Chat del 19 Maggio 2023 dalle 18:02:20 alle 18:48:32
- Stefano SALVI
- Eccomi, finalmente!
- Gabriele MASOTTO
- hola
- Aurora Maria GUERRERA
- buonaseraaa
- Gabriele MASOTTO
- Tutto bene prof?
- Stefano SALVI
- Buona sera a tutti...
- Aurora Maria GUERRERA
- li stiamo reclutando
- Stefano SALVI
- Tutti e tre, per il momento...
- Nicholas AZZINI
- Buonasera
- Diego GRAZIATI
- Buonasera
- Alessio LA CORTE
- Buonasera!
- Stefano SALVI
- Domande?
- Riccardo SEGALA
- buonasera
- Gabriele MASOTTO
- Domanda, è corretto dire che gli exploit sono tutti i tipi di attacco legati a falle "software" mentre i vari DoS (quindi per banda, CPU, RAM...) sono tutte vulnerabilità a livello "fisico" (se ho un 1GB/s di banda e mi richiedono 2GB/s perché mi stanno intasando di richieste è un limite fisico)?
- Federico FRANCESCHETTI
- buonasera Prof
- Stefano SALVI
- Masotto: direi che tutti gli exploit sono legati a qualche vulnerabilità software (non necessariamente bug); per i DoS potrei avere cetamente \'vulnertabilità\' a livello fisico - sfrutto più risorse di quelle disponibili - ma anche software - vedi il Ping of Teath, che si basa su un mancato controllo di limiti nello stack.
- Gabriele MASOTTO
- Ah
- Ok quindi i DoS possono essere anche software
- Capisco, grazie
- Riccardo SEGALA
- Ma un exploit non può essere collegato ad una falla hardware (e che quindi non si può correggere)?
- Gabriele MASOTTO
- Wait, ma quindi vuol dire che anche un buffer overflow potrebbe causare un DoS? Nel senso, se io tipo riempio tutto lo stack di una funzione e il programma crasha (ammesso che non ci sia una sorta di daemon che lo riavvii) il server salta in aria?
- Stefano SALVI
- Segala: direi di no, così a sentimento. Gli attacchi che prevedono di utilizzare il tempo di esecuzione di alcune istruzioni o il valore laciato in alcune registri non costituiscono, mi sembra, expoiut ma piuttosto lettura di dati tramite sidechannel.
- Masotto: senza meno. Se fai \'saltare\' un programma, causa un DoS (al limite per tutti quelli che stavano usando l\'istanza del server prima che venga riavviata). Non \'importante\', magari, ma un piccolo DoS.
- Gabriele MASOTTO
- Ah ok ok
- Stefano SALVI
- Sentiamo un po\' gli altri, che magari ritorniamo ad un livello di spiegazione accettabile d a tutti...
- Riccardo SEGALA
- domanda dalle verifiche precedenti, per essere certo: per prefisso di un site si intendono i 2 byte che lo identificano? Oppure i 6 byte che precedono l\'id del site nell\'indirizzo?
- Gabriele MASOTTO
- Dai su non mi sembra di alto livello dire "se il programma implode per qualsiasi motivo legato a qualcosa di esterno allora hai causato un DoS"
- Alessio LA CORTE
- Prof, parlando di firewall, che limite c\'è alle condizioni applicati sui pacchetti nelle singole regole?
- Stefano SALVI
- Segala: i due byte sono l\'Id della SUBNET, non del site. I 6 precedenti indicano il site (tutte le subnet nel loro complesso).
- Riccardo SEGALA
- ok ho capito, grazie
- Stefano SALVI
- La Corte: non te lo saprei dire, dipende dlall\'implementaazione. Se non ci sono And o Or, allora posso imporre una condizione per ogni \'parte\': indirizzo mittente (anche subnet), indirizzo destinazione, porta mittente, porta destinazione, protocollo, flag del protocollo ...
- Riccardo ARTONI
- Serve un tunnel per far comunicare ad esempio due host ipv6 che sono in due reti ipv4 diverse? I due host devono essere dual stack per forza?
