2

Я знаю, что информация о маршрутизации всегда отправляется в открытом виде (упрощенное, но терпите меня), поэтому в сценарии, где существует туннель SSH между клиентом и сервером, использующим нестандартные порты, и туннель зашифрован с использованием безопасного обмена ключами с общим секретом, можно ли различить, что сам трафик SSH? (Например: информация заголовка уровня 3 в открытом виде?)

Кроме того, есть ли другие способы узнать, что этот трафик является SSH?

Благодарю.

TL; DR: Как вы можете определить, что SSH-пакет - это SSH?

|источник

3 ответа3

1

Сам трафик шифруется с помощью SSL, поэтому трудно увидеть разницу по сравнению с другими протоколами SSL (HTTPS. OpenVPN и т.д.).

Но, если злоумышленник захватывает все сообщение, он также получает рукопожатие, из которого он может ясно видеть, что это SSH. Он также видит клиентов ssh и хосты IP (конечные точки туннеля) и используемые ими порты. Он не может видеть движение через туннель.

SSH рукопожатие

|источник
0

Насколько я понимаю, после установки туннеля трафик над уровнем 4 будет бесполезным. Поэтому, если вы используете нестандартный порт, было бы трудно, если не невозможно, различить зашифрованный трафик. Т.е. вы не сможете различить SSH, SSL или другие методы шифрования. Я рад быть исправленным, если это не так.

|источник
0

Если у злоумышленника есть доступ ко всему сеансу TCP, у него будет достаточно подсказок, чтобы знать, что транспортным протоколом является ssh. Попробуйте подключиться к порту 22 на сервере, который, как вы знаете, запускает ssh на стандартном порту, чтобы узнать как.

Если злоумышленник выполнит анализ трафика, он или она вполне сможет отличить трафик ssh-терминала от трафика переадресации ssh-порта (хотя и не сможет определить содержимое напрямую). По сути, ввод текста не выглядит как загрузка HTML, загрузка или передача данных с любой скоростью / с небольшой задержкой.

Если злоумышленник имеет доступ ко всему сетевому трафику для одной из конечных точек, он или она вполне может определить, какая конкретная часть трафика, проходящего через эту конечную точку, также прошла через туннель ... но вы уже потерял много к этому моменту; не много личной жизни, чтобы сохранить.

Хотя на самом деле не так много информации в открытом виде. Я сомневаюсь, что здесь есть серьезный риск, но, не зная ваших проблем, трудно решить их.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .