我正在开发一个渗透测试项目,并且有以下设置:我有一个 SSH 守护进程,它试图将 SSH 连接上发生的所有活动记录到另一台服务器。我正在尝试禁用此日志记录,特别是以避免被检测到的方式执行此操作。因此,我有以下要求:
- 我需要能够终止现有的 TCP 连接,并且最好发送尽可能少的缓冲数据。也就是说,如果内核中缓冲了出站数据,那么如果这些数据在未发送的情况下被丢弃,那将是理想的情况。
- 为了实现这一点,最好我需要输入的命令尽可能短,以便整个命令可以在日志记录应用程序或内核 TCP 缓冲区中缓冲。这样,如果实现了第一个要点,日志记录服务器将永远不会收到有关日志记录已禁用的信息;它只会显示为网络中断。
我已经尝试过iptables -A OUTPUT -d <ip of logging server> -j DROP
,但这并不能解决问题 - 命令本身的文本设法在规则执行之前发送。我也尝试过tcpkill
,同样没有效果。