SSH流量分析

于 2024-07-18 11:59:14 发布
阅读量813 收藏 19
点赞数 18
文章标签: web安全 入侵检测 流量分析 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30464257/article/details/140519272
版权

原理

总来说:ssh连接大致是以下四个流程

1、tcp三次握手
2、客户端和服务端进行版本详细,加密算法、公钥、的相互交换确认
3、服务端发送新的密钥new keys 交换新的密钥,客户端使用该new key发送空字符串表示没问题
4、进行用户密码登入、以及通信交流,数据被封装在Encrypted Packet进行传输

  1. 前三次是TCP三次握手

  1. 客户端发送版本信息给服务器:Protocol: SSH-2.0-OpenSSH_for_Windows_7.7

  1. 服务器发送版本信息给客户端:Protocol: SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.6

  1. 客户端发送支持加密的加密算法

  1. 这里描述了客户端的秘钥初始化,长度为1386

Key Exchange (method:curve25519-sha256):描述了SSH协议中的密钥交换方法,这里使用的是curve25519-sha256

kex_algorithms: 包含了客户端和服务器之间支持的密钥交换算法的列表,这些算法用于在SSH连接的初始阶段协商密钥交换算法,curve25519-sha256就包含在其中

server_host_key_algorithms :表示服务器主机密钥算法的数量

server_host_key_algorithms string:服务器主机密钥算法的列表

encryption_algorithms_client_to_server string:包含了客户端到服务器的加密算法的列表

encryption_algorithms_server_to_client string: 包含了服务器到客户端的加密算法的列表

mac_algorithms_client_to_server string:包含了客户端到服务器的消息认证码算法的列表。这些算法用于验证数据的完整性和防止数据篡改

mac_algorithms_server_to_client string: 包含了服务器到客户端的消息认证码算法的列表。这些算法用于验证数据的完整性和防止数据篡改

compression_algorithms_server_to_client string: 包含了服务器到客户端的压缩算法的列表。在这个例子中,列表中只有一个值"none",表示不使用任何压缩算法。

  1. 这里描述了服务端的秘钥初始化,长度为1186

字段跟上面一样

  1. 客户端发送临时公钥,长度:114

ECDH client's ephemeral public key length: 客户端的临时公钥长度为32字节。

ECDH client's ephemeral public key (Q_C): 客户端的临时公钥为90513e71fdb978b2cef939b65e96e8b6cb18115179136b2a2f0918baf2120d10,用于与服务器进行密钥交换。

  1. 与上面类似,服务器发送公钥,进行公钥交换

Packet Length: 260: 表示整个数据包的长度为260字节。

Padding Length: 10: 表示填充字段的长度为10字节。

Key Exchange (method:curve25519-sha256): 表示使用curve25519-sha256算法进行密钥交换。

Message Code: Elliptic Curve Diffie-Hellman Key Exchange Reply (31): 表示这是一个椭圆曲线Diffie- Hellman密钥交换的回复消息。

KEX host key (type: ecdsa-sha2-nistp256): 表示使用ecdsa-sha2-nistp256算法进行主机密钥交换。

ECDH server's ephemeral public key length: 32: 表示服务器的临时公钥长度为32字节。

ECDH server's ephemeral public key (Q_S):

a04932d57ee031204f335a4521f303a378c4db6d3813b3490db5ad01532dad5c: 表示服务器的临时公

钥的具体数值。

KEX H signature length: 100: 表示KEX H签名的长度为100字节。

KEX H signature:

0000001365636473612d736861322d6e697374703235360000004900000020093be4329d…: 表示KEX H签名的具体数值。

Padding String: 00000000000000000000: 表示填充字段的具体数值。

服务器会回复一个 Message Code: New Keys (21) 表示确认秘钥

客户端用该秘钥发送空字符串表示确认

  1. 用户输入的账号密码在Encrypted Packet字段中,发送给服务器,后续的数据传输以及回显也在这个字段

Packet Length (encrypted): e3518438:表示加密后的数据包长度为e3518438,这是一个十六进制数。

Encrypted Packet: 63c74dba790639324c201a37c066205b5aac5e7c0c0b5756:表示加密后的数据包内 容,这是一个十六进制数。

MAC: 233043a44882f0d76368c6f5e9323b18:表示消息认证码,用于验证数据包的完整性和真实性。

SSH流量是加密的,所以在内容上是不好区分是否是登入成功还是登入失败

ssh爆破特征分析

这是登入失败的数据包

服务端返回 Server: Encrypted packet (len=44)、Server: Encrypted packet (len=52)

