我想知道人们如何测试他们的网络连接是否安全。因此,如果我使用 ssh,系统会告诉我它是安全的。但我想验证这一点,所以我尝试使用 tcpdump。下面是我使用的命令。
tcpdump port 22 -X
然后我得到了原始数据包,但我并不知道该如何解释。而且,我不确定这种方法是否正确。
这个问题的另一个练习是使用 telnet。所以,我知道它不安全。但是当我尝试执行以下命令时:
telnet <IP address> 3306
tcpdump port 3306 -X
tcpdump 的输出对我来说也看起来很神秘。
有什么建议或意见吗?
答案1
首先,我没有以 root 身份运行,因此我必须使用 sudo。您可以在 Mac 上使用它来查看数据包。
sudo tcpdump -i en0 -X -s 0 src host <server>
如果您无法读取刚刚输入到服务器的内容,则表明该内容已被加密。我认为实际获取数据并使用密钥解密超出了您在此处所能找到的范围。
答案2
我能给出的最佳建议是学会阅读你使用的工具的输出。说真的,如果你不知道如何解释 tcpdump,那为什么还要使用它呢?这是一个复杂的主题,但有很多书籍和文章可以教你如何阅读数据。
为了使你的生活更加轻松,你应该考虑使用 GUI 工具,例如Wireshark,它以大多数人更容易阅读的格式呈现相同的信息。
答案3
SSH 是加密且安全的,如果它认为任何东西都错了(或发生了变化),它就会以非常明显的方式向您发出警告。没有加密密码的 SSHing 需要明确的命令行开关,当您这样做时,它也会发出警告。
tcpdump 本身不会告诉您连接是否加密,您需要自己分析数据包。如果您觉得自己无法直接理解数据包,Wireshark 可以帮助您。
答案4
Wireshark 是一个可以帮助你的工具。将它安装在你的电脑上并捕获数据包几分钟,如果你能看到数据包中的内容,那么它就被解密了。