Detectando pacotes em um servidor web

Question 1

Farejar um servidor remoto é possível, embora não seja fácil. O mais eficaz (embora não confiável) é comprometer outro dispositivo na mesma sub-rede do servidor web a um nível que você possa executar um sniffer. Nesse ponto, você implanta o envenenamento ARP para convencer o switch de que precisa ver o tráfego desse servidor. Se o switch não estiver configurado para se defender contra esse tipo de ataque, isso deverá fornecer o fluxo completo da rede para o servidor web de destino. No entanto, é necessário comprometer um host para obter acesso a outro host, portanto, a cadeia de bootstrap para obter esse recurso é bastante longa e complicada.

O próximo método mais eficaz é comprometer o roteador conectado a essa rede. Nesse ponto, você pode fazer muitas coisas interessantes, incluindo (dependendo do roteador) encaminhar o tráfego destinado a esse servidor Web de destino para outro local de rede que você controla. Este método, no entanto, é geralmente muito mais difícil que o primeiro. Os administradores de rede tendem a bloquear esse tipo de coisa com MUITO mais força do que os administradores de servidor, em grande parte porque a superfície de ataque é muito menor. Além disso, raro é o endereço administrativo do roteador acessível de alguma forma a uma rede pública.

Como método de reconhecimento, cheirar é mais útil ao invadir umaplicativouma vez oservidor webjá foi quebrado. Talvez eles estejam procurando farejar uma rede back-end em busca de credenciais passadas de forma transparente para um banco de dados por meio de um canal supostamente seguro. Este método é usado por invasores sofisticados e geralmente não está no repertório do 'sploit toolkit'.

Answer

Farejar um servidor remoto é possível, embora não seja fácil. O mais eficaz (embora não confiável) é comprometer outro dispositivo na mesma sub-rede do servidor web a um nível que você possa executar um sniffer. Nesse ponto, você implanta o envenenamento ARP para convencer o switch de que precisa ver o tráfego desse servidor. Se o switch não estiver configurado para se defender contra esse tipo de ataque, isso deverá fornecer o fluxo completo da rede para o servidor web de destino. No entanto, é necessário comprometer um host para obter acesso a outro host, portanto, a cadeia de bootstrap para obter esse recurso é bastante longa e complicada.

O próximo método mais eficaz é comprometer o roteador conectado a essa rede. Nesse ponto, você pode fazer muitas coisas interessantes, incluindo (dependendo do roteador) encaminhar o tráfego destinado a esse servidor Web de destino para outro local de rede que você controla. Este método, no entanto, é geralmente muito mais difícil que o primeiro. Os administradores de rede tendem a bloquear esse tipo de coisa com MUITO mais força do que os administradores de servidor, em grande parte porque a superfície de ataque é muito menor. Além disso, raro é o endereço administrativo do roteador acessível de alguma forma a uma rede pública.

Como método de reconhecimento, cheirar é mais útil ao invadir umaplicativouma vez oservidor webjá foi quebrado. Talvez eles estejam procurando farejar uma rede back-end em busca de credenciais passadas de forma transparente para um banco de dados por meio de um canal supostamente seguro. Este método é usado por invasores sofisticados e geralmente não está no repertório do 'sploit toolkit'.

Question 2

Para farejar qualquer coisa que você precise para obter os pacotes - não importa o que você esteja farejando.

Há muitas maneiras de fazer isso, as duas mais fáceis são ser um "man in the middle" (digamos, um sistema Linux com duas portas Ethernet como ponte entre o servidor e a rede com a qual ele se comunica) ou obter umcópia dedo tráfego real (você pode definir uma porta no "modo monitor" na maioria dos switches Ethernet gerenciáveis).

Este último é usado rotineiramente para obter uma cópia do tráfego de rede para o seu IDS. Nos bons e velhos tempos dos 10mbit e nos primeiros dias dos 100mbit você também podia usar umeixo, mas isso levaria a um desempenho inferior ao da solução de switch e não é mais aplicável em Ethernet de gigabit.

Se você não tiver acesso direto à rede, precisará obter uma cópia dos dados de qualquer outra forma, por exemplo, executando uma investigação no servidor (tcpdump, para citar um). Desta forma você também pode registrar o tráfego para análise posterior.

Trata-se de 'sniffing de pacotes' (que não é algo "ruim" em si, aliás) e pressupõe que você tenha algum controle sobre a rede ou o servidor.

Answer

Para farejar qualquer coisa que você precise para obter os pacotes - não importa o que você esteja farejando.

Há muitas maneiras de fazer isso, as duas mais fáceis são ser um "man in the middle" (digamos, um sistema Linux com duas portas Ethernet como ponte entre o servidor e a rede com a qual ele se comunica) ou obter umcópia dedo tráfego real (você pode definir uma porta no "modo monitor" na maioria dos switches Ethernet gerenciáveis).

Este último é usado rotineiramente para obter uma cópia do tráfego de rede para o seu IDS. Nos bons e velhos tempos dos 10mbit e nos primeiros dias dos 100mbit você também podia usar umeixo, mas isso levaria a um desempenho inferior ao da solução de switch e não é mais aplicável em Ethernet de gigabit.

Se você não tiver acesso direto à rede, precisará obter uma cópia dos dados de qualquer outra forma, por exemplo, executando uma investigação no servidor (tcpdump, para citar um). Desta forma você também pode registrar o tráfego para análise posterior.

Trata-se de 'sniffing de pacotes' (que não é algo "ruim" em si, aliás) e pressupõe que você tenha algum controle sobre a rede ou o servidor.

Question 3

Veresse, na seção 1.6.

Answer

Veresse, na seção 1.6.

Detectando pacotes em um servidor web

Responder1

Responder2

Responder3

informação relacionada