Classificazione degli attacchi

Attacchi attivi

• Percettibili e rilevabili tramite strumenti come tcpdump, Wireshark o IDS
• Categoria benigna: Include attività di scansione per esplorare l'infrastruttura target (firewalking per ricostruire ACL, struttura di rete e servizi)
• Categoria maligna: Include attacchi Denial of Service (DoS), che mirano a compromettere la disponibilità di servizi o infrastrutture

Attacchi passivi

• Non percettibili, come l'eavesdropping (intercettazione senza alterare il traffico)
• Man-in-the-Middle (MITM): Può includere hijacking (dirottamento del traffico, ARP spoofing)

Evoluzione degli attaccanti

• Gli attaccanti possono essere hacker, criminali, spie industriali, attivisti, organizzazioni criminali, terroristi o forze dell'ordine

Modelli di Attaccanti:

• Dolev-Yao (DY): Modello tradizionale con un unico attaccante (o più collusi) che interferisce nelle comunicazioni
• BUG (Bad, Ugly, Good): Classifica gli attaccanti in base al comportamento (violazione regole, azioni indipendenti, conformità alle regole), offrendo una visione più sfumata

Network Scanning

Tecniche di Network Mapping

• UDP Network Mapping: Invio di pacchetti UDP su porte specifiche per identificare host attivi
• ICMP Network Mapping: Uso di ping (ICMP echo request/reply) per rilevare host
• ICMP Traceroute: Sfrutta messaggi ICMP per ricostruire la topologia di rete
• TCP Stealth Network Mapping: Tecniche subdole e meno evidenti basate su pacchetti TCP malformati (invio di SYN+ACK per ottenere RST)