Ich habe eine Hausaufgabe, in der ich erklären soll, wie ich in einen Server eindringe, eine Datei abrufe und meine Spuren verwische. Meine Hauptfrage: Ist es möglich, einen Remote-Webserver per Paket-Sniffing zu überwachen?
Weitere Informationen zum Thema Trackabdeckung sind willkommen.
Bearbeiten. die vollständige Frage:
Beim Versuch, unbefugten Zugriff auf Daten zu erlangen, führen Hacker die folgenden Aktionen aus:
- Aufklärung (aktiv oder passiv)
- Scannen
- Zugriff erhalten (Betriebssystem-, Anwendungs- oder Netzwerkebene)
- Zugriff aufrechterhalten (Daten hochladen oder ändern)
- Spuren löschen.
Beschreiben Sie kurz, wie Sie vorgehen und welche Tools Sie verwenden würden. Welche Gegenmaßnahmen kann jemand ergreifen, um Sie zu blockieren?
Antwort1
Das Sniffen eines Remote-Servers ist möglich, aber nicht einfach. Am effektivsten (wenn auch nicht zuverlässig) ist es, ein anderes Gerät im selben Subnetz wie der Webserver so weit zu kompromittieren, dass Sie einen Sniffer ausführen können. An diesem Punkt setzen Sie ARP-Poisoning ein, um den Switch davon zu überzeugen, dass Sie den Datenverkehr dieses Servers sehen müssen. Wenn der Switch nicht so eingerichtet ist, dass er sich gegen diese Art von Angriff verteidigen kann, sollte Ihnen dies den vollständigen Netzwerkdatenstrom zum Ziel-Webserver ermöglichen. Allerdings müssen Sie dazu einen Host kompromittieren, um Zugriff auf einen anderen Host zu erhalten, sodass die Bootstrap-Kette, um diese Fähigkeit zu erreichen, ohnehin schon ziemlich lang und kompliziert ist.
Die nächsteffektivste Methode besteht darin, den an dieses Netzwerk angeschlossenen Router zu kompromittieren. An diesem Punkt können Sie viele interessante Dinge tun, einschließlich (je nach Router) die Weiterleitung des für diesen Ziel-Webserver bestimmten Datenverkehrs an einen anderen von Ihnen kontrollierten Netzwerkstandort. Diese Methode ist jedoch im Allgemeinen viel schwieriger als die erste. Netzwerkadministratoren neigen dazu, diese Art von Dingen VIEL stärker abzusichern als Serveradministratoren, vor allem, weil die Angriffsfläche viel kleiner ist. Außerdem ist die Verwaltungsadresse des Routers selten in irgendeiner Weise für ein öffentliches Netzwerk zugänglich.
Als Aufklärungsmethode ist das Schnüffeln nützlicher beim Einbrechen in einAnwendungSobald dieWebserverwurde bereits geknackt. Vielleicht versuchen sie, ein Back-End-Netzwerk nach Anmeldeinformationen abzuhören, die unverschlüsselt über einen vermeintlich sicheren Kanal an eine Datenbank weitergegeben werden. Diese Methode wird von erfahrenen Angreifern verwendet und gehört im Allgemeinen nicht zum Repertoire der Sploit-Tools.
Antwort2
Um Pakete abzufangen, müssen Sie die Pakete abrufen – egal, was Sie abfangen.
Es gibt viele Möglichkeiten, dies zu erreichen. Die einfachsten beiden sind ein "Man-in-the-Middle" (sagen wir ein Linux-System mit zwei Ethernet-Ports als Brücke zwischen dem Server und dem Netzwerk, mit dem er kommuniziert) oder einKopierendes tatsächlichen Datenverkehrs (Sie können bei den meisten verwaltbaren Ethernet-Switches einen Port in den „Monitormodus“ versetzen).
Letzteres wird eigentlich routinemäßig verwendet, um eine Kopie Ihres Netzwerkverkehrs an Ihr IDS zu senden. In den guten alten Zeiten von 10 Mbit und in den ersten Tagen von 100 Mbit konnten Sie auch einenNabe, aber das würde zu einer geringeren Leistung als die Switch-Lösung führen und ist auf Gigabit-Ethernets nicht mehr anwendbar.
Wenn Sie keinen direkten Zugriff auf das Netzwerk haben, müssen Sie sich auf andere Weise eine Kopie der Daten besorgen, zum Beispiel indem Sie einen Test auf dem Server ausführen (beispielsweise tcpdump). Auf diese Weise können Sie den Datenverkehr auch für eine spätere Analyse aufzeichnen.
Hier geht es um „Paket-Sniffing“ (was an sich übrigens nichts „Schlechtes“ ist) und es wird davon ausgegangen, dass Sie eine gewisse Kontrolle über das Netzwerk oder den Server haben.
Antwort3
SehenDas, unter Abschnitt 1.6.