Una persona que conocí en blackhat mencionó que el error de inicio de sesión de SSH se puede ver a nivel de paquete porque el protocolo SSH indicará si el inicio de sesión es un éxito o no.
Creo que el proceso de inicio de sesión se considera como datos normales por el protocolo ssh y, por lo tanto, es transparente al protocolo ssh en sí. No hay ninguna indicación en los paquetes si el inicio de sesión de ssh es exitoso o no.
¿Alguien puede confirmar esto?
Gracias.
Antes de enviar la contraseña, se agrega una capa de cifrado a la conexión.
También la huella digital de cifrado se compara con la última vez que inició sesión correctamente. Si hay un MITM insertando su propia capa de cifrado, se le avisará de la huella digital modificada. (suponiendo que no haya aceptado la huella digital incorrecta por accidente)
Si bien la contraseña y la respuesta del servidor no se pueden ver directamente, es probable que sepa por el tamaño y el tiempo del paquete, y cuánto tiempo transcurrió hasta que se cerró la conexión, si el intento de inicio de sesión fue exitoso. p>
Por ejemplo, esto sería una sola porción de datos con un tamaño predecible.
Invalid username/password, please try again.
Por otro lado, un inicio de sesión exitoso es de varias líneas
Welcome! It's a great day at XYZ server!
Your last login was yesterday at
Y dependiendo de su servidor, puede haber un retraso entre las líneas, que se envía en paquetes TCP separados a medida que se recibe.
You have new mail.
you@xyz:~$
Entonces, sí, puede saber al monitorear el tamaño del paquete / cuenta / sincronización si el inicio de sesión fue exitoso. No puede saber qué contraseña se intentó o exactamente se transfirieron los datos del fajo.
Lea otras preguntas en las etiquetas ssh