客户端请求 Client: Encrypted packet (len=44)、Client: Encrypted packet (len=60)

再输错一次密码的数据包

Client: Encrypted packet (len=148)

Server: Encrypted packet (len=52)

输入正确的账号密码发现 Encrypted packet 的长度没有52

因此:登入失败的数据包长度特征为52

可乐'
关注
  • 18
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSH流量分析工具Network-Parser安装
ShenZ的博客
09-02 1083
工具地址:https://github.com/fox-it/OpenSSH-Network-Parser 1. git下载项目 #apt install git git clone https://github.com/fox-it/OpenSSH-Network-Parser.git cd OpenSSH-Network-Parser sudo python setup.py build sudo python setup.py install 这里会报错 error: Could not f.
SSH协议分析
08-19
议能够实现安全的网络远程登录功能,是远程服务配置管理的有力工具,文章论述SSH的基本原理 和实现方法,并结合开源软件OpenSSH,采用虚拟机方式验证SSH技术的应用环境。
tcpdump分析ssh连接失败案例
最新发布
完颜振江
02-22 430
TCPdump 是一种网络抓包工具,可以用来抓取和分析网络数据包。当 SSH 连接失败时,可以使用 TCPdump 抓取 SSH 连接数据包,以分析 SSH 连接失败的原因。从上面的数据包可以看到,客户端发送了一个 SYN 包,服务器端返回了一个 RST 包,这表明 SSH 服务器未启动或未监听在指定的端口上,因此导致 SSH 连接失败。其中,eth0 是网卡名称,192.168.1.100 是 SSH 服务器 IP 地址,22 是 SSH 服务器端口号,10 是抓取数据包的数量。
网络安全CTF流量分析-入门5-SSH登录流量和Linux基本操作流量
m0_51198141的博客
11-23 269
这道题还是比较简单的,只要熟悉基本的Linux命令和得到相应的结果就能根据题目找到答案,重点在于打开TCP流量观察,和对Linux系统的熟练度。欢迎师傅们交流沟通
ssh流量分发
东城绝神
07-12 284
ssh流量分发
SSHSSH流程与wireshark抓包分析
m0_55368674的博客
12-17 3562
SSH流程与Wireshark抓包分析
论文研究-基于深度学习的SSH流量精细化识别 .pdf
08-14
基于深度学习的SSH流量精细化识别,和留勇,时忆杰,随着互联网技术在近年来迅猛发展,网络用户量也在不断攀升,导致网络流量日益庞大。网络流量和网络中各种应用协议数据报文的高速
记录一次ssh日志分析和apache日志分析
05-25
### SSH与Apache日志分析详解 #### 一、概述 在运维工作中,日志分析是一项重要的任务,通过分析系统产生的各种日志文件可以帮助我们更好地理解系统的运行状况,及时发现潜在的安全威胁并采取措施应对。本文将详细...
SSH完整资源代码
04-07
SSH提供端口转发功能,可以将本地端口上的流量通过SSH隧道转发到远程服务器,实现安全的访问和代理,例如SSH Tunneling。 7. **X11转发** SSH还可以实现X11转发,即通过SSH安全地在远程主机上启动图形应用程序,...
sshclient一款实用的后台抓包工具
02-19
然而,在这个特定的情况下,由于提及的是SSHClient,我们可以推测这是一个专门针对SSH连接的抓包工具,可能用于监控和分析SSH会话中的数据流,这对于调试、安全审计或性能优化非常有用。 标签“ssh”进一步确认了这...
SSH综合应用
12-28
例如,`asm-3.2.jar`可能是ASM库的组件,这是一个Java字节码操作和分析框架,它可能被SSH相关项目用来解析和生成类文件,以实现动态代理或代码注入等功能。而`SSHDemo`可能是一个包含SSH服务器端和客户端示例代码的...
Telnet和SSH数据包分析和服务器搭建
yangfan695695的博客
04-11 963
1.实验内容1、分析给定的Telnet数据包和SSH数据包,进一步熟悉Telnet和SSH的工作流程;2、在Linux操作系统中搭建Telnet服务器和SSH服务器;在Windows操作系统中利用自带的Telnet客户端和下载安装的SecureCRT分别连接所搭建的服务器,捕获连接数据包;学习利用SecureCRT远程控制Linux操作系统。2. Telnet数据包分析首先是建立TCP连接第一个T
绘制ssh流量样本报文长度与时间序列
围城
04-14 399
