Distinguere il traffico SSH e HTTPS

6

Alice è un dipendente di Chris e Chris esegue il monitoraggio del traffico pesante tramite il suo proxy aziendale.

Alice desidera utilizzare un servizio web di Bob preservando la privacy e la riservatezza. Ha il pieno controllo su una macchina miner che è raggiungibile dalla rete aziendale di Chris.

Chris sarà in grado di distinguere il traffico proxy SSH SOCKS sulla porta 443 da un "normale" (insignificante e per lo più ignorato dai sistemi di monitoraggio di Chris) HTTPS sulla stessa porta e sulla stessa coppia IP? Se sì, quanto sono drastiche le differenze rilevabili? Assumi potere arbitrario dei sistemi di monitoraggio.

    
posta ulidtko 16.12.2014 - 11:04
fonte

1 risposta

8

Sì. SSH ha pacchetti di handshake standardizzati e abbastanza distinti, quindi puoi facilmente rilevare un avvio di sessione SSH. Ecco una trascrizione dell'acquisizione di Wireshark di un avvio di sessione SSH:

Encrypted request packet len=41
Encrypted response packet len=39
Client: Key Exchange Init
Server: Key Exchange Init
Client: Diffie-Hellman Key Exchange Init
Server: New Keys
Client: New Keys
Encrypted request packet len=48
Encrypted response packet len=48

Come puoi vedere, anche Wireshark può rilevarli facilmente. Le soluzioni DPI commerciali dovrebbero anche essere in grado di rilevare il tipo di traffico che entra nel tunnel criptato osservando i modelli di traffico, cioè possono capire che stai instradando il traffico HTTP e non solo usando la shell remota.

Per evitare il rilevamento, puoi inserire il traffico SSH in un tunnel steganografico come obfsproxy , ma in questo caso ti stai impegnando in una corsa agli steganografici con l'ispettore dei pacchetti e non hai modo di sapere se sei rilevato o meno a meno che tu non abbia accesso alla console di ispezione pacchetto.

    
risposta data 16.12.2014 - 11:51
fonte

Leggi altre domande sui tag