使用wireshark分析ssh口令登录细节
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用wireshark分析ssh口令登录细节相关的知识,希望对你有一定的参考价值。
参考技术A在 《ssh工具,开发者必须有所了解》 这篇文章中,概念性介绍了ssh知识,可对大多数人来说,会使用ssh工具才更有用,比如对我来说,成功登录ssh服务器后,才有动力继续了解其他ssh功能。
ssh登录通常有两种方式,分别是口令验证和密钥对验证,口令登录非常简单,运行 ssh root@localhost,然后输入正确口令后就能成功登录。
可你知道背后的细节吗?这也是我写这篇文章的目的,ssh协议和tls协议一样,都组合了很多密码学算法,用于解决网络安全问题,掌握ssh协议的原理对于理解密码学很有帮助,密码学算法有很多,比如AES对称密钥算法,公开密钥算法(DH密钥协商算法,RSA非对称加密算法),MAC算法,Hash算法,如果你大概了解这些算法,理解ssh协议会相对简单一点,否则可能会比较吃力。
了解ssh协议另外一个好处就是,遇到问题的时候就不会慌乱,也能够更安全的使用ssh。
本文先介绍相对简单的ssh口令登录,在介绍之前,先了解ssh协议的三个子协议:
这三个协议中,最后一个相对复杂,本文主要讲解前二个协议。
ssh口令登录主要分为两个阶段,第一阶段是协商出一个会话密钥,在客户端和服务器端之间构建一条安全的通道。第二个阶段在这条通道上验证客户端登录权限。
ssh服务器默认绑定在22端口,监听客户端的请求,在启动的时候会生成一个密钥对(公钥和私钥),一般是RSA算法密钥对,在第一阶段会将公钥发送给ssh客户端,主要让客户端确认ssh服务器端的身份,除了这个作用,我 目前 没有看到这个密钥对还有其他作用。
为什么说“目前”呢?因为我并没有看 ssh rfc 文档,是通过 wireshark 抓包了解 ssh 协议的,从概念性上 猜测 ssh协议原理。
先上一张图,看看ssh登录产生了那些包,大家可以wireshark抓包,然后过滤出ssh包(不看 tcp 包):
其中红线就是ssh登录的第一阶段,该阶段一般输入 ssh root@localhost 就能产生。
另外蓝色就是ssh登录的第二阶段,输入口令后就会产生这些包。
接下去我们先介绍第一个阶段发生了什么:
1:客户端首先发送一个连接请求(序号4),告诉服务器端它目前支持的ssh版本号。
2:服务器端也响应ssh版本号,双方一般协商出的版本号是 ssh v2
3:客户端初始化连接(序号9),进行密钥交换,告诉客户端其支持的各类算法,如下图:
4:然后服务器端也告诉客户端其支持的各类算法(序号10),最后协商出一致的算法,并发送服务器公开密钥对的公钥。
5:如果第一次ssh登录,ssh客户端会提示用户确认服务器公开密钥对公钥的指纹(即公钥的md5值),当然这个在网络包中是体现不出来的。
如果你第一次ssh登录,会出现下图:
如果你确认该指纹就是你想连接ssh服务器的,那么就会将公钥保存到 ~/.ssh/known_hosts 文件中,下一次你再登录的时候,ssh客户端发现指纹和ssh服务器发送的指纹是一致的,就不会再让你确认了。
指纹非常重要,后面我会再说。
6:客户端接下去就是要发送 DH 算法密钥对的公钥了(序号13),注意这个密钥对和服务器公开密钥对不是一回事
不管是客户端还是服务器端,各自保留自己的 DH 密钥对的私钥,并将自己的 DH 密钥对的公钥发送给对方,这样双方就会协商出最终的会话密钥(用于对称加密)。
DH 算法就不多描述了,有兴趣可以看看我的书《深入浅出HTTPS:从原理到实战》,这个算法非常安全,黑客仅仅通过截获网络和机器也是破解不了的,因为各种的私钥都在内存中,也不会通过网络传输。
具体如下图:
7:服务器发送 DH 算法密钥对的公钥(序号15),双方协商出只有他们才知道的会话密钥。
8:客户端发送一个 New Keys 数据包(序号16),表示双方构建了一个加密通道。
上述就是ssh登录的第一阶段,第二阶段中产生的数据都会用会话密钥进行加密了。
第二阶段相对很简单,就是客户端决定验证方式,如果是口令验证,就是将口令加密发送给服务器,如果服务器确认了,就成功登录,具体如下图:
最后一个问题,这种方式登录安全吗?相对是安全的,因为口令并不是明文传输的。
但这种方式会遇到中间人攻击,还记得那个指纹吗?其实很少人会去确认这个指纹是不是属于“真实ssh服务器”的,一大串数字,还要你手动根据服务器发送的公钥计算指纹,然后再比较,真的很考验人。
