Port stealing

Nell'ambito della sicurezza informatica il port stealing (letteralmente furto della porta) è una tecnica di attacco al layer 2 (ethernet) cioè a reti locali (LAN) commutate (cioè con switch) che ha come scopo quello di intercettare pacchetti destinati ad un altro host attraverso il furto della rispettiva porta di commutazione.

Descrizione

Quando uno switch riceve un pacchetto su una porta effettua il backward learning cioè memorizza in una CAM l'associazione tra il MAC sorgente del pacchetto e la porta da cui questo pacchetto arriva. In questo modo quando riceverà il pacchetto di risposta lo invierà solo sulla porta a cui la sorgente è collegata. Questo processo è privo di meccanismi di sicurezza, per cui chiunque sia collegato allo stesso switch può inviare un pacchetto con il MAC di un altro host per ricevere e sniffare il suo traffico di ritorno.

Il port stealing consiste proprio nell'inviare pacchetti con il MAC di un altro host con l'intento di creare una entry falsa nella CAM (la porta viene "rubata", port-stealing significa proprio furto della porta). Definiamo A e B due host collegati ad uno switch e H un terzo host sempre collegato allo switch. H, collegato sulla porta P H {\displaystyle P_{H}} manda un pacchetto in rete che ha come indirizzo ethernet sorgente M A C A {\displaystyle MAC_{A}} (tale indirizzo può essere preso direttamente della propria Arp cache). Quindi lo switch crea un'associazione P H M A C A {\displaystyle P_{H}-MAC_{A}} (fraudolenta). Quando B invia un pacchetto verso A lo switch, convinto che la porta di A sia P H {\displaystyle P_{H}} , lo invia verso H. Sarà poi H che deciderà se inviarlo ad A, effettuando un attacco man in the middle, o se buttarlo via. Tale tipo di attacco appartiene dunque alla categoria di attacco di tipo spoofing (falsificazione di identità) di livello 2 ovvero MAC-spoofing.

Se A invia dei pacchetti in rete lo switch ripristina la corretta associazione P A M A C A {\displaystyle P_{A}-MAC_{A}} . In questo caso A e H lottano in una contesa. H è a conoscenza di questo, mentre A no, e quindi H può agire adottando alcuni metodi:

  • statistico: inviando più pacchetti di A, aumentando la probabilità che la sua associazione abbia la meglio
  • attivo: attaccando A (ad es. con un flood di pacchetti), al fine di rallentarlo

Gli inventori di questa tecnica sono alor e naga, gli autori di Ettercap[1], uno dei principali tool di sicurezza. La tecnica[2] è stata presentata per la prima volta in occasione del Blackhat Europe 2003[3], dove hanno presentato questo lavoro.

Note

  1. ^ ettercap
  2. ^ (EN) Copia archiviata, su ettercap.sourceforge.net. URL consultato il 30 ottobre 2005 (archiviato dall'url originale il 14 febbraio 2006).
  3. ^ Black Hat Technical Security Conference // Home

Voci correlate

  • switch
  • MAC flooding
  • ARP poisoning
  Portale Sicurezza informatica
  Portale Telematica