Câu hỏi Các tiêu đề giao thức SSH có được gửi đi rõ ràng qua kết nối máy khách-máy chủ không?


Tôi biết thông tin định tuyến luôn được gửi đi rõ ràng (quá minh bạch, nhưng chịu đựng với tôi) trong kịch bản có đường hầm SSH giữa máy khách và máy chủ sử dụng cổng không chuẩn, và đường hầm được mã hóa bằng trao đổi khóa bảo mật với bí mật được chia sẻ, có thể nhận ra rằng lưu lượng truy cập là SSH? (EG: Thông tin tiêu đề của lớp 3 có rõ ràng không?)

Ngoài ra, có những cách khác để biết rằng lưu lượng truy cập này là SSH?

Cảm ơn.

TL: DR: Làm cách nào để xác định gói SSH là SSH?


2
2017-12-04 06:31


gốc




Các câu trả lời:


Bản thân lưu lượng truy cập được mã hóa bởi SSL, do đó khó có thể thấy sự khác biệt so với các giao thức SSL khác (HTTPS. OpenVPN, v.v.).

Nhưng, nếu kẻ tấn công nắm bắt toàn bộ thông tin liên lạc, nó cũng nhận được cái bắt tay, từ đó anh ta có thể thấy rõ ràng đó là SSH. Anh ta cũng thấy các máy khách ssh và host IP (các điểm cuối đường hầm) và các cổng được chúng sử dụng. Anh ta không thể nhìn thấy lưu thông qua đường hầm.

SSH handshake


1
2017-12-04 12:50



Ứng dụng nào là ảnh chụp màn hình của? - gal
Đó là wireshark (wireshark.org) - nó có thể nắm bắt và / hoặc phân tích lưu lượng truy cập mạng - mulaz


Sự hiểu biết của tôi là khi đường hầm được thiết lập, lưu lượng trên lớp 4 sẽ bị vô nghĩa. Vì vậy, nếu bạn đang ở trên một cổng không chuẩn, nó sẽ là khó khăn, nếu không phải là không thể phân biệt giữa bất kỳ lưu lượng truy cập được mã hóa. I E. bạn sẽ không thể nói giữa SSH, SSL hoặc các phương thức mã hóa khác. Tôi vui mừng được sửa chữa nếu đó là sai mặc dù.


0
2017-12-04 06:51





Nếu kẻ tấn công có quyền truy cập vào toàn bộ phiên TCP, họ sẽ có đủ manh mối để biết rằng giao thức truyền tải là ssh. Hãy thử telnet đến cổng 22 trên một máy chủ bạn biết đang chạy ssh trên một cổng tiêu chuẩn để xem như thế nào.

Nếu kẻ tấn công phân tích lưu lượng truy cập, anh ta hoặc cô ta sẽ hoàn toàn có thể phân biệt lưu lượng truy cập thiết bị đầu cuối ssh từ lưu lượng chuyển tiếp cổng ssh (mặc dù không thể xác định nội dung trực tiếp). Về cơ bản, nhập không giống như tải xuống HTML, tải xuống hoặc truyền dữ liệu ở bất kỳ tốc độ nào / với độ trễ nhỏ.

Nếu kẻ tấn công có quyền truy cập vào tất cả lưu lượng mạng cho một trong các điểm cuối, người đó sẽ có thể xác định phần lưu lượng truy cập cụ thể nào đi qua điểm cuối đó cũng đi qua đường hầm ... nhưng bạn đã mất rất nhiều vào thời điểm đó; không có nhiều sự riêng tư để bảo tồn.

Mặc dù không có nhiều thông tin rõ ràng. Tôi nghi ngờ có một nguy cơ nghiêm trọng ở đây, nhưng không biết mối quan tâm của bạn, thật khó để giải quyết chúng.


0
2017-12-04 07:22