Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
22) Hijacking
L’Hijacking indica una categoria di attacchi che hanno l’obiettivo di compromettere un canale di
comunicazione tra due host inserendosi in logica man-in-the-middle, modificando l’integrità dei pacchetti
inviati con lo scopo di trarne dei vantaggi.
23)DHCP Hijacking
Questi attacchi sfruttano le debolezze a livello di sicurezza del protocollo DHCP che non prevede nessuna
autenticazione ed è completamente stateless. Se l’attaccante riesce ad intercettare una macchina che invia
una richiesta DHCP (broadcast) e riesce a rispondere a questa macchina prima del vero server, allora
potrebbe inviargli delle informazioni fraudolente in modo da modificare alcuni parametri di rete. Ad esempio
potrebbe configurarsi come Default Gateway in modo da intercettare tutto il traffico che invierà la macchina
vittima, oppure potrebbe assegnarle il proprio indirizzo IP come DNS realizzando un attacco di DNS
spoofing.
24) IRDP Hijacking
IRDP è un protocollo che entra in gioco nel momento in cui un host non ha un proprio Default Gateway o ne
ha configurato uno errato. Questo protocollo prevede un messaggio “router advertisements” che indica la
volontà di un router di candidarsi come default gateway. Tali advertisements vengono spediti periodicamente
in rete e contengono due parametri “livello di preferenza” e lifetime, quindi un host che riceverà più
messaggi di questo tipo sceglierà quello con il livello di preferenza più alto. L’attaccante quindi potrebbe
forgiare degli advertisements appositi facendo in modo che i parametri siano i più alti possibili. L’unico
strumento di difesa in questo caso è disabilitare IRDP sugli hosts della LAN se il SO lo permette.
25) ICMP Redirect Hijacking
Questo meccanismo viene utilizzato per informare le stazioni della rete locale circa l’uso preferenziale di un
router per raggiungere determinate destinazioni. Un attaccante potrebbe spoofare un messaggio ICMP
Redirect richiedendo di dirigere il traffico sulla propria macchina. L’unico modo per bloccare quest’attacco è
utilizzare dei filtri ACL per bloccare gli ICMP Redirect. Ciò potrebbe causare dei cali di prestazioni in
quanto i pacchetti sono costretti a fare più hop.
26) TCP Session Hijacking
In attacchi di questo tipo l’attaccante deve riuscire a prevedere i sequence-number che entrano in gioco nella
comunicazione tra due host. Se l’attaccante riesce a prevedere tali sequence-number si inserisce in logica
proxy nella comunicazione ed è in grado di modificare a suo piacimento i dati che fluiscono all’interno della
connessione. Per effettuare questo attacco l’attaccante osserva fino a un certo punto i sequence-number
scambiati tra i due host e cerca di prevedere quali saranno i prossimi. Per evitare che i sequence-number
avanzino blocca una dei due host tramite un SYN flood e si sostituisce spoofando l’indirizzo della macchina
bloccata con il suo. Un modo per mitigare questo attacco è fare in modo che i sequence-number non siano
prevedibili andando a randomizzare la generazione.
27) DNS Hijacking
Questi attacchi sfruttano una debolezza strutturale del protocollo, infatti per rendere il processo di risoluzione
più efficiente vengono utilizzate delle cache locali a tutti i sistemi DNS, inoltre il protocollo è
completamente stateless quindi le risposte non vengono validate. Un attaccante potrebbe iniettare all’interno
di una cache DNS delle entry fraudolente (con TTL più alto possibile) in modo da falsificare le risposte
referenziando un target diverso da quello legittimo.
28) Kaminsky Attack
È una variazione più aggressiva del DNS response spoofing e sfrutta il fatto che è un protocollo stateless. In
particolare effettua il poisoning di glue records (tipo NS) invece che di record di tipo A. L’attaccante invia
continuamente query per dei sottodomini inesistenti del dominio di destinazione in modo che non vi siano
entry nelle cache dei server. Successivamente falsifica una risposta DNS con un glue records fraudolento. In
caso di successo è compromessa l’intera zona. Per difendersi da questi attacchi è necessario accettare
risposte DNS solo da entità trusted e quindi è necessario introdurre dei meccanismi crittografici per
l’identificazione.