宿題で、サーバーに侵入してファイルを取得し、痕跡を隠す方法を説明する必要があります。主な質問は、リモート Web サーバーをパケット スニッフィングすることは可能かということです。
トラックをカバーするためのその他の情報もいただければ幸いです。
編集完全な質問:
ハッカーは、データへの不正アクセスを試みるために、次の操作を実行します。
- 偵察(能動的または受動的)
- 走査
- アクセスの取得(オペレーティング システム、アプリケーション、またはネットワーク レベル)
- アクセスの維持(データのアップロードまたは変更)
- トラックをクリアしています。
これらをどのように実行し、どのようなツールを使用するかを簡単に説明してください。誰かがあなたを阻止するためにどのような対抗手段を講じることができますか?
答え1
リモート サーバーをスニッフィングすることは可能ですが、簡単ではありません。最も効果的なのは (ただし信頼性は低い)、Web サーバーと同じサブネットにある別のデバイスを、スニファーを実行できるレベルまで侵害することです。その時点で、ARP ポイズニングを展開して、そのサーバーのトラフィックを確認する必要があることをスイッチに納得させます。スイッチがこの種の攻撃から防御するように設定されていない場合は、これにより、ターゲット Web サーバーへの完全なネットワーク ストリームが提供されます。ただし、別のホストにアクセスするにはホストを侵害する必要があるため、この機能を実現するためのブートストラップ チェーンは、そのままでもかなり長く複雑です。
次に効果的な方法は、そのネットワークに接続されているルーターを侵害することです。その時点で、ルーターに応じて、そのターゲット Web サーバー宛てのトラフィックを、自分が管理する別のネットワーク ロケーションに転送するなど、多くの興味深い操作を実行できます。ただし、この方法は、通常、最初の方法よりもはるかに困難です。ネットワーク管理者は、攻撃対象領域がはるかに小さいため、サーバー管理者よりもこの種の操作をはるかに厳しく制限する傾向があります。また、ルーターの管理アドレスがパブリック ネットワークから何らかの方法でアクセス可能であることはまれです。
偵察手段としては、侵入する際にはスニッフィングがより有効である。応用一度ウェブサーバーすでに解読されています。おそらく、バックエンド ネットワークをスニッフィングして、安全と想定されるチャネルを介してデータベースに平文で渡される資格情報を探そうとしているのでしょう。この方法は、高度な技術を持つ攻撃者が使用するもので、通常はスプロイト ツールキットのレパートリーには含まれていません。
答え2
パケット スニッフィングを行うには、スニッフィングの対象に関係なく、パケットを取得する必要があります。
これを実現するには多くの方法がありますが、最も簡単なのは「中間者」(サーバーとそれが通信するネットワークの間に2つのイーサネットポートを持つLinuxシステムなど)になることと、コピー実際のトラフィックの(ほとんどの管理可能なイーサネット スイッチでは、ポートを「モニター モード」に設定できます)。
後者は、ネットワークトラフィックのコピーをIDSに送るために日常的に使われています。10mbitの古き良き時代や100mbitの初期の頃は、ハブただし、スイッチ ソリューションよりもパフォーマンスが低下するため、ギガビット イーサネットには適用できなくなります。
ネットワークに直接アクセスできない場合は、サーバー上でプローブを実行するなど、他の方法でデータのコピーを取得する必要があります (例: tcpdump)。この方法では、後で分析するためにトラフィックを記録することもできます。
これは「パケット スニッフィング」に関するもので (ちなみに、それ自体は「悪い」ものではありません)、ネットワークまたはサーバーをある程度制御できることを前提としています。
答え3
見るこれ、第1.6項に基づきます。