Chat del 19 Maggio 2023 dalle 18:02:20 alle 18:48:32

Stefano SALVI

Eccomi, finalmente!

Gabriele MASOTTO

hola

Aurora Maria GUERRERA

buonaseraaa

Gabriele MASOTTO

Tutto bene prof?

Stefano SALVI

Buona sera a tutti...

Aurora Maria GUERRERA

li stiamo reclutando

Stefano SALVI

Tutti e tre, per il momento...

Nicholas AZZINI

Buonasera

Diego GRAZIATI

Buonasera

Alessio LA CORTE

Buonasera!

Stefano SALVI

Domande?

Riccardo SEGALA

buonasera

Gabriele MASOTTO

Domanda, è corretto dire che gli exploit sono tutti i tipi di attacco legati a falle "software" mentre i vari DoS (quindi per banda, CPU, RAM...) sono tutte vulnerabilità a livello "fisico" (se ho un 1GB/s di banda e mi richiedono 2GB/s perché mi stanno intasando di richieste è un limite fisico)?

Federico FRANCESCHETTI

buonasera Prof

Stefano SALVI

Masotto: direi che tutti gli exploit sono legati a qualche vulnerabilità software (non necessariamente bug); per i DoS potrei avere cetamente \'vulnertabilità\' a livello fisico - sfrutto più risorse di quelle disponibili - ma anche software - vedi il Ping of Teath, che si basa su un mancato controllo di limiti nello stack.

Gabriele MASOTTO

Ah

Ok quindi i DoS possono essere anche software

Capisco, grazie

Riccardo SEGALA

Ma un exploit non può essere collegato ad una falla hardware (e che quindi non si può correggere)?

Gabriele MASOTTO

Wait, ma quindi vuol dire che anche un buffer overflow potrebbe causare un DoS? Nel senso, se io tipo riempio tutto lo stack di una funzione e il programma crasha (ammesso che non ci sia una sorta di daemon che lo riavvii) il server salta in aria?

Stefano SALVI

Segala: direi di no, così a sentimento. Gli attacchi che prevedono di utilizzare il tempo di esecuzione di alcune istruzioni o il valore laciato in alcune registri non costituiscono, mi sembra, expoiut ma piuttosto lettura di dati tramite sidechannel.

Masotto: senza meno. Se fai \'saltare\' un programma, causa un DoS (al limite per tutti quelli che stavano usando l\'istanza del server prima che venga riavviata). Non \'importante\', magari, ma un piccolo DoS.

Gabriele MASOTTO

Ah ok ok

Stefano SALVI

Sentiamo un po\' gli altri, che magari ritorniamo ad un livello di spiegazione accettabile d a tutti...

Riccardo SEGALA

domanda dalle verifiche precedenti, per essere certo: per prefisso di un site si intendono i 2 byte che lo identificano? Oppure i 6 byte che precedono l\'id del site nell\'indirizzo?

Gabriele MASOTTO

Dai su non mi sembra di alto livello dire "se il programma implode per qualsiasi motivo legato a qualcosa di esterno allora hai causato un DoS"

Alessio LA CORTE

Prof, parlando di firewall, che limite c\'è alle condizioni applicati sui pacchetti nelle singole regole?

Stefano SALVI

Segala: i due byte sono l\'Id della SUBNET, non del site. I 6 precedenti indicano il site (tutte le subnet nel loro complesso).

Riccardo SEGALA

ok ho capito, grazie

Stefano SALVI

La Corte: non te lo saprei dire, dipende dlall\'implementaazione. Se non ci sono And o Or, allora posso imporre una condizione per ogni \'parte\': indirizzo mittente (anche subnet), indirizzo destinazione, porta mittente, porta destinazione, protocollo, flag del protocollo ...

Riccardo ARTONI

Serve un tunnel per far comunicare ad esempio due host ipv6 che sono in due reti ipv4 diverse? I due host devono essere dual stack per forza?

