Che cos’è, come funziona e a cosa serve la Deep Packet Inspection (DPI)
Metodologie di identificazione, Deep Packet Inspection e disassembly dei dati
La Deep Packet Inspection (acronimo DPI) è una pratica di analisi dei pacchetti implementabile mediante software/script appositi su interfacce di rete che possono essere associate ad un qualsiasi dispositivo con una scheda di rete (PC domestici, Server, smartphone, routers ecc.) che focalizza la propria attenzione sulla ricerca di dati specifici e ricorrenti (stringhe statiche che possono identificare l’azione di un virus, parole chiave all’interno del testo in chiaro di un pacchetto con dati HTML ecc.) e che effettua appunto una scansione completa dei pacchetti transitanti per l’interfaccia di rete sulla quale un software orientato alla packet inspection rimane in ascolto intercettando questi ultimi, non fermandosi solo alle varie intestazioni IP incapsulate come nel modello di riferimento ISO/OSI fa un comune router secondo le specifiche del protocollo IP per l’instradamento dei pacchetti, bensì scandagliando interamente il contenuto del traffico in esame, intestazione e soprattutto parte relativa ai dati.
Con l’uso dei vari filtri di cattura e di visualizzazione mediante regular expression presenti all’interno del tool Wireshark è possibile isolare ed in un secondo momento analizzare in maniera esclusiva dettagli implementativi e comportamento del protocollo TLS. Nello specifico tutta la parte di analisi da me effettuata concentra il proprio interesse nella ricerca di pattern ricorrenti o di metodi efficaci per il fingerprinting delle applicazioni in uso lato Client che instaurano un tunnel TLS con i Server associati a quel servizio, attraverso l’individuazione e la successiva implementazione di regole firewall per il testing sul blocco del tentativo di instauramento del canale criptato tra le due controparti interagenti, come possono essere ad esempio l’uso di un Browser Agent custom che si interfaccia ad un nodo d’ingresso della rete TOR o di un’applicazione Client VPN che si connette al desiderato Server VPN come ponte di connessione alla rete Internet.
Wireshark e packet sniffer
Wireshark è un software open source multipiattaforma, con molteplici funzionalità di monitoraggio, analisi del traffico e dissezione dei protocolli.
Viene utilizzato perlopiù in ambiente didattico come strumento per l’analisi dei protocolli, delle intestazioni dei pacchetti e per un concreto riscontro visivo del flusso di rete in ingresso, in uscita ed in transito nei confronti l’interfaccia di rete monitorata.
In informatica forense può essere utilizzato sia come strumento di attacco che di difesa, ad esempio all’interno di una rete compromessa per intercettare tentativi di ARP Spoofing da parte di un host maligno che si camuffa da gateway della rete sfruttando la mancanza di autenticazione del protocollo ARP andando a controllare il MAC addresses della trama Ethernet associata al pacchetto di risposta di una ARP request e confrontarlo con quello del gateway fisico, oppure nello stesso scenario ma come sturmento di attacco Man in the Middle da parte dell’host maligno precedentemente citato il quale attraverso la funzionalità di collezionatore che Wireshark offre, può visualizzare, salvare ed analizzare in un secondo momento tutto il traffico sia in chiaro che criptato che transita per il proprio dispositivo/gateway camuffato prima di essere reinstradato verso la legittima via d’uscita della rete locale, fornendo potenziali informazioni utili per pianificare altri tipi di attacco (SSL Highjacking, HeartBleed bug, specifico per alcune versioni del protocollo SSL ecc.).
