Webサーバーをスニッフィングするパケット
サーバーに侵入し、ファイルを取得して、自分のトラックをカバーする方法を説明する宿題があります。私の主な質問:リモートWebサーバーをパケットスニッフィングすることは可能ですか?
トラックをカバーする上で他の情報をいただければ幸いです。
編集。完全な質問:
ハッカーは、データへの不正アクセスを試みる際に、次の操作を実行します。
- 偵察(アクティブまたはパッシブ)
- 走査
- アクセスの取得(オペレーティングシステム、アプリケーション、またはネットワークレベル)
- アクセスの維持(データのアップロードまたは変更)
- トラックをクリアします。
これらをどのように実行するか、およびどのツールを使用するかを簡単に説明してください。誰かがあなたをブロックするためにどのような対策を講じることができますか?
簡単ではありませんが、リモートサーバーのスニッフィングは可能です。最も効果的なのは(信頼性はありませんが)、Webサーバーと同じサブネット上の別のデバイスをスニファを実行できるレベルまで侵害することです。その時点で、ARPポイズニングを展開して、サーバーのトラフィックを確認する必要があることをスイッチに納得させます。スイッチがその種の攻撃を防御するように設定されていない場合、これにより、ターゲットWebサーバーへの完全なネットワークストリームが提供されます。ただし、別のホストにアクセスするには、ホストを危険にさらす必要があるため、この機能にアクセスするためのbootstrapチェーンは、そのままではかなり長く複雑です。
次に最も効果的な方法は、そのネットワークに接続されているルーターを危険にさらすことです。その時点で、(ルーターに応じて)そのターゲットWebサーバー宛てのトラフィックを、制御している別のネットワークの場所に転送するなど、多くの興味深いことを実行できます。ただし、この方法は一般的に最初の方法よりもはるかに困難です。ネットワーク管理者は、主に攻撃対象領域がはるかに小さいため、サーバー管理者よりもこの種のものをかなり厳しくロックする傾向があります。また、ルーターの管理アドレスがパブリックネットワークにアクセスできることはまれです。
偵察方法として、Webサーバーがすでにクラックされた後、アプリケーションに侵入する場合、スニッフィングはより便利です。おそらく彼らは、セキュリティで保護されていると思われるチャネルを介してデータベースに平文で渡された資格情報をバックエンドネットワークで盗聴しようとしています。この方法は、高度な攻撃者が使用する方法であり、通常、「sploittoolkit」レパートリーには含まれていません。
何をスニッフィングする場合でも、パケットを取得するために必要なものをパケットスニッフィングします。
これを実現する方法はたくさんありますが、最も簡単な2つは、「真ん中の人」(サーバーと通信先のネットワークをブリッジする2つのイーサネットポートを備えたLinuxシステムなど)またはcopyを取得することです。 =実際のトラフィックの(ほとんどの管理可能なイーサネットスイッチで「モニターモード」にポートを設定できます)。
後者は実際には、IDSへのネットワークトラフィックのコピーを取得するために日常的に使用されます。 10mbitの古き良き時代と100mbitの最初の日には、hubを使用することもできますが、これはスイッチソリューションよりもパフォーマンスが低下し、ギガビットイーサネットには適用できなくなります。
ネットワークに直接アクセスできない場合は、他の方法でデータのコピーを取得する必要があります。たとえば、サーバーでプローブを実行します(tcpdumpなど)。このようにして、後で分析するためにトラフィックを記録することもできます。
これは「パケットスニッフィング」(それ自体は「悪い」ものではありません)に関するものであり、ネットワークまたはサーバーをある程度制御できることを前提としています。
セクション1.6の this を参照してください。