SSH:远程主机标识已更改

信息安全 攻击 SSH
2021-09-06 22:18:39

作为我日常工作的一部分,我通过 SSH 连接到其中一台公司服务器。但是这次我收到了以下消息

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
XX:XX..............
Please contact your system administrator.
Add correct host key in /Users/<user>/.ssh/known_hosts to get rid of this message.
Offending key in /Users/<user>/.ssh/known_hosts:43
RSA host key for <SERVER> has changed and you have requested strict checking.
Host key verification failed.

请解释在这种情况下可能会发生中间人攻击。

2个回答

如果攻击者控制了您和您正在连接的机器之间的一个路由器,他们可以将您的 IP 数据包重定向到其他机器,然后声称是真正的目标。它可能会转发您的身份验证和以下流量。

显然,如果你使用一个密码,那台机器就会知道你的密码,看看你在远程机器上做了什么,并且可以改变从任何方向发送的所有数据。中间人攻击允许做的一切(这与被动观察流量不同)。

MITM 攻击恰好是 LAN 攻击。当流量在线上流动时,它使用物理地址进行通信。当你发起一个连接,任何连接,让我们说 SSH 连接,那么在这种情况下,你的机器首先检查它是否知道服务器 IP 的 MAC 地址,如果知道,则开始发送数据包,否则,它会尝试获取 MAC 地址. 当您第一次连接到任何 ssh 服务器时,它的密钥存储在您的机器上。现在来到MITM,它是对ARP(arp中毒)的操纵。意味着攻击者在您的机器中添加了固定条目,说服务器的 IP 是他的 mac,现在当您连接到您的 ssh 服务器时,您的机器打开与攻击者框的连接,并且由于服务器密钥的指纹不同并且与以前的不匹配,您得到警告。这并不意味着,这种攻击不能在不同的网络上进行,

在数据流中,攻击者可以做任何事情,在清晰的测试中获取您的密码,您觉得加密的内容,将 ssh 重播到服务器以破坏服务器等

其它你可能感兴趣的问题
上一篇我儿子的学校门户是否违反任何密码/用户 ID 规则? 下一篇成为 setuid root 是什么意思?