¿El tráfico de ssh-socks interceptado revela el número y el tamaño de los objetos HTTP?

Question

¿El tráfico de ssh-socks interceptado revela el número y el tamaño de los objetos HTTP?

#1 de Steffen Ullrich (3 votos)

2

Leí un artículo titulado la red es hostil , en el que se indica lo siguiente:

El análisis del tráfico sigue siendo un problema particular: incluso saber el tamaño de los archivos solicitados por una conexión de navegador protegida por TLS puede filtrar una gran cantidad de información [pdf] sobre los hábitos de navegación del usuario.

En el artículo vinculado, un sitio web visitado puede identificarse debido a las solicitudes subsiguientes de GET después de visitar un sitio web encriptado. El adversario solo ve el tráfico y está en posesión de una base de datos de sitios web y sus solicitudes posteriores (cantidad y tamaño).

¿Este ataque es aplicable al tráfico HTTP que fluye a través de las conexiones ssh-socks5 (con solicitud de DNS a través del túnel)? No estoy seguro de si dicho canal está incluido en los cifrados de tipo SSL o TLS mencionados en el documento.

tls proxy log-analysis

pregunta Sebastian 22.08.2015 - 11:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls proxy log-analysis

Problemas al ejecutar shellcode a través de nop-sled Funciones de Windows del administrador de seguridad

score 3 · Answer 1

Todavía puede ver el patrón de tráfico cuando mira la conexión SSH cifrada, pero no ve el host de destino de las solicitudes. Pero si sabe cuál podría ser el host de destino, aún podría hacer el mismo tipo de análisis de tráfico, al menos si solo tiene algunas conexiones al mismo tiempo.

Para un tipo similar de análisis de control de flujo, pero para SSH, consulte Análisis de tiempo de las pulsaciones de tecla y el tiempo Ataques a SSH . En este ataque, podría reducir el alcance de las posibles contraseñas que un usuario ingresa dentro de una sesión SSH establecida al medir los tiempos entre los paquetes que contienen pulsaciones de teclas. Si bien en este caso podría usar demoras aleatorias de paquetes para interrumpir este análisis, el análisis del tráfico HTTP 1.x es mucho más difícil porque tiene un patrón típico con solicitudes (generalmente pequeñas) seguidas de respuestas (generalmente más grandes), luego la siguiente solicitud y próxima respuesta, etc. Y se pueden ver tanto las instrucciones como el tamaño aproximado de las solicitudes / respuestas cuando se observa el tráfico SSH.