Monitora il traffico SSH

0

Ciao gente,

Stavo monitorando la mia porta SSH con tcpdump e ho avuto un sacco di attività come previsto. Quando guardo il traffico ottengo l'immagine sopra. Che cosa significa?

Grazie

    
posta Brian Merrill 28.01.2015 - 11:33
fonte

2 risposte

3

Questo è lo scambio di chiavi SSH2. Quello che segue è un run down rapido e sporco di SSH.

Quando viene stabilito il tunnel SSH, client e server eseguono uno scambio Diffie Hellman (DH). Ciò serve a stabilire un segreto condiviso tra client e server per generare le chiavi di sessione necessarie per il tunnel crittografato.

Il modo in cui SSH esegue questa operazione prima stabilendo gli algoritmi. Ciascuna parte invia per prima cosa la propria versione SSH (che non vedo per alcuni motivi nell'acquisizione) e tutte le combinazioni di algoritmi supportate ciascuna. Il server sceglie il primo che corrisponde a entrambi gli elenchi. Quindi vengono inviati i parametri DH, il valore hash H (che blocca 7-12 pezzi di dati) e la firma di H per assicurarsi che non sia stata manomessa. Molto probabilmente sono i dati binari che vedi nell'immagine.

Sto sfogliando i dettagli, ma sostanzialmente dopo tutto questo è detto e fatto c'è un valore K che solo entrambe le parti possono generare. Usando qualsiasi algoritmo di hash concordato sull'ID di sessione, H e K sono tutti utilizzati per generare le chiavi di sessione.

TimC è corretto che guardare i dati in Wireshark ti dirà molto di più. Ognuno di questi pezzi sarà analizzato con belle etichette facili da leggere. Finché viene utilizzata la porta SSH predefinita (22). Ho anche scoperto che Wireshark a volte non associa alcuni pacchetti TCP alla sessione SSH e questi pacchetti non vengono analizzati correttamente. Questo non significa che i dati non abbiano raggiunto la sua destinazione; significa semplicemente che Wireshark non è in grado di interpretare correttamente i dati. Dipende dalla versione di Wireshark che stai utilizzando.

Ecco una introduzione di base alle versioni SSH , con alcuni collegamenti aggiuntivi.

    
risposta data 28.01.2015 - 13:25
fonte
0

Sembra che potrebbero essere dati binari, o potrebbero anche essere i dati crittografati che vengono inviati attraverso.

Se dovessi guardarlo in Wireshark, sarebbe più ovvio in quanto ti mostrerà ogni parte del frame della rete e sarai in grado di vedere dove si trova quel pacchetto nel pacchetto.

    
risposta data 28.01.2015 - 11:40
fonte

Leggi altre domande sui tag