Archive for marzo 2022

Sniffare pacchetti di rete

Posted on 18 marzo 2022. Filed under: Senza categoria |

In questo articolo vedremo come sniffare i pacchetti di rete.

Sniffare cosa? Tranquilli, non parliamo di droghe e cose simili, ma nel gergo informatico, “sniffare” significa andare a catturare dati che passano da un dispositivo ad un altro, o meglio, dal pc a fuori o da fuori al PC, tramite schede e dispositivi.

Vediamo quindi l’uso del programma più diffuso per catturare pacchetti di rete.

Vediamo prima, anche cosa è un pacchetto di rete.

Per pacchetto di rete si intende il minimo di informazione che può essere suddiviso un file da essere inviato, come ad esempio una email, un file da scaricare e così via. Questo file viene fatto “a pezzi” per creare tanti piccoli pacchetti che poi andranno tramite i livelli 5,6 e 7 della pila ISO/OSI da un dispositivo ad un altro.

Il migliore programma per sniffare tutto quello che passa sulla nostra scheda di rete è Wireshark.

Non lo avevo mai sentito fino a quando ho fatto il corso di Ethical Hacker nel 2020. L’ho provato e smanettato e devo dire che è molto potente, addirittura “cattura” le password in chiaro come ad esempio quelle dei server POP e SMPT sulle classiche porte 110 e 25. Ovviamente sulle SSL/TLS non possiamo catturarle.

Scarichiamo Wireshark da https://www.wireshark.org/#download

Lo installiamo e lo lanciamo.

Una volta aperto, dobbiamo (ovviamente) indicare su quale scheda di rete andare a sniffare.

Dico “ovviamente” perchè noi smanettoni abbiamo almeno 3 schede di rete installate sul proprio PC.

Ad esempio io ho queste interfacce di rete:

Scelgo l’interfaccia Ethernet, quella classica con il cavo.

Facciamo doppio click per avviare la cattura dei pacchetti.

Come vedete viene fuori una lista con anche tante cose strane, che potrebbero essere tentativi di attacco, oppure i vari servizi, driver e applicazioni aperte (ho 100 schede su Edge aperte) e quindi è normale.

Bisognerebbe fare i test quando tutte le finestre sono chiuse.

Ho anche disattivato il firewall per avere più risultati. Mi raccomando, il firewall non va mai disabilitato, oppure se lo fate dovete sapere cosa state facendo e le conseguenze.

Di uno di questi pacchetti possiamo prenderlo e analizzarlo. Ne prendo uno a caso, per aprirlo, fare doppio click su una riga:

Questo pacchetto, catturato il 18/03/2022 alle 22.54 è di tipo ICMP (comando Ping) da 192.168.1.100 a 194.95.249.23.

Come potete vedere, il pacchetto viene descritto al passaggio dei suoi livelli nella scala Iso/Osi.

Bisognerà avere tempo poi per controllare tutto, ma anche un sistemista che non ha altri incarichi o lavori da fare, difficilmente si metterà a controllare tutte le righe, purtroppo.

Per le aziende, pagare uno che si metta tutto il giorno a sniffare pacchetti per mettere in sicurezza la propria infrastruttura è un costo, mentre per l’attaccante che ha un obiettivo, sicuramente controllerà ogni singola riga e troverà qualche falla. Anche perchè l’attaccante ha uno stimolo per provare a entrare in una rete, magari si può trattare di un dipendente licenziato e così via.

In un prossimo articolo vedremo come sviluppare un programma di cattura pacchetti.

Alla prossima.

Leggi l'articolo intero | Make a Comment ( None so far )

Trovare i doppioni di righe

Posted on 3 marzo 2022. Filed under: Senza categoria |

Ormai sono 10 mesi che sto dietro ai dati di 10 anni della mia stazione meteo e devo ammettere che il software di gestione dato in dotazione è pieno di problemi e bug.

Succede che per un qualche motivo a me sconosciuto, ma che scoprirò, vengono registrate delle doppie registrazioni. Credo, ma non ne ho avuto conferma, che se scarica i dati solari prima e poi quelli dei sensori meteo, vengono create le doppie righe. Non sono tante (un centinaio su un milione di righe) però danno fastidio e le voglio eliminare.

Ma come faccio a trovare cento righe su un milione? E’ come cercare un ago in un pagliaio. Innanzitutto, come ho scoperto la presenza di queste righe? Se dalla query SELECT * FROM DataLog che mi dà il milione di righe, io la modifico in SELECT DISTINCT * FROM DataLog, quindi aggiungo il “DISTINCT”, vedo che mi dà queste 100 righe in meno.

Quindi come le troviamo queste righe? Ho provato a fare il copia e incolla su Excel e poi con i subtotali, ma ci impiega settimane, ho provato a ordinare per data e poi mettere una formula per calcolare la differenza con la riga superiore. Se la differenza è zero, allora nella riga prima c’è la stessa data.

Ma anche in questo caso Excel “EXplode” e se metto in ordine di differenze mette in ordine di come vuole lui. Ho forse scoperto un bug su Excel? Non mi interessa, a me interessa che i dati del Metelog siano ok.

Oppure non li trova.

Andiamo avanti.

Ecco che penso che sono anche un programmatore e mi creo un programmino in VB.NET e poi mettendo un ciclo dove verifico quante righe ci sono per ogni data e dove è maggiore di 1 me lo scrive su un file di testo.

Ecco quindi il codice e il risultato.

    Dim enti As New crystalweb_it_meteoEntities
    Dim linqu = (From www In enti.DataLog Order By www.Realtime Select www.idLog, www.Realtime).ToList
    FileOpen(1, My.Application.Info.DirectoryPath & "\datedoppie.txt", OpenMode.Output)
    For Each qqq In linqu
        Dim idLog = qqq.idLog
        Dim RealTime = qqq.Realtime

        Dim linquu = (From wwww In enti.DataLog Where wwww.Realtime = RealTime).ToList
        If linquu.Count > 1 Then
              Write(1, idLog & ";" & RealTime)
        End If
    Next
    FileClose(1)

Enti è l’oggetto Data Entities, collegato su app.config.

Per questa fase è tutto, ora nuova e forse ultima fase (e forse articolo).

Leggi l'articolo intero | Make a Comment ( None so far )

Liked it here?
Why not try sites on the blogroll...