У меня есть домашнее задание, в котором я должен объяснить, как я могу взломать сервер, получить файл и замести следы. Мой главный вопрос: можно ли обнюхивать удаленный веб-сервер?
Другая информация была бы признательна о заметных следах.
редактировать. полный вопрос:
Пытаясь получить несанкционированный доступ к данным, хакеры выполняют следующие операции:
Кратко опишите, как бы вы это сделали и какие инструменты вы бы использовали. Какие контрмеры могут быть приняты, чтобы заблокировать вас?
Обнюхивание удаленного сервера возможно, хотя и непросто. Самый эффективный (хотя и ненадежный) - это взломать другое устройство в той же подсети, что и веб-сервер, до уровня, на котором вы можете выполнить сниффер. На этом этапе вы развертываете ARP Poisoning, чтобы убедить коммутатор в том, что вам нужно видеть трафик этого сервера. Если коммутатор не настроен для защиты от такого рода атак, это должно дать вам полный сетевой поток на целевой веб-сервер. Однако это требует, чтобы вы скомпрометировали хост, чтобы получить доступ к другому хосту, поэтому цепочка начальной загрузки для доступа к этой возможности довольно длинная и сложная.
Следующий наиболее эффективный метод - взломать маршрутизатор, подключенный к этой сети. На этом этапе вы можете делать много интересных вещей, включая (в зависимости от маршрутизатора) пересылку трафика, предназначенного для этого целевого веб-сервера, в другое сетевое расположение, которое вы контролируете. Однако этот метод, как правило, намного сложнее, чем первый. Сетевые администраторы, как правило, блокируют такие вещи НАМНОГО сложнее, чем администраторы серверов, во многом потому, что поверхность атаки намного меньше. Кроме того, административный адрес маршрутизатора редко бывает доступен для публичной сети каким-либо образом.
В качестве метода разведки обнюхивание более полезно при взломе применение однажды веб сервер уже был взломан. Возможно, они хотят обнюхать серверную сеть на предмет учетных данных, передаваемых в открытом виде в базу данных по предположительно безопасному каналу. Этот метод используется изощрёнными злоумышленниками и обычно не входит в репертуар набора инструментов sploit.
Чтобы обнюхивать все, что вам нужно, чтобы получить пакеты, независимо от того, что вы обнюхиваете.
Есть много способов добиться этого, два самых простых - быть «человеком посередине» (скажем, система Linux с двумя портами Ethernet в мосте между сервером и сетью, с которой она общается) или получить копировать фактического трафика (вы можете установить порт в «режим мониторинга» на большинстве управляемых коммутаторов Ethernet).
Последний фактически обычно используется для получения копии вашего сетевого трафика на вашу IDS. В старые добрые времена 10 Мбит и в первые дни 100 Мбит вы также могли использовать концентратор, но это привело бы к более низкой производительности, чем решение коммутатора, и больше не применимо в гигабитных сетях Ethernet.
Если у вас нет прямого доступа к сети, вам необходимо получить копию данных любым другим способом, например, запустив зонд на сервере (tcpdump, чтобы назвать его). Таким образом, вы также можете записывать трафик для последующего анализа.
Речь идет о «сниффинге пакетов» (что само по себе не является чем-то «плохим», кстати) и предполагается, что у вас есть некоторый контроль над сетью или сервером.
Видеть этотв разделе 1.6.