Riccardo SEGALA

è corretto dire che l\'mtu di una lan è nota, (altrimenti le macchine non potrebbero comuncare), e l\'mtu discovery va fatta solo se in mezzo c\'è almeno un router (e quindi non si sa di preciso che strada farà il pacchetto)?

Alessio LA CORTE

Sugli antivirus, in che modo dovrebbe funzionare l\'euristica? E perché nei pc spesso è così aggressiva da tagliare fuori anche applicativi normali?

Gabriele MASOTTO

Mi dica se ho capito bene: per fare la neighbour discovery si utilizza un solicited-node multicast al posto di un all nodes perché si risparmia tempo nella CPU, infatti le macchine non facenti parte di quel solicited node si limitano a scartare direttamente il pacchetto

Stefano SALVI

Artoni: per come l\'hai messa, i due host NON sono in reti IPv6 e possono comunicare fisicamente tra loro solo tramite IPv4, devono essere dual stack, quindi se vogliono comunicare anche in IPv6 devono creare un tunnel tra di loro ed usare quello per trasferire pacchetti IPv6.

Diego GRAZIATI

Se ho più regole su un firewall, perché un pacchetto venga rifiutato basta che fallisca una regola, oppure deve prima passare tutte le regole e quindi, se non ne soddisfa nessuna, viene scartato?

Gabriele MASOTTO

Star Wars - L\'impero (connesso tramite IPv6) colpisce ancora

Stefano SALVI

Segala: è corretto dire che l\'MTU di una LAN è nota a tutti quelli che vi sono collegati, altrimenti non riuscirebbero a comunicare (a trasmettere e ricevere trame di dimensione massima, quindi i relativi pacchetti ncapsulati). Naturalmente ogni macchina conosce gli MTU suoi, ma se il pacchetto deve fare il percorso la macchina sorgente non conosce l\'MTU di tutte le reti implciate quinid... Path Mtu Discovery.

La Corte: una \'euristica\' è una \'ricerca parziale per dati fequenti\'. Esattamente come fate voi quando controllate solo che ci sia l\'uguale e non il nome della variabile in una GET, tanto sapete che il nome è quello. Naturalmente ho banalizzato. Ovviamente facendo ricerche in questo modo possono risultare positivi anche programmi che PER CASO hanno quei pqrticolari byte in quel particolare posto.

Alessio LA CORTE

Ah ok

Stefano SALVI

Masotto: circa... Chi scarta il pacchetto (la trama Ethernet) è direttamente la scheda di rete, quindi la CPU non si accorge nemmeno che è passato.

Gabriele MASOTTO

Eh appunto, quindi si risparmia tempo nella CPU

Stefano SALVI

Graziati: ti sei dimenticato l\'AZIONE. Ogmi regola ha un\'AZIONE che può essere ACCEPT (quindi il pacchetto che corrisoinde viene accettato immediatamente) o DENY (quindi il pacchetto che corrisponde viene immediatamente SCARTATO). Se nessuna dele regole nella coda corrisponde, allora il pacchetto verrè accettato o scartato in base alla POLICY della coda.

Gabriele MASOTTO

(sostanzialmente in base all\'istruzione di default)

Stefano SALVI

Masotto: certo, questo si, perché il lavoro lo fa la scheda di rete!!!

Gabriele MASOTTO

Mi sento una scheda di rete

Capisco capisco

Diego GRAZIATI

Per ACCEPT si intende che il pacchetto passa oltre il firewall, oppure che passa alla regola successiva?

Riccardo SEGALA

le macchine di un\'isola 6to4 hanno in comune con il border router i primi 8 byte più significativi giusto?

Stefano SALVI

Masotto: a fine coda DENY o ACCEPR in base al defolt (fisso o impostato) della coda.

Graziati: ACCEPT incica che il firewall ha ACCETTATO il pacchetto, quindi lo manda al routing senza analizzarlo ulteriormente.

Diego GRAZIATI

ok

Grazie prof

Stefano SALVI

A che punto siamo con le domande? Me ne sono persa qualcuna?

