我有一个作业,我应该解释我将如何闯入服务器,检索一个文件,并掩盖我的轨道。 我的主要问题是:有可能包嗅探远程Web服务器?
其他信息将在覆盖轨道上赞赏。
编辑 。 完整的问题:
在试图获得未经授权的数据访问时,黑客执行以下操作:
简要描述你将如何去做这些,你会使用什么工具。 有人可以采取什么对策阻止你?
嗅探远程服务器是可能的,虽然不容易。 最有效的(但不可靠的)是将与Web服务器在同一子网上的另一台设备折中到可以执行嗅探器的级别。 此时,您将部署ARP中毒来说服交换机,您需要查看该服务器的stream量。 如果交换机没有设置防御这种攻击,这应该给你完整的networkingstream到目标networking服务器。 然而,它确实要求你让一台主机能够访问另一台主机,所以引导链来达到这个能力是相当长和复杂的。
下一个最有效的方法是妥协连接到该networking的路由器。 在这一点上,您可以做很多有趣的事情,包括(取决于路由器)将目标networking服务器的stream量转发到您控制的另一个networking位置。 然而,这种方法通常比第一种方法困难得多。 networkingpipe理员倾向于将这种事情比服务器pipe理员更加困难,很大程度上是因为攻击面更小。 此外,公共networking以任何方式访问的路由器pipe理地址都很less见。
作为一种重新侦察方法,一旦networking服务器已经被破解,嗅探就更加有用。 也许他们正在嗅探一个后端networking,通过安全的通道将证书传递给数据库。 这种方法是由复杂的攻击者使用的,一般不在“sploit toolkit”中。
要嗅探任何你需要的数据包 – 不pipe你在嗅什么。
有很多方法可以完成这个任务,最简单的两个是“中间人”(比如linux系统,在服务器和networking之间连接两个以太网端口)或者获得实际stream量的副本可以在大多数可pipe理的以太网交换机上以“监控模式”设置端口)。
后者实际上通常用于将您的networkingstream量复制到您的IDS。 在10mbit的美好时光以及100mbit的第一天,你也可以使用集线器 ,但这会导致性能低于交换机解决scheme,并且不适用于千兆以太网。
如果你没有直接访问networking,那么你需要以任何其他方式获得数据副本,例如在服务器上运行一个探测器(tcpdump,命名一个)。 这样您也可以loggingstream量以供日后分析。
这是关于“数据包嗅探”(这本身并不是什么“坏东西”),并且假设你对networking或服务器有一些控制。
请参阅第1.6节。