Tengo una tarea en la que debo explicar cómo entraría a un servidor, recuperaría un archivo y cubriría mis huellas. Mi pregunta principal: ¿es posible detectar paquetes en un servidor web remoto?
Se agradecería más información sobre el cubrimiento de pistas.
Editar. la pregunta completa:
Al intentar obtener acceso no autorizado a los datos, los piratas informáticos realizan las siguientes operaciones:
- Reconocimiento (activo o pasivo)
- Exploración
- Obtención de acceso (sistema operativo, aplicación o nivel de red)
- Mantener el acceso (cargar o alterar datos)
- Limpieza de pistas.
Describe brevemente cómo harías esto y qué herramientas usarías. ¿Qué contramedidas puede alguien implementar para bloquearte?
Respuesta1
Es posible rastrear un servidor remoto, aunque no es fácil. Lo más efectivo (aunque no confiable) es comprometer otro dispositivo en la misma subred que el servidor web hasta el nivel en que pueda ejecutar un rastreador. En ese punto, implementa ARP Poisoning para convencer al conmutador de que necesita ver el tráfico de ese servidor. Si el conmutador no está configurado para defenderse contra ese tipo de ataque, esto debería brindarle el flujo de red completo al servidor web de destino. Sin embargo, requiere que usted comprometa un host para obtener acceso a otro host, por lo que la cadena de arranque para llegar a esta capacidad es bastante larga y complicada.
El siguiente método más eficaz es comprometer el enrutador conectado a esa red. En ese punto, puede hacer muchas cosas interesantes, incluido (dependiendo del enrutador) reenviar el tráfico destinado a ese servidor web de destino a otra ubicación de red que usted controle. Sin embargo, este método suele ser mucho más complicado que el primero. Los administradores de red tienden a bloquear este tipo de cosas MUCHO más que los administradores de servidores, en gran parte porque la superficie de ataque es mucho más pequeña. Además, es raro que la dirección administrativa del enrutador sea accesible a una red pública de alguna manera.
Como método de reconocimiento, olfatear es más útil al irrumpir en unasolicituduna vez elServidor webya ha sido resquebrajado. Quizás estén buscando rastrear una red de back-end en busca de credenciales pasadas sin cifrar a una base de datos a través de un canal supuestamente seguro. Este método es utilizado por atacantes sofisticados y, por lo general, no se encuentra en el repertorio del kit de herramientas de split.
Respuesta2
Para oler cualquier cosa en paquetes, necesita obtener los paquetes, sin importar lo que esté olfateando.
Hay muchas maneras de lograr esto, las dos más fáciles son ser un "hombre en el medio" (por ejemplo, un sistema Linux con dos puertos Ethernet como puente entre el servidor y la red con la que habla) o conseguir unCopiardel tráfico real (puede configurar un puerto en "modo monitor" en la mayoría de los conmutadores Ethernet manejables).
En realidad, este último se utiliza habitualmente para obtener una copia del tráfico de su red en su IDS. En los viejos tiempos de 10mbit y en los primeros días de 100mbit también se podía usar uncentro, pero eso daría lugar a un rendimiento inferior que la solución de conmutador y ya no es aplicable en redes gigabit ethernet.
Si no tiene acceso directo a la red, entonces necesitará obtener una copia de los datos de cualquier otra forma, por ejemplo ejecutando una sonda en el servidor (tcpdump, por nombrar uno). De esta forma también podrás registrar el tráfico para su posterior análisis.
Se trata de 'rastreo de paquetes' (que no es algo "malo" per se, por cierto), y supone que usted tiene cierto control sobre la red o el servidor.
Respuesta3
Vereste, en el apartado 1.6.