Elimina rapidamente uma conexão TCP existente

1

Estou trabalhando em um projeto pentesting, e tenho a seguinte configuração: Eu tenho um daemon SSH que está tentando registrar toda a atividade acontecendo em conexões SSH para outro servidor. Estou tentando desativar esse registro e, em particular, fazê-lo de uma maneira que evite ser detectado. Assim, tenho os seguintes requisitos:

  • Eu preciso ser capaz de matar uma conexão TCP existente e, idealmente, com o mínimo possível de dados em buffer enviados. Ou seja, se houver dados de saída em buffer no kernel, seria ideal se esses dados fossem descartados sem serem enviados.
  • Para conseguir isso, é melhor que o comando que eu preciso digitar seja o mais curto possível para que todo o comando possa ser armazenado no aplicativo de registro ou no buffer de TCP do kernel. Dessa forma, se o primeiro ponto de marcador for alcançado, o servidor de log nunca receberá informações sobre o fato de que o log foi desabilitado; ele aparecerá apenas como uma interrupção de rede.

Eu tentei iptables -A OUTPUT -d <ip of logging server> -j DROP , mas isso não funciona - o texto do comando em si consegue ser enviado antes que a regra seja aplicada. Eu também tentei tcpkill , da mesma forma sem sucesso.

    
por joshlf 07.04.2017 / 21:35

0 respostas