中间人攻击使得SSH 连接不再安全。Alexia在参加一个次国际安全会议中,发送邮件时发现交换公钥出现导入错误,但是警觉的Alexia并没有在HIDS系统和SSH的连接日志中发现任何可疑之处,但是她用抓包工具分析发现网络中存在大量广播包,这和交换公钥出错有联系吗?她的网络到底遭到了什么攻击?下面的案例出自《Unix/Linux网络日志分析与流量监控》一书的案例集。
难度系数:
故事人物:Alexia(安全顾问)
事件背景
Alexia在一个国内知名的IT外包公司做安全顾问,每天会接触各种各样的人,但她更喜欢和代码打交道,为了谋生而写代码,为了生活的更有质量,不得不拼命工作,由于她酷爱编程,外人看似复杂的编程工作,在她眼里变得非常有趣。
某日,Alexia接到ACNS(国际上著名的网络安全组织)发给她的参会邀请,这也是她第二次参加这样高水平盛大的学术会议了,很快她就收拾好行囊准备参加会议。去了,参加会议的专家,不久她纷纷来到了参会现场,与会者分散地坐在会场。大家用香槟相互庆祝着共同研发的程序。在会议室大家相互交流心得,展示着自个的研究成果。
当会议结束后,大家辞行时,认识的朋友间互相交换了GnuPG公开密钥的指纹信息,以便以后通过网络识别每个人的真实身份。他们有一个完整的规范协议,任何工作开始之前必须旨先进行一次复杂的密码“握手”联络,这一协议从她把自己的GunPG公钥发送给开发组领导开始:
以下是她操作过程中的一段指令:
$gpg --armor --export yangfang@acnsnetwork.org | gpg –clearsign > yangfang.gpg.asc
/*加密过程,其中 --armor 是将输出内容经 ASCII封装*/
gpg: Warning: using insecure memory!
Warning: using insecure memory!
gpg: please see http://www.gnupg.org/faq.html for more information
please see http://www.gnupg.org/faq.html for more information
You need a passphrase to unlock the secret key for
user: “Yang fang <yangfang@acnsnetwork.org>"
1024-bit DSA key, ID 30C4BB2G, created 2010-07-22
Enter passphrase:
这时,Jack输入口令,然后程序继续执行着。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.11 (OpenBSD)
...
- -----END PGP PUBLIC KEY BLOCK-----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (OpenBSD)
ID7DBQE9WeBmpSSSWCnEqi8Ravu3AJ9cREGQCMcXEEPWQYo5JyRIBnmJACeJrOc
w70hsmoiwNZvj5z51sxr/4Uz=Jqxo
-----END PGP SIGNATURE-----
$mail –s “My pgp key, signed” blender@node.xs4none.org <yangfang.gpg.asc
注意:这里需了解一下MD5和sha1SHA1的区别,MD5与SHA1都是Hash算法,MD5输出是128位的,SHA1输出是160位的,MD5比SHA1快,SHA1比MD5强度高。
随后,她收到了应答,这是经过加密和签名的ASCII码块,它可以用下面的命令行来解密和存储:
有兴趣的读者可以阅读《Unix/Linux网络日志分析与流量监控》第12章内容。
本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/1751224,如需转载请自行联系原作者
