C'era una persona che ho incontrato a Blackhat, in cui si diceva che l'errore di accesso SSH può essere visto a livello di pacchetto perché il protocollo SSH indicherà se l'accesso è un successo o un fallimento.
Penso che il processo di login sia considerato come normale dai dati del protocollo ssh e quindi è trasparente al protocollo ssh stesso. Non c'è alcuna indicazione nei pacchetti se l'accesso ssh è riuscito o meno.
Qualcuno può confermarlo?
Grazie.
Prima di inviare la password, viene aggiunto un livello di crittografia alla connessione.
Anche l'impronta digitale della crittografia viene confrontata con l'ultima volta che hai effettuato l'accesso con successo. Se è presente un MITM che inserisce il proprio livello di crittografia, si verrà avvisati dell'impronta digitale modificata. (supponendo che tu non abbia già accettato per sbaglio l'impronta digitale errata)
Mentre la password e la risposta dal server non possono essere viste direttamente, è probabile che si possa dire dalla dimensione e dalla tempistica del pacchetto, e per quanto tempo fino alla chiusura della connessione, se il tentativo di accesso ha avuto successo.
Ad esempio, questo sarebbe un singolo pezzo di dati con una dimensione prevedibile.
Invalid username/password, please try again.
D'altra parte, un accesso riuscito è di diverse linee
Welcome! It's a great day at XYZ server!
Your last login was yesterday at
E a seconda del server, potrebbe esserci un ritardo tra le righe, che viene inviato in pacchetti TCP separati come avviene in.
You have new mail.
you@xyz:~$
Quindi sì, lo puoi sapere monitorando la dimensione / conteggio / tempistica del pacchetto, indipendentemente dal fatto che l'accesso abbia avuto successo. Non è possibile stabilire quale sia stata tentata la password o che siano stati trasferiti esattamente i dati del batuffolo.
Leggi altre domande sui tag ssh