa mi sono letto i sorgenti (da profano o quasi del protocollo, non ho letto tutta la RFC...) ed è stato molto istruttivo!
Complimenti

Ti ringrazio.


e grazie per aver condiviso il materiale (era anche da tanto che non leggevo codice C :D)
[fine OT]

:D per il basso livello il C credo rimanga ancora insostituibile...
per quanto riguarda la condivisione (non voglio prolungare questo OT) peccato che così pochi lo fanno, tutti noi risparmieremmo un sacco di fatica.... e sapremmo di più.

mi piace...lo dico al prof vediamo che ne pensa..

ok :)

ehm...avevo dimenticato...grazie :)