Gabriele MASOTTO

Mi pare di no

Ad occhio

Riccardo SEGALA

la mia su 6to4

Gabriele MASOTTO

E niente, so cieco

Stefano SALVI

Segala: rifalla che l\'ho persa...

Riccardo SEGALA

le macchine di un\'isola 6to4 condividono con il border router i primi 8 byte più significativi dell\'indirizzo giusto?

Stefano SALVI

Segala: le macchine 6to4 hanno in comune i primi 48 bit (prefisso del site), perchè gli ultimi 16 del prefisso sono la ubnet che può cambiare nell\'isola.

Riccardo SEGALA

giusto ok

grazie

Gabriele MASOTTO

Ma quindi i border router hanno come indirizzo 6to4 una sorta di site local?

Un bel po\' diverso, sia chiaro

Stefano SALVI

Masotto: no. Di norma gli indirizzi \'buoni\' Aggregatable global (ed anche i 6to4 che sono un tipo di aggregatabele global) hanno 48 bit di prefisso e 16 bit di subnet.

Gabriele MASOTTO

Ah

Pensavo solo i site local, non mi ricordavo che anche gli aggregatable global lo avessero

E niente

Riccardo SEGALA

ma quindi è corretto dire che la grandissima rete che comprende un continente, oppure direttamente tutto il mondo è un site?

Gabriele MASOTTO

è la stessa domanda che avevo fatto tempo fa, non mi aveva risposto in modo esaustivo

Vuol dire che ho lo stesso dubbio

He he

Stefano SALVI

Segala: un SITE finisce con un BORDER ROUTER che si connette ad Internet. In prospettiva IPv6 connettrà tra loro tutti i site mondiali. Attualmente siamo divisi in \'continenti\' (informaticamente parlando) che per parlare tra loro usano tunnel in IPv4. La metterei così... (non propio esattta, ma accontentiamoci)

Gabriele MASOTTO

Quindi sostanzialmente è un sì(?)

Riccardo SEGALA

ok ho capito

grazie

Stefano SALVI

Masotto: sipende da come hai scritto la domanda. Un continete non può essere un SITE, perché un SITE contiene solo subnete. Le subnet sono indicate dagli ultimi 16 bit del prefisso. Un continente ha dentro prefissi diversi (date un\'occhiata al piano di assegnazione dei prefissi che c\'è nelle slide).

Gabriele MASOTTO

Ahh

Ok ho capitop

capito*

Riccardo SEGALA

se esistesse un altro pianeta con ipv6 la terra sarebbe un site

Alessio LA CORTE

Link-Local è considerabile site?

Riccardo SEGALA

beh io ho finito comunque

Stefano SALVI

Segala: sempre NO, perché un site è cpostituito da SUBNET, e non NET. Se mai l\'latro pianeta avrebbe un gruppo di \'Regional Registers\' suoi. Guarda le slide.

Riccardo SEGALA

:/

ora guardo

grazie

Stefano SALVI

La Corte: Link Local è \'una LAN isolata\'.

Alessio LA CORTE

Ah ok.

Stefano SALVI

Direi che ora chiudo per limiti di tempo (e di energie...)

Riccardo SEGALA

ultima cosa

Gabriele MASOTTO

Oh no

Va bene

Stefano SALVI

Ma propio l\'ultima...

Riccardo SEGALA

un port scanning è molto più difficile con ipv6 se voglio farlo su tutta la rete giusto?

in una classe C al massimo ho 256 host, ma con ipv6 la situazione si complica

sisi ultimissima

Stefano SALVI

Segala: un momento: il "port scanning" andrebbe fatto su una singola macchina, quidi è ugual. Una scansione di rete invece è molto più lunga perché ho reti da 64 bit... Ammesso che la faccia completa, che non è comunque detto.

Buona cena, buon riposo e in bocca al lupo.

Gabriele MASOTTO

Benissimo buona serata