Viene intercettato il traffico ssh-socks che rivela il numero e le dimensioni degli oggetti HTTP?

2

Ho letto un articolo intitolato la rete è ostile , in cui è indicato quanto segue:

Traffic analysis remains a particular problem: even knowing the size of the files requested by a TLS-protected browser connection can leak a vast amount of information [pdf] about the user's browsing habits.

Nell'articolo collegato, un sito Web visitato può essere identificato a causa delle successive richieste di GET dopo aver visitato un sito Web crittografato. L'avversario vede solo il traffico ed è in possesso di un database di siti Web e delle loro successive richieste (quantità e dimensioni).

Questo attacco è applicabile al traffico HTTP che scorre attraverso le connessioni ssh-socks5 (con richiesta DNS attraverso il tunnel)? Non sono sicuro che tale canale sia incluso nelle crittografie di tipo SSL o TLS menzionate nel documento.

    
posta Sebastian 22.08.2015 - 11:58
fonte

1 risposta

3

È ancora possibile vedere il modello di traffico quando si guarda la connessione SSH crittografata, ma non si vede l'host di destinazione delle richieste. Ma se sai qual è l'host di destinazione potresti comunque fare lo stesso tipo di analisi del traffico - almeno se hai solo poche connessioni contemporaneamente.

Per un analogo tipo di analisi di controllo del flusso ma per SSH vedi Analisi dei tempi di sequenze di tasti e tempi Attacchi su SSH . In questo attacco è possibile ridurre l'ambito delle possibili password che un utente sta inserendo all'interno di una sessione SSH stabilita misurando i tempi tra i pacchetti che contengono i tasti. Mentre in questo caso on potrebbe usare ritardi di pacchetti casuali per interrompere questa analisi, interrompere l'analisi del traffico HTTP 1.x è molto più difficile perché ha uno schema tipico con (solitamente piccole) richieste seguite da risposte (generalmente più grandi), quindi la richiesta successiva e risposta successiva ecc. E 'possibile vedere sia le direzioni che le dimensioni approssimative delle richieste / risposte quando si guarda al traffico SSH.

    
risposta data 22.08.2015 - 13:52
fonte

Leggi altre domande sui tag