Hola gente,
Estaba monitoreando mi puerto SSH con tcpdump y he tenido mucha actividad como se esperaba. Cuando miro el tráfico me sale la imagen de arriba. ¿Qué significa?
Gracias
Hola gente,
Estaba monitoreando mi puerto SSH con tcpdump y he tenido mucha actividad como se esperaba. Cuando miro el tráfico me sale la imagen de arriba. ¿Qué significa?
Gracias
Ese es el intercambio de claves SSH2. El siguiente es un descenso rápido y sucio de SSH.
Cuando se establece el túnel SSH, el cliente y el servidor realizan un intercambio Diffie Hellman (DH). Esto es para establecer un secreto compartido entre el cliente y el servidor para generar las claves de sesión necesarias para el túnel cifrado.
La forma en que SSH hace esto estableciendo primero los algoritmos. Cada lado envía primero su versión SSH (que no veo en su captura por alguna razón), y todas las combinaciones de algoritmos son compatibles. El servidor elige el primero que coincida en ambas listas. Luego, se envían los parámetros DH, el valor hash H (que contiene 7-12 piezas de datos) y la firma de H para garantizar que no se haya manipulado. Es muy probable que estos sean los datos binarios que se ven en la imagen.
Estoy hojeando los detalles, pero esencialmente después de todo lo dicho y hecho, hay un valor K que solo ambos lados pueden generar. Usando el algoritmo de hashing acordado en la ID de sesión, H y K se utilizan para generar las claves de sesión.
TimC tiene razón al ver que los datos en Wireshark le dirán mucho más. Cada una de esas piezas se analizará con etiquetas agradables y fáciles de leer. Mientras se use el puerto SSH predeterminado (22). También encontré que Wireshark a veces no asocia algunos paquetes TCP con la sesión SSH, y esos paquetes no se analizan correctamente. Esto no significa que los datos no alcanzaron su destino; solo significa que Wireshark no pudo interpretar correctamente los datos. Depende de la versión de Wireshark que estés usando.
Aquí hay una introducción básica a las versiones de SSH , con algún enlace adicional.