Анализ пакетов веб-сервера

Question 1

Сниффинг удаленного сервера возможен, хотя и не прост. Наиболее эффективным (хотя и не надежным) является компрометация другого устройства в той же подсети, что и веб-сервер, до уровня, на котором вы можете выполнить сниффер. В этот момент вы развертываете ARP Poisoning, чтобы убедить коммутатор, что вам нужно видеть трафик этого сервера. Если коммутатор не настроен на защиту от такого рода атак, это должно дать вам полный сетевой поток к целевому веб-серверу. Однако для этого вам нужно скомпрометировать хост, чтобы получить доступ к другому хосту, поэтому цепочка начальной загрузки для получения этой возможности довольно длинная и сложная.

Следующий наиболее эффективный метод — скомпрометировать маршрутизатор, подключенный к этой сети. В этот момент вы можете сделать много интересных вещей, включая (в зависимости от маршрутизатора) пересылку трафика, предназначенного для этого целевого веб-сервера, в другое сетевое местоположение, которое вы контролируете. Однако этот метод, как правило, намного сложнее первого. Сетевые администраторы, как правило, блокируют такие вещи НАМНОГО сложнее, чем администраторы серверов, во многом потому, что поверхность атаки намного меньше. Кроме того, административный адрес маршрутизатора редко бывает доступен для публичной сети каким-либо образом.

Как метод разведки, сниффинг более полезен при проникновении вприложениеоднаждывеб серверуже взломан. Возможно, они хотят пронюхать внутреннюю сеть на предмет учетных данных, переданных в открытом виде в базу данных по предположительно защищенному каналу. Этот метод используется опытными злоумышленниками и, как правило, не входит в набор инструментов 'sploit'.

Answer

Сниффинг удаленного сервера возможен, хотя и не прост. Наиболее эффективным (хотя и не надежным) является компрометация другого устройства в той же подсети, что и веб-сервер, до уровня, на котором вы можете выполнить сниффер. В этот момент вы развертываете ARP Poisoning, чтобы убедить коммутатор, что вам нужно видеть трафик этого сервера. Если коммутатор не настроен на защиту от такого рода атак, это должно дать вам полный сетевой поток к целевому веб-серверу. Однако для этого вам нужно скомпрометировать хост, чтобы получить доступ к другому хосту, поэтому цепочка начальной загрузки для получения этой возможности довольно длинная и сложная.

Следующий наиболее эффективный метод — скомпрометировать маршрутизатор, подключенный к этой сети. В этот момент вы можете сделать много интересных вещей, включая (в зависимости от маршрутизатора) пересылку трафика, предназначенного для этого целевого веб-сервера, в другое сетевое местоположение, которое вы контролируете. Однако этот метод, как правило, намного сложнее первого. Сетевые администраторы, как правило, блокируют такие вещи НАМНОГО сложнее, чем администраторы серверов, во многом потому, что поверхность атаки намного меньше. Кроме того, административный адрес маршрутизатора редко бывает доступен для публичной сети каким-либо образом.

Как метод разведки, сниффинг более полезен при проникновении вприложениеоднаждывеб серверуже взломан. Возможно, они хотят пронюхать внутреннюю сеть на предмет учетных данных, переданных в открытом виде в базу данных по предположительно защищенному каналу. Этот метод используется опытными злоумышленниками и, как правило, не входит в набор инструментов 'sploit'.

Question 2

Чтобы проанализировать пакеты чего-либо, вам необходимо получить пакеты — независимо от того, что именно вы анализируете.

Есть много способов сделать это, два самых простых — стать «человеком посередине» (скажем, системой Linux с двумя портами Ethernet в качестве моста между сервером и сетью, с которой он взаимодействует) или получитькопияфактического трафика (на большинстве управляемых коммутаторов Ethernet можно установить порт в «режиме монитора»).

Последнее на самом деле обычно используется для получения копии вашего сетевого трафика в вашей IDS. В старые добрые времена 10 Мбит и в первые дни 100 Мбит вы также могли использоватьцентр, но это приведет к снижению производительности по сравнению с решением на основе коммутатора и больше не применимо в сетях Gigabit Ethernet.

Если у вас нет прямого доступа к сети, то вам нужно получить копию данных любым другим способом, например, запустив зонд на сервере (tcpdump, например). Таким образом вы также можете записать трафик для последующего анализа.

Речь идет о «перехвате пакетов» (который, кстати, сам по себе не является чем-то «плохим») и предполагает, что у вас есть некоторый контроль над сетью или сервером.

Answer

Чтобы проанализировать пакеты чего-либо, вам необходимо получить пакеты — независимо от того, что именно вы анализируете.

Есть много способов сделать это, два самых простых — стать «человеком посередине» (скажем, системой Linux с двумя портами Ethernet в качестве моста между сервером и сетью, с которой он взаимодействует) или получитькопияфактического трафика (на большинстве управляемых коммутаторов Ethernet можно установить порт в «режиме монитора»).

Последнее на самом деле обычно используется для получения копии вашего сетевого трафика в вашей IDS. В старые добрые времена 10 Мбит и в первые дни 100 Мбит вы также могли использоватьцентр, но это приведет к снижению производительности по сравнению с решением на основе коммутатора и больше не применимо в сетях Gigabit Ethernet.

Если у вас нет прямого доступа к сети, то вам нужно получить копию данных любым другим способом, например, запустив зонд на сервере (tcpdump, например). Таким образом вы также можете записать трафик для последующего анализа.

Речь идет о «перехвате пакетов» (который, кстати, сам по себе не является чем-то «плохим») и предполагает, что у вас есть некоторый контроль над сетью или сервером.

Question 3

Видетьэтот, в соответствии с разделом 1.6.

Answer

Видетьэтот, в соответствии с разделом 1.6.

Анализ пакетов веб-сервера

решение1

решение2

решение3

Связанный контент