Маршрутизатор подслушивает по туннелю SSH?

Question

Маршрутизатор подслушивает по туннелю SSH?

Так что я нахожусь в общедоступной сети WiFi, которая блокирует такие сайты, как YouTube, чтобы сохранить пропускную способность. Я предполагаю, что маршрутизатор отслеживает весь трафик и отклоняет все запросы, отправленные на сайты из своего черного списка. Чтобы обойти это, я попытался использовать туннель SSH, чтобы у меня было зашифрованное соединение с моим удаленным сервером, и веб-запросы были сделаны с удаленного сервера. Поэтому маршрутизатор, к которому я подключен, не должен знать, какие пакеты я отправляю.

Я пробовал этот метод раньше в других сетях, которые фильтровали трафик на такие сайты, как YouTube, и он работал отлично. каким-то образом этот маршрутизатор все еще может блокировать сайты. Я проверил, чтобы убедиться, что мой трафик действительно проходит через удаленный сервер, проверив IP-адрес, поэтому я знаю, что я не просто испортил настройки или забыл указать браузеру правильный порт. Я попытался перенаправить трафик через два отдельных сервера, один из которых использует аутентификацию по паролю, а другой - только ключи, и трафик фильтруется в обоих случаях.

Если пакеты, которые я отправляю на удаленный сервер и с него, зашифрованы, как маршрутизатор может узнать, что я пытаюсь получить доступ к YouTube? Маршрутизатор атакует меня посредником? Я проверил отпечаток пальца сервера, и он был таким же, как обычно, но, возможно, маршрутизатор может подделать отпечаток пальца?

Я просто хочу понять, как маршрутизатор делает это.

4

ssh man-in-the-middle

Источник

eyuelt 26 мар '14 в 12:07

2 ответа

Решение

Точно так же, как @user2675345 говорит, вы, вероятно, должны проверить настройки прокси-сервера DNS, если у вашего браузера есть.

Выполните следующие действия, чтобы включить поиск DNS через прокси в Firefox:

войти about:config в адресной строке
ищи proxy
задавать network.proxy.socks_remote_dns в true

Раньше я сам был пользователем Chrome, но переключился на Firefox, когда заметил, что при поиске DNS не используются настройки прокси. Это было некоторое время назад и должно быть исправлено в соответствии с этим сообщением об ошибке.

0

Источник

MoonSire 08 июл '14 в 10:22

Другие вопросы по тегам ssh man-in-the-middle

eyuelt 11 июл '14 в 08:57 2014-07-11 08:57 · Accepted Answer · 2014-07-11 08:57

tl; dr: это была утечка DNS. Спасибо @user2675345 за подсказку!

Вот страница, которую я получил, когда зашел на заблокированный сайт:

заблокированный сайт

Сначала я попытался пропинговать несколько веб-сайтов и увидел, что их IP-адреса совпадают. Как видно на этом изображении:

пинги

и youtube.com, и metacafe.com, которые оба заблокированы, имеют 176.12.107.179 как их IP. Неудивительно, что при переходе по этому IP-адресу в браузере открывается страница "Запрошенный сайт заблокирована", показанная выше. Пинг www.google.com, с другой стороны, приводит к тому, что действительный IP-адрес указывает на Google.

Таким образом, URL были привязаны к неправильному IP. Я использовал dig, чтобы проверить записи DNS и подтвердить это.

выкапывает

Действительно, запись DNS для youtube.com была 176.12.107.179 как это IP.

Затем я использовал Wireshark для проверки DNS-запросов и увидел, что запросы поступают не с IP-адреса сервера, на котором я работал по SSH, а с моего локального IP-адреса.

след

Несмотря на то, что я использовал туннель SSH, мои DNS-запросы не проходили через туннель. Кроме того, они, казалось, шли к IP-адресу в той же сети. Таким образом, похоже, что маршрутизатор на шине действовал как DNS-сервер и выдавал неверные ответы DNS для сайтов из своего черного списка.

Это очень серьезная уязвимость. Мало того, что перехватчик мог видеть все веб-сайты, которые я собирался, но человек, управляющий маршрутизатором /DNS-сервером, мог легко перенаправить меня на вредоносную версию YouTube, а не на страницу "Запрошенный сайт заблокирован". И пока я думаю, что весь мой трафик проходит через SSH-туннель, и я полностью защищен.