Estoy trabajando en un proyecto de pentesting y tengo la siguiente configuración: Tengo un demonio SSH que intenta registrar toda la actividad que ocurre en las conexiones SSH en otro servidor. Estoy intentando desactivar este registro y, en particular, hacerlo de forma que evite ser detectado. Por lo tanto, tengo los siguientes requisitos:
- Necesito poder cerrar una conexión TCP existente e, idealmente, enviar la menor cantidad posible de datos almacenados en el búfer. Es decir, si hay datos salientes almacenados en el kernel, sería ideal si estos datos se eliminaran sin enviarse.
- Para lograr esto, es mejor si el comando que necesito escribir es lo más corto posible para que todo el comando pueda almacenarse en la aplicación de registro o en el búfer TCP del kernel. De esta manera, si se logra el primer punto, el servidor de registro nunca recibirá información sobre el hecho de que el registro fue deshabilitado; simplemente aparecerá como una interrupción de la red.
Lo intenté iptables -A OUTPUT -d <ip of logging server> -j DROP, pero eso no funciona: el texto del comando logra enviarse antes de que se aplique la regla. También lo intenté tcpkill, de manera similar, sin éxito.