나에게는 서버에 침입하여 파일을 검색하고 내 흔적을 숨기는 방법을 설명해야 하는 숙제가 있습니다. 내 주요 질문: 원격 웹 서버를 패킷 스니핑하는 것이 가능합니까?
트랙을 다룰 때 다른 정보를 주시면 감사하겠습니다.
편집하다. 완전한 질문:
해커는 데이터에 대한 무단 액세스를 시도하면서 다음 작업을 수행합니다.
- 정찰(능동 또는 수동)
- 스캐닝
- 액세스 권한 얻기(운영 체제, 애플리케이션 또는 네트워크 수준)
- 액세스 유지(데이터 업로드 또는 변경)
- 트랙을 지우는 중입니다.
이를 수행하는 방법과 사용할 도구를 간략하게 설명하십시오. 누군가가 당신을 차단하기 위해 어떤 대응 조치를 취할 수 있나요?
답변1
원격 서버를 스니핑하는 것은 가능하지만 쉽지는 않습니다. 가장 효과적인(신뢰할 수는 없지만) 방법은 웹 서버와 동일한 서브넷에 있는 다른 장치를 스니퍼를 실행할 수 있는 수준까지 손상시키는 것입니다. 이 시점에서 해당 서버의 트래픽을 확인해야 한다는 점을 스위치에 확신시키기 위해 ARP Poisoning을 배포합니다. 스위치가 이러한 종류의 공격을 방어하도록 설정되지 않은 경우 대상 웹 서버에 대한 전체 네트워크 스트림을 제공해야 합니다. 그러나 다른 호스트에 액세스하려면 호스트를 손상시켜야 하므로 이 기능에 도달하기 위한 부트스트랩 체인은 그 자체로 꽤 길고 복잡합니다.
다음으로 가장 효과적인 방법은 해당 네트워크에 연결된 라우터를 손상시키는 것입니다. 그 시점에서 당신은 (라우터에 따라) 해당 대상 웹 서버로 향하는 트래픽을 당신이 제어하는 다른 네트워크 위치로 전달하는 것을 포함하여 많은 흥미로운 작업을 수행할 수 있습니다. 그러나 이 방법은 일반적으로 첫 번째 방법보다 훨씬 어렵습니다. 네트워크 관리자는 공격 표면이 훨씬 작기 때문에 서버 관리자보다 이런 종류의 일을 훨씬 더 어렵게 잠그는 경향이 있습니다. 또한 어떤 방식으로든 공용 네트워크에 액세스할 수 있는 라우터 관리 주소도 드뭅니다.
정찰 방법으로서 스니핑은 침입 시 더 유용합니다.애플리케이션한 번웹 서버이미 깨졌습니다. 아마도 그들은 보안이 보장된 채널을 통해 데이터베이스에 암호화되지 않은 상태로 전달된 자격 증명을 찾기 위해 백엔드 네트워크를 스니핑하려고 할 것입니다. 이 방법은 정교한 공격자가 사용하는 방법이며 일반적으로 'sploit 툴킷 레퍼토리'에는 없습니다.
답변2
패킷을 스니핑하려면 무엇을 스니핑하든 상관없이 패킷을 가져와야 합니다.
이를 달성하는 방법에는 여러 가지가 있습니다. 가장 쉬운 두 가지는 "중간자"가 되는 것입니다(예: 서버와 통신하는 네트워크 사이를 연결하는 두 개의 이더넷 포트가 있는 Linux 시스템).복사실제 트래픽(대부분의 관리 가능한 이더넷 스위치에서는 "모니터 모드"로 포트를 설정할 수 있음)
후자는 실제로 네트워크 트래픽의 복사본을 IDS로 가져오는 데 일상적으로 사용됩니다. 10mbit의 옛날과 100mbit의 초기에는 다음을 사용할 수도 있습니다.바퀴통, 그러나 이는 스위치 솔루션보다 성능이 저하되며 기가비트 이더넷에는 더 이상 적용되지 않습니다.
네트워크에 직접 액세스할 수 없는 경우 다른 방법으로 데이터 복사본을 가져와야 합니다. 예를 들어 서버에서 프로브(예를 들어 tcpdump)를 실행하는 것입니다. 이 방법을 사용하면 나중에 분석하기 위해 트래픽을 기록할 수도 있습니다.
이것은 '패킷 스니핑'(그 자체로는 "나쁜" 것이 아닙니다)에 관한 것이며 사용자가 네트워크나 서버를 어느 정도 제어할 수 있다고 가정합니다.
답변3
보다이것, 섹션 1.6에 따라.