如果你不确认,可能真的会有风险,想想看,如果在连接的时候,某个黑客截获了你的数据包,然后发送了他密钥对的公钥,而你没有确认指纹,那么后续所有的ssh数据包都是和黑客在通讯,他就会成功知道服务器口令了。
危险在于,你以为在和“真实ssh服务器”在通信,可实际上是和黑客在通信,有什么好的解决办法吗?如果是口令登录,确实没有,所以后面我会介绍另外一种登录验证方式。
SSH使用密钥登录并禁止口令登录实践
前言
不管是个人的VPS还是企业同意公网訪问的server。假设开放22port的SSHpassword登录验证方式。被众多黑客暴力猜解捅破菊花也可能是常常发生的慘剧。
企业能够通过防火墙来做限制。普通用户也可能借助改动22port和强化弱口令等方式防护,但眼下相对安全和简单的方案则是让SSH使用密钥登录并禁止口令登录。
这是最相对安全的登录管理方式
更新历史
2015年07月07日 - 初稿
阅读原文 - http://wsgzao.github.io/post/ssh/
扩展阅读
- SSH原理与运用 - http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html
- Linode - https://www.linode.com/docs/networking/ssh/use-public-key-authentication-with-ssh
生成PublicKey
建议设置并牢记passphrasepassword短语。以Linux生成为例
Linux:ssh-keygen -t rsa
[私钥 (id_rsa) 与公钥 (id_rsa.pub)]
Windows:SecurCRT/Xshell/PuTTY
[SSH-2 RSA 2048]
#生成SSH密钥对
ssh-keygen -t rsa
Generating public/private rsa key pair.
#建议直接回车使用默认路径
Enter file in which to save the key (/root/.ssh/id_rsa):
#输入password短语(留空则直接回车)
Enter passphrase (empty for no passphrase):
#反复password短语
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
aa:8b:61:13:38:ad:b5:49:ca:51:45:b9:77:e1:97:e1 [email protected]
The key‘s randomart image is:
+--[ RSA 2048]----+
| .o. |
| .. . . |
| . . . o o |
| o. . . o E |
|o.= . S . |
|.*.+ . |
|o.* . |
| . + . |
| . o. |
+-----------------+
复制密钥对
也能够手动在client建立文件夹和authorized_keys,注意改动权限
#复制公钥到无password登录的server上,22port改变能够使用以下的命令
#ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 [email protected]"
ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]192.168.15.241
改动SSH配置文件
#编辑sshd_config文件
vi /etc/ssh/sshd_config
#禁用password验证
PasswordAuthentication no
#启用密钥验证
RSAAuthentication yes
PubkeyAuthentication yes
#指定公钥数据库文件
AuthorsizedKeysFile .ssh/authorized_keys
重新启动SSH服务前建议多保留一个会话以防不測
#RHEL/CentOS系统
service sshd restart
#ubuntu系统
service ssh restart
#debian系统
/etc/init.d/ssh restart
手动添加管理用户
能够在== 后添加用户凝视标识方便管理
echo ‘ssh-rsa XXXX‘ >>/root/.ssh/authorized_keys
# 复查
cat /root/.ssh/authorized_keys
以上是关于使用wireshark分析ssh口令登录细节的主要内容,如果未能解决你的问题,请参考以下文章