Packet farejando um servidor web

Navegue suas respostas
1

Eu tenho um dever de casa no qual eu deveria explicar como eu iria invadir um servidor, recuperar um arquivo e cobrir minhas faixas. Minha principal questão: é possível ao pacote sniffar um servidor web remoto?

Outras informações seriam apreciadas na cobertura de faixas.

Editar . a pergunta completa:

Ao tentar obter acesso não autorizado aos dados, os hackers realizam as seguintes operações:

  1. Reconhecimento (ativo ou passivo)
  2. Digitalização
  3. Ganho de acesso (sistema de operação, aplicativo ou nível de rede)
  4. Mantendo o acesso (carregando ou alterando dados)
  5. Limpar faixas.

Descreva brevemente como você faria essas ferramentas e quais ferramentas usaria. Quais medidas contrárias alguém pode colocar em prática para bloqueá-lo?

    
por Shawn Mclean 15.06.2010 / 23:34

3 respostas

4

Farejar um servidor remoto é possível, embora não seja fácil. O mais efetivo (embora não confiável) é comprometer outro dispositivo na mesma sub-rede que o servidor da Web, até o nível em que você pode executar um sniffer. Nesse ponto, você implanta o ARP Poisoning para convencer o switch de que precisa para ver o tráfego desse servidor. Se o switch não estiver configurado para se defender desse tipo de ataque, isso deve fornecer o fluxo de rede completo para o servidor da Web de destino. No entanto, ele exige que você comprometa um host a obter acesso a outro host, portanto, a cadeia de inicialização para obter esse recurso é bastante longa e complicada.

O próximo método mais eficaz é comprometer o roteador conectado a essa rede. Nesse ponto, você pode fazer muitas coisas interessantes, incluindo (dependendo do roteador), encaminhar o tráfego destinado ao servidor web de destino para outro local de rede que você controla. Este método, no entanto, é geralmente muito mais difícil do que o primeiro. Os administradores de rede tendem a bloquear esse tipo de coisa muito mais do que os administradores de servidores, em grande parte porque a superfície de ataque é muito menor. Além disso, é raro o endereço administrativo do roteador acessível a uma rede pública de qualquer forma.

Como um método de reconhecimento, o sniffing é mais útil ao invadir um aplicativo quando o servidor da web já foi decifrado. Talvez eles estejam tentando farejar uma rede de back-end para credenciais passadas no claro para um banco de dados por meio de um canal supostamente seguro. Esse método é usado por invasores sofisticados e geralmente não está no repertório do kit de ferramentas do sploit.

    
por 16.06.2010 / 00:41
1

Para o pacote, fareje qualquer coisa que você precise para pegar os pacotes - não importa o que você esteja farejando.

Existem muitas maneiras de conseguir isso, as duas mais fáceis são "man in the middle" (digamos, sistema linux com duas portas ethernet em bridge entre o servidor e a rede com a qual ele fala) ou obtendo uma cópia do tráfego real (você pode definir uma porta em "modo monitor" na maioria dos switches Ethernet gerenciáveis).

O último é usado rotineiramente para obter uma cópia do tráfego da sua rede para o seu IDS. Nos bons e velhos tempos de 10mbit e nos primeiros dias de 100mbit você também poderia usar um hub , mas isso levaria a um desempenho menor do que a solução de switch e não seria mais aplicável em gigabytes de ethernets. / p>

Se você não tiver acesso direto à rede, precisará obter uma cópia dos dados de qualquer outra forma, por exemplo, executando uma análise no servidor (tcpdump, para nomear um). Dessa forma, você também pode gravar o tráfego para análise posterior.

Trata-se de "sniffing de pacotes" (que não é algo "ruim" por si só, btw), e assume que você tem algum controle sobre a rede ou o servidor.

    
por 16.06.2010 / 00:43
0

Veja este , sob a seção 1.6.

    
por 16.06.2010 / 00:39

Tags

Tenho que usar um DNS PTR? Agrupando extensões no Asterisk