私はペネトレーションテスト プロジェクトに取り組んでおり、次のような設定をしています。SSH 接続で発生するすべてのアクティビティを別のサーバーにログ出力しようとする SSH デーモンがあります。このログ出力を無効にしようとしており、特に検出されないようにしたいと考えています。したがって、次の要件があります。
- 既存の TCP 接続を切断する必要があり、理想的にはバッファリングされたデータをできるだけ少なく送信する必要があります。つまり、カーネル内に送信データがバッファリングされている場合、このデータは送信されずにドロップされるのが理想的です。
- これを実現するには、入力する必要があるコマンドをできるだけ短くして、コマンド全体をログ アプリケーションまたはカーネル TCP バッファにバッファリングできるようにするのが最適です。このように、最初の箇条書きのポイントが達成された場合、ログ サーバーはログが無効になったという事実に関する情報を受け取ることはなく、ネットワークの停止として表示されます。
を試してみましたiptables -A OUTPUT -d <ip of logging server> -j DROPが、うまくいきませんでした。ルールが適用される前に、コマンドのテキスト自体が送信されてしまいます。 も試しましたがtcpkill、同様に効果はありませんでした。