Distinguir el tráfico SSH y HTTPS

6

Alice es una empleada de Chris, y Chris realiza un seguimiento intenso del tráfico a través del proxy de su compañía.

Alice desea utilizar un servicio web de Bob mientras preserva la privacidad y la confidencialidad. Ella tiene control total sobre una máquina miner a la que se puede acceder desde la red de la compañía de Chris.

¿Chris podrá distinguir el tráfico de proxy SSH SOCKS en el puerto 443 de un HTTPS "habitual" (sin complicaciones y en su mayoría ignorado por los sistemas de monitoreo de Chris) en el mismo puerto y par de IP? Si es así, ¿qué tan drásticas son las diferencias detectables? Asume el poder arbitrario de los sistemas de monitoreo.

    
pregunta ulidtko 16.12.2014 - 11:04
fuente

1 respuesta

8

Sí. SSH tiene paquetes estandarizados y bastante distintos de saludo, por lo que puede detectar muy fácilmente el inicio de una sesión SSH. Aquí hay una transcripción de la captura de Wireshark de un inicio de sesión SSH:

Encrypted request packet len=41
Encrypted response packet len=39
Client: Key Exchange Init
Server: Key Exchange Init
Client: Diffie-Hellman Key Exchange Init
Server: New Keys
Client: New Keys
Encrypted request packet len=48
Encrypted response packet len=48

Como puede ver, incluso Wireshark puede detectarlos con facilidad. Las soluciones comerciales de DPI también deberían poder detectar el tipo de tráfico que se dirige en el túnel cifrado al observar los patrones de tráfico, es decir, pueden comprender que se está canalizando el tráfico HTTP y no solo usando el shell remoto.

Para evitar la detección, puede envolver el tráfico SSH en un túnel esteganográfico como obfsproxy , pero en este caso, está participando en una carrera de armas esteganográficas con el inspector de paquetes y no tiene forma de saber si lo detectan o no, a menos que tenga acceso a la consola del inspector de paquetes.

    
respondido por el Shnatsel 16.12.2014 - 11:51
fuente

Lea otras preguntas en las etiquetas