Я работаю над проектом по пентестингу, и у меня есть следующая настройка: у меня есть демон SSH, который пытается регистрировать всю активность, происходящую на соединениях SSH на другом сервере. Я пытаюсь отключить это ведение журнала, и в частности сделать это таким образом, чтобы избежать обнаружения. Таким образом, у меня есть следующие требования:
- Мне нужно иметь возможность уничтожить существующее TCP-соединение, и в идеале с как можно меньшим количеством буферизированных данных, отправленных. То есть, если в ядре есть исходящие данные, буферизированные, было бы идеально, если бы эти данные были сброшены без отправки.
- Чтобы этого добиться, лучше всего, если команда, которую мне нужно ввести, будет как можно короче, чтобы вся команда могла быть буферизована либо в приложении ведения журнала, либо в буфере ядра TCP. Таким образом, если достигнут первый пункт, сервер ведения журнала никогда не получит информацию о том, что ведение журнала было отключено; это просто будет выглядеть как сбой сети.
Я пробовал iptables -A OUTPUT -d <ip of logging server> -j DROP, но это не помогает - сам текст команды успевает быть отправлен до того, как правило будет применено. Я также пробовал tcpkill, аналогично, но безрезультатно.