Lezione 2: Attacchi e Contromisure
Attacchi di Rete e Contromisure
Attacchi attivi vs passivi su canale di comunicazione
| Tipo | Descrizione | Proprietà CIA violate | Esempi classici |
|---|---|---|---|
| Passivo | Solo ascolto / osservazione | Confidenzialità | Eavesdropping, traffic analysis |
| Attivo | Modifica, interruzione, iniezione dati | Confidenzialità + Integrità + Disponibilità | DoS/DDoS, ARP poisoning, MITM, packet injection |
Esempi concreti e contromisure
DoS / DDoS
- Proprietà violate: Disponibilità
- Tecniche: SYN flood, UDP flood, applicativo (HTTP flood)
- Contromisure: rate limiting, scrubbing center, anycast, CDN, WAF
ARP spoofing / ARP poisoning
- Ambiente: LAN Ethernet/Wi-Fi
- Effetto: reindirizzamento traffico (prerequisito per MITM)
- Contromisure: Dynamic ARP Inspection (switch), ARP statico, VPN end-to-end
Man-in-the-Middle (MITM)
- Scenari: Wi-Fi aperto, ARP + DNS spoofing, SSL stripping
- Effetto: intercettazione/modifica comunicazione
- Contromisure:
- Cifratura end-to-end (TLS con certificati validi)
- Certificate pinning
- HSTS (HTTP Strict Transport Security)
- DNSSEC
Sniffing (cattura pacchetti)
- Acquisizione traffico di rete in chiaro
- Strumenti: Wireshark, tcpdump, tshark
- Contromisure: cifratura (TLS/SSL, IPsec), evitare reti non fidate
Packet injection
- Iniezione di pacchetti malevoli nella sessione
- Tipi: reset injection, data injection
- Contromisure: cifratura con autenticazione (AEAD), sequence numbers, TCP MD5
Altri attacchi comuni
- DNS spoofing → falsifica risoluzione nome
- SSL stripping → downgrade HTTPS → HTTP
- Session hijacking → furto cookie/token di sessione
- Replay attack → riutilizzo di pacchetti validi
Difese generali (best practice)
- Cifratura: TLS, VPN (WireGuard/IPsec), SSH
- Autenticazione forte: 2FA/MFA, certificati client
- Monitoraggio continuo: IDS/IPS, SIEM, log analysis
- Patch management: aggiornare sistemi e librerie
- Principio del minimo privilegio: ruoli e permessi
- Segmentazione di rete: VLAN, firewall interni
- Hardening: disabilitare servizi non necessari, change defaults
Strumenti operativi per test e analisi
| Strumento | Uso tipico |
|---|---|
| Wireshark | Cattura e analisi pacchetti (con SSLKEYLOGFILE per TLS) |
| tcpdump | Cattura da CLI |
| OpenSSL | Test connessioni TLS, generazione certificati |
| mitmproxy | Proxy per MITM, manipolazione traffico HTTPS |
| nmap | Scansione porte e servizi |
| netcat | Test connessioni, banner grabbing |
| BetterCAP / Ettercap | Attacchi MITM su LAN |
| hping3 | Crafting pacchetti custom, DoS test |
| :sslyze | Analisi configurazione TLS |
Esercitazioni pratiche consigliate
- Cattura traffico HTTP vs HTTPS con Wireshark → confronto
- Simulare MITM con
bettercapsu rete locale → osservare ARP spoofing - Test firma digitale con OpenSSL (
openssl dgst,openssl rsautl) - Configurare WireGuard tra due VM → verificare cifratura
- Usare
sslyzeper scansione certificati/TLS di un server - Simulare attacco DoS con
hping3(solo in laboratorio isolato!)
Riepilogo: sicurezza è difesa in profondità. Comprendere attacchi ↔ contromisure è essenziale per penetration testing etico.