我有一份家庭作业,需要解释如何入侵服务器、获取文件并掩盖我的踪迹。我的主要问题是:是否可以对远程 Web 服务器进行数据包嗅探?
如果您能提供关于覆盖轨迹的其他信息,我们将非常感激
编辑. 完整问题:
在尝试获取未经授权的数据访问时,黑客会执行以下操作:
- 侦察(主动或被动)
- 扫描
- 获取访问权限(操作系统、应用程序或网络级别)
- 维护访问权限(上传或更改数据)
- 清除踪迹。
简要描述一下您将如何进行这些操作以及您将使用哪些工具。有人可以采取哪些反制措施来阻止您?
答案1
嗅探远程服务器是可能的,尽管并不容易。最有效(尽管不可靠)的方法是破坏与 Web 服务器位于同一子网上的另一台设备,使其达到可以执行嗅探器的水平。此时,您可以部署 ARP 中毒来使交换机相信您需要查看该服务器的流量。如果交换机未设置为防御此类攻击,这应该会为您提供到目标 Web 服务器的完整网络流。但是,它确实需要您破坏一台主机才能访问另一台主机,因此获得此功能的引导链本身就相当长且复杂。
下一个最有效的方法是攻陷连接到该网络的路由器。此时,您可以做很多有趣的事情,包括(取决于路由器)将发往该目标 Web 服务器的流量转发到您控制的另一个网络位置。但是,这种方法通常比第一种方法困难得多。网络管理员往往比服务器管理员更难锁定这类东西,这在很大程度上是因为攻击面要小得多。此外,路由器管理地址很少能以任何方式访问公共网络。
作为一种侦察方法,嗅探在入侵时更有用,应用一旦网络服务器已经被破解。也许他们想嗅探后端网络,以查找通过假定安全的通道以明文形式传递给数据库的凭据。这种方法是经验丰富的攻击者使用的,通常不在“漏洞利用工具包”的库中。
答案2
要嗅探数据包,您需要获取数据包 - 无论您嗅探的是什么。
有很多方法可以实现这一点,最简单的两种是“中间人”(比如说,在服务器和它所通信的网络之间桥接两个以太网端口的 Linux 系统)或获得一个复制实际流量(您可以在大多数可管理以太网交换机上将端口设置为“监控模式”)。
后者通常用于将网络流量的副本发送到 IDS。在 10mbit 的美好时代和 100mbit 的初期,您还可以使用中心,但这会导致性能低于交换机解决方案,并且不再适用于千兆以太网。
如果您无法直接访问网络,则需要以其他方式获取数据副本,例如在服务器上运行探测器(tcpdump 就是其中之一)。这样,您还可以记录流量以供日后分析。
这是关于“数据包嗅探”的(顺便说一下,这本身并不是什么“坏事”),并且假设您对网络或服务器有一定的控制权。
答案3
看这,根据第 1.6 节。