私は侵入テストプロジェクトを進めており、次のように設定されています。他のサーバーへのSSH接続で発生したすべてのアクティビティを記録しようとするSSHデーモンがあります。特に検出を避けるために、このロギングを無効にしたいと思います。したがって、次の要件があります。
- 既存のTCP接続を終了できる必要があり、バッファリングされたデータをできるだけ少なく送信することをお勧めします。つまり、アウトバウンドデータがカーネルにバッファリングされている場合、そのデータは転送されずに削除されるのが理想的です。
- これを達成するために入力する必要があるコマンドはできるだけ短くして、コマンド全体をロギングアプリケーションまたはカーネルTCPバッファにバッファリングできるようにすることをお勧めします。これにより、最初の重要な項目が実装されると、ロギングサーバーはロギングが無効になっているという情報をまったく受け取らず、単にネットワークの中断としてマークされます。
私はそれを試しましたが、iptables -A OUTPUT -d <ip of logging server> -j DROP
問題は解決されませんでした。ルールが実行される前に、コマンド自体のテキストが送信されるように管理されます。私も試してみましたが、tcpkill
役に立ちませんでした。