Ich arbeite an einem Pentesting-Projekt und habe das folgende Setup: Ich habe einen SSH-Daemon, der versucht, alle Aktivitäten auf SSH-Verbindungen zu einem anderen Server zu protokollieren. Ich versuche, diese Protokollierung zu deaktivieren und dies insbesondere so zu tun, dass sie nicht erkannt wird. Daher habe ich die folgenden Anforderungen:
- Ich muss in der Lage sein, eine bestehende TCP-Verbindung zu beenden, und zwar idealerweise mit so wenig gesendeten gepufferten Daten wie möglich. Das heißt, wenn im Kernel gepufferte ausgehende Daten vorhanden sind, wäre es ideal, wenn diese Daten gelöscht würden, ohne gesendet zu werden.
- Um dies zu erreichen, ist es am besten, wenn der Befehl, den ich eingeben muss, so kurz wie möglich ist, sodass der gesamte Befehl entweder in der Protokollierungsanwendung oder im TCP-Puffer des Kernels gepuffert werden kann. Auf diese Weise erhält der Protokollierungsserver, wenn der erste Punkt erreicht ist, niemals Informationen darüber, dass die Protokollierung deaktiviert wurde; es wird lediglich als Netzwerkausfall angezeigt.
Ich habe versucht iptables -A OUTPUT -d <ip of logging server> -j DROP, aber das funktioniert nicht - der Text des Befehls selbst wird gesendet, bevor die Regel erzwungen wird. Ich habe auch versucht tcpkill, ebenfalls ohne Erfolg.