SSH: Os sniffers podem ver para onde o tráfego está sendo direcionado?

6

Se eu configurar um túnel SSH para um servidor remoto, um homem no meio pode ver o endereço IP desse servidor?

Se aumentarmos o nível, se o FBI estiver rastreando você (AFAIK, não estou sendo rastreado), eles podem ver para onde seu tráfego está sendo encaminhado se estiverem monitorando você no nível do provedor?

Estou perguntando porque se o FBI me rastreasse, seria útil saber se um túnel SSH seria suficiente. Se conseguissem encontrar o servidor, poderiam facilmente monitorar o tráfego não criptografado do servidor na Internet.

Obrigado.

    
por jonescb 11.12.2009 / 06:26

3 respostas

8

Depende de como o túnel SSH é configurado, mas, de modo geral, existem maneiras de rastrear as coisas. Vamos falar sobre o cenário de alto nível.

Quando eu faço uma conexão SSH com um servidor, o conteúdo da minha conversa SSH com esse servidor é seguro - eles são criptografados, então você precisa interromper o SSH para saber o que estamos dizendo. No entanto , os pacotes IP que transportam essa conversa não podem ser criptografados, portanto, se você observar um pacote IP nessa conversa, saberá onde estou (endereço de origem IP) e onde o servidor SSH é (endereço de destino IP).

Em um túnel SSH , a conversa que estou tendo com o servidor é outra conversa TCP / IP para algum outro destino remoto . Então, dentro do túnel, essa segunda conexão de rede é criptografada, mas uma vez que chega ao outro lado do túnel, é o tráfego de internet não criptografado.

Agora. Se você encontrar a segunda conversa em branco, tudo o que você verá é o destino final da conversa (endereço de destino IP) e o servidor SSH (endereço de origem IP). Não há muito nesses pacotes (considerando apenas os cabeçalhos TCP / IP) para diferenciá-los de algum outro tráfego de Internet que foi criado na máquina do servidor SSH; Eu não acredito que exista algo específico nos pacotes que indique que o SSH tenha algo a ver com isso.

Isso não significa que não possa ser conectado de volta a mim - apenas que você não poderia fazer isso apenas examinando os cabeçalhos TCP / IP. Por exemplo, a inspeção profunda de pacotes (olhando para a carga de dados além dos cabeçalhos de pacotes) certamente poderia me identificar se eu estivesse usando o túnel para acessar minha conta do Gmail sem SSL. Como outro exemplo, alguém que pode fazer o root do servidor SSH que hospeda o meu túnel pode descobrir em qual porta o túnel está operando, e então eles podem me rastrear pelos cabeçalhos TCP / IP.

Portanto, não, o tunelamento SSH por si só não será suficiente para ocultar suas pegadas eletrônicas de um determinado rastreador.

    
por 11.12.2009 / 07:07
3

Inicialmente, o pacote conterá o próximo destino MAC na rota para o destino final e o IP do destino final (na verdade, diremos final, já que parece melhor). Como o pacote é construído, isso não pode ser alterado. Mesmo que os dados sejam criptografados, você não pode criptografar o destino, pois cada nó correspondente precisa saber para onde rotear os pacotes.

Como você pode ver em wireshark:

O MAC de destino é o do próximo salto (meu roteador) e o IP de destino é o do Google.

Nota:

Se a conexão com o ip de destino (por exemplo, o ip do Google) passar pelo túnel SSH, somente o endereço IP do túnel SSH pode ser visto no pacote NÃO no endereço IP do Google.

    
por 11.12.2009 / 06:33
0

Se você estiver sugerindo que eles podem ler seu tráfego lendo o "tráfego não criptografado do servidor de destino na Internet", será necessário perceber que a criptografia ocorre nos dois sentidos.

Mas sim, um homem no meio pode ver o endereço IP do servidor, porque senão não haveria maneira de os seus pacotes serem roteados para esse servidor. O que você deseja é um serviço de proxy anônimo no meio, se você precisar ofuscar os sistemas em cada extremidade, e não apenas o tráfego em si.

    
por 11.12.2009 / 06:30