请解释如何从数据中心内嗅探数据包。
一些背景。我正在研究 DigitalOcean 的网络选项。我的目标是确保主机之间的数据交换是安全的,因为它可能很敏感。我读到 DO 的“专用网络”不是真正的专用网络,而是包括数据中心内的所有用户并将他们与 WAN 隔离。
因此,建议对可能交换敏感信息的 DigitalOcean 的液滴之间的连接进行加密。
我想更好地了解如何在数据中心的合理安全和受控环境中捕获不适合您的主机的 TCP/IP 流量(例如,没有 WiFi,路由配置正确,没有恶意 MITM 可能)。
要执行成功的 MITM 攻击,您需要两件事之一(假设未使用加密)。
这意味着如果其他人在与您相同的子网上有一个 droplet,他们可能会窃听该网络上存在的通信。这种监控可以借助 Wireshark 之类的网络分析工具来完成,如果条件正确,也可以使用称为ARP Poisoning的技术。
我对 DO 液滴隔离或网络配置的工作原理没有任何深入的内部知识,但是无论何时您在任何机器之间传输敏感数据(即使两台机器都存在于同一受信任的网络上),您都应该利用 TLS 来减轻流量拦截.
如果您的应用程序在数据中心上运行,则您信任该数据中心。如果您有隔离要求,请描述它,如果提供者告诉您满足要求,您应该信任他,或者根本不使用他的服务。
话虽如此,如果您只使用低成本托管,提供商只允许您在他的机器上安装您的应用程序,则 2 个节点之间的所有流量都应该加密,因为您无法知道同一网络上安装了什么以及谁控制它.
请记住:数据中心的系统管理员在数据中心的任何机器上都具有物理和低级别访问权限,因此您应该考虑数据中心管理员可以读取数据中心中的任何数据。超过这一点的保护是合法的,不再是技术性的。