- Riccardo SEGALA
- è corretto dire che l\'mtu di una lan è nota, (altrimenti le macchine non potrebbero comuncare), e l\'mtu discovery va fatta solo se in mezzo c\'è almeno un router (e quindi non si sa di preciso che strada farà il pacchetto)?
- Alessio LA CORTE
- Sugli antivirus, in che modo dovrebbe funzionare l\'euristica? E perché nei pc spesso è così aggressiva da tagliare fuori anche applicativi normali?
- Gabriele MASOTTO
- Mi dica se ho capito bene: per fare la neighbour discovery si utilizza un solicited-node multicast al posto di un all nodes perché si risparmia tempo nella CPU, infatti le macchine non facenti parte di quel solicited node si limitano a scartare direttamente il pacchetto
- Stefano SALVI
- Artoni: per come l\'hai messa, i due host NON sono in reti IPv6 e possono comunicare fisicamente tra loro solo tramite IPv4, devono essere dual stack, quindi se vogliono comunicare anche in IPv6 devono creare un tunnel tra di loro ed usare quello per trasferire pacchetti IPv6.
- Diego GRAZIATI
- Se ho più regole su un firewall, perché un pacchetto venga rifiutato basta che fallisca una regola, oppure deve prima passare tutte le regole e quindi, se non ne soddisfa nessuna, viene scartato?
- Gabriele MASOTTO
- Star Wars - L\'impero (connesso tramite IPv6) colpisce ancora
- Stefano SALVI
- Segala: è corretto dire che l\'MTU di una LAN è nota a tutti quelli che vi sono collegati, altrimenti non riuscirebbero a comunicare (a trasmettere e ricevere trame di dimensione massima, quindi i relativi pacchetti ncapsulati). Naturalmente ogni macchina conosce gli MTU suoi, ma se il pacchetto deve fare il percorso la macchina sorgente non conosce l\'MTU di tutte le reti implciate quinid... Path Mtu Discovery.
- La Corte: una \'euristica\' è una \'ricerca parziale per dati fequenti\'. Esattamente come fate voi quando controllate solo che ci sia l\'uguale e non il nome della variabile in una GET, tanto sapete che il nome è quello. Naturalmente ho banalizzato. Ovviamente facendo ricerche in questo modo possono risultare positivi anche programmi che PER CASO hanno quei pqrticolari byte in quel particolare posto.
- Alessio LA CORTE
- Ah ok
- Stefano SALVI
- Masotto: circa... Chi scarta il pacchetto (la trama Ethernet) è direttamente la scheda di rete, quindi la CPU non si accorge nemmeno che è passato.
- Gabriele MASOTTO
- Eh appunto, quindi si risparmia tempo nella CPU
- Stefano SALVI
- Graziati: ti sei dimenticato l\'AZIONE. Ogmi regola ha un\'AZIONE che può essere ACCEPT (quindi il pacchetto che corrisoinde viene accettato immediatamente) o DENY (quindi il pacchetto che corrisponde viene immediatamente SCARTATO). Se nessuna dele regole nella coda corrisponde, allora il pacchetto verrè accettato o scartato in base alla POLICY della coda.
- Gabriele MASOTTO
- (sostanzialmente in base all\'istruzione di default)
- Stefano SALVI
- Masotto: certo, questo si, perché il lavoro lo fa la scheda di rete!!!
- Gabriele MASOTTO
- Mi sento una scheda di rete
- Capisco capisco
- Diego GRAZIATI
- Per ACCEPT si intende che il pacchetto passa oltre il firewall, oppure che passa alla regola successiva?
- Riccardo SEGALA
- le macchine di un\'isola 6to4 hanno in comune con il border router i primi 8 byte più significativi giusto?
- Stefano SALVI
- Masotto: a fine coda DENY o ACCEPR in base al defolt (fisso o impostato) della coda.
- Graziati: ACCEPT incica che il firewall ha ACCETTATO il pacchetto, quindi lo manda al routing senza analizzarlo ulteriormente.
- Diego GRAZIATI
- ok
- Grazie prof
- Stefano SALVI
- A che punto siamo con le domande? Me ne sono persa qualcuna?