2017/04/14 写了一个简单的脚本来看看SSH流量的报文长度序列和时间 结果分析在后面。 241 /home/Traffic/MessLength/ #! /usr/bin/python #coding:utf-8 #Auther:VChao #2017/04/14 #Version 2 #This script is designed for getting the pcap messa...
SSH协议解析及wireshark抓包分析
热门推荐
chen1415886044的博客
07-11 2万+
ssh中文名称叫安全外壳协议,是一种加密的网络传输协议。SSH 在 TCP 和 UDP 中都被分配了端口 22。 但是,由于需要可靠的通信、正确的数据包排序等,该协议主要在 TCP 上运行。 为什么需要SSHSSH 和 telnet 之间的主要区别在于 SSH 提供完全加密和经过身份验证的会话。而telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。单纯提供telnet服务容易招致DoS、主机IP地址欺骗、路由欺骗等。所以在远程登陆上SSH替代telnet,提供更安全
安全通信协议SSH应用与分析
qq_45768092的博客
10-05 315
安全通信协议SSH应用与分析 本实验主要介绍了安全通信协议SSH应用与分析,通过本实验的学习,你能够了解SSH服务器的配置,理解SSH服务和Telnet服务的区别。 实验简介 实验所属系列:安全协议应用与分析 实验对象:本科/专科信息安全专业 相关课程及专业:信息网络安全概论、网络攻击与防御技术、计算机网络 实验时数(学分):2学时 实验类别:实践实验类 预备知识 1.Telnet Telnet协议是TCP/IP协议族的其中之一,是Internet远端登录服务的标准协议和主要方式,常用于网页服务器的远端控制
ssh实现流量转发
zcfeng
01-30 522
ssh流量转发
SSH协议分析:理解“Send Packet: Type 30”及SSH登录流程引言
十年运维开发经验的王义杰在此分享自己的知识和经验
09-20 316
遇到这样的错误通常意味着在SSH密钥交换过程中有问题。通过一系列的诊断和解决步骤,大多数情况下都能成功解决这个问题。希望这篇文章能帮助你更好地理解这个错误,并提供有效的解决方案。如有其他问题或疑问,欢迎留言,我们将尽力为你提供更多的帮助和信息。
SSH常见问题分析
u013706100的专栏
02-19 225
Hibernate工作原理及为什么要用? 原理:  1.读取并解析配置文件  2.读取并解析映射信息,创建sessionFactory  3.打开Sesssion  4.创建事务Transation  5.持久化操作  6.提交事务  7.关闭Session  8.关闭SesstionFactory  为什么要用:  1. 对JDBC访问数据库的代码做了封装,大大简化了数据访
esxi ssh 抓包
07-14
在 ESXi 上进行 SSH 抓包可以帮助您分析网络流量和故障排除。以下是一些步骤来进行 SSH 抓包: 1. 首先,确保已启用 ESXi 主机的 SSH 服务。您可以通过 vSphere 客户端或直接连接到 ESXi 主机的控制台来启用 SSH。 2. 使用 SSH 客户端(例如 PuTTY)连接到 ESXi 主机的 IP 地址或主机名。 3. 在 SSH 客户端中,使用您的 ESXi 主机的管理员凭据登录。 4. 一旦登录成功,您可以使用以下命令来进行抓包: ``` pktcap-uw --switchport=<虚拟交换机名称> --dir=<方向> --stage=<阶段> --outfile=<输出文件路径> ``` - `<虚拟交换机名称>`: 要抓取流量的虚拟交换机名称。 - `<方向>`: 可以是 "in"(入站)或 "out"(出站),用于指定抓取流量的方向。 - `<阶段>`: 可以是 "uplink"(上行)或 "virtualWire"(虚拟线),用于指定抓取流量的阶段。 - `<输出文件路径>`: 用于保存抓包数据的文件路径。 例如,要抓取名为 "vSwitch0" 的虚拟交换机的入站流量,并将结果保存到 "/tmp/capture.pcap" 文件中,可以使用以下命令: ``` pktcap-uw --switchport=vSwitch0 --dir=in --stage=uplink --outfile=/tmp/capture.pcap ``` 5. 抓包过程中,您可以根据需要执行相关操作。抓包数据将保存到指定的文件路径中。 6. 当需要停止抓包时,可以按 Ctrl + C 组合键来中断抓包进程。 请注意,进行抓包可能会对系统性能产生一些影响。因此,在生产环境中进行抓包时,请确保谨慎操作并在必要时限制抓包的时间范围。另外,抓包文件可能会占用较大的磁盘空间,因此在完成分析之后,请及时清理不再需要的抓包文件。 希望这些信息对您有所帮助!如果您有更多问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值