- Gabriele MASOTTO
- Mi pare di no
- Ad occhio
- Riccardo SEGALA
- la mia su 6to4
- Gabriele MASOTTO
- E niente, so cieco
- Stefano SALVI
- Segala: rifalla che l\'ho persa...
- Riccardo SEGALA
- le macchine di un\'isola 6to4 condividono con il border router i primi 8 byte più significativi dell\'indirizzo giusto?
- Stefano SALVI
- Segala: le macchine 6to4 hanno in comune i primi 48 bit (prefisso del site), perchè gli ultimi 16 del prefisso sono la ubnet che può cambiare nell\'isola.
- Riccardo SEGALA
- giusto ok
- grazie
- Gabriele MASOTTO
- Ma quindi i border router hanno come indirizzo 6to4 una sorta di site local?
- Un bel po\' diverso, sia chiaro
- Stefano SALVI
- Masotto: no. Di norma gli indirizzi \'buoni\' Aggregatable global (ed anche i 6to4 che sono un tipo di aggregatabele global) hanno 48 bit di prefisso e 16 bit di subnet.
- Gabriele MASOTTO
- Ah
- Pensavo solo i site local, non mi ricordavo che anche gli aggregatable global lo avessero
- E niente
- Riccardo SEGALA
- ma quindi è corretto dire che la grandissima rete che comprende un continente, oppure direttamente tutto il mondo è un site?
- Gabriele MASOTTO
- è la stessa domanda che avevo fatto tempo fa, non mi aveva risposto in modo esaustivo
- Vuol dire che ho lo stesso dubbio
- He he
- Stefano SALVI
- Segala: un SITE finisce con un BORDER ROUTER che si connette ad Internet. In prospettiva IPv6 connettrà tra loro tutti i site mondiali. Attualmente siamo divisi in \'continenti\' (informaticamente parlando) che per parlare tra loro usano tunnel in IPv4. La metterei così... (non propio esattta, ma accontentiamoci)
- Gabriele MASOTTO
- Quindi sostanzialmente è un sì(?)
- Riccardo SEGALA
- ok ho capito
- grazie
- Stefano SALVI
- Masotto: sipende da come hai scritto la domanda. Un continete non può essere un SITE, perché un SITE contiene solo subnete. Le subnet sono indicate dagli ultimi 16 bit del prefisso. Un continente ha dentro prefissi diversi (date un\'occhiata al piano di assegnazione dei prefissi che c\'è nelle slide).
- Gabriele MASOTTO
- Ahh
- Ok ho capitop
- capito*
- Riccardo SEGALA
- se esistesse un altro pianeta con ipv6 la terra sarebbe un site
- Alessio LA CORTE
- Link-Local è considerabile site?
- Riccardo SEGALA
- beh io ho finito comunque
- Stefano SALVI
- Segala: sempre NO, perché un site è cpostituito da SUBNET, e non NET. Se mai l\'latro pianeta avrebbe un gruppo di \'Regional Registers\' suoi. Guarda le slide.
- Riccardo SEGALA
- :/
- ora guardo
- grazie
- Stefano SALVI
- La Corte: Link Local è \'una LAN isolata\'.
- Alessio LA CORTE
- Ah ok.
- Stefano SALVI
- Direi che ora chiudo per limiti di tempo (e di energie...)
- Riccardo SEGALA
- ultima cosa
- Gabriele MASOTTO
- Oh no
- Va bene
- Stefano SALVI
- Ma propio l\'ultima...
- Riccardo SEGALA
- un port scanning è molto più difficile con ipv6 se voglio farlo su tutta la rete giusto?
- in una classe C al massimo ho 256 host, ma con ipv6 la situazione si complica
- sisi ultimissima
- Stefano SALVI
- Segala: un momento: il "port scanning" andrebbe fatto su una singola macchina, quidi è ugual. Una scansione di rete invece è molto più lunga perché ho reti da 64 bit... Ammesso che la faccia completa, che non è comunque detto.
- Buona cena, buon riposo e in bocca al lupo.
- Gabriele MASOTTO
- Benissimo buona serata
|