恰好今天看到所用的ssh代理服务供应商开始在server上部署和测试Obfuscation功能,以增强抵御某怪物干扰用户正常使用ssh代理的能力。
1.原理
以下是ISP提供的说明:
Incryptography,obfuscationreferstoencodingtheinputdatabeforeitissenttoahashfunctionorotherencryptionscheme.Thistechniquehelpstomakebruteforceattacksunfeasible,asitisdifficulttodeterminethecorrectcleartext.从密码学角度上讲,Obfuscation(混淆)指的是在将所输入的数据发送至哈希公式或者其他加密公式前对其进行编码,该技术使得暴利破解难以见效,因为要确认正确的明文非常困难。
概念蛮绕口的,然后我那烂翻译也不过意思还是很清楚的,实际上就是将handshake易容,这样怪物就看不出来数据传输用的ssh协议了,然后ssh代理满血归来。
2.解决方案
牛人BruceLeidl为openssh写了个很给力的补丁。它可以在创建加密SSH连接时将握手信号(handshake)进行混淆处理。这样一个加密的握手信号就可以骗过怪物所用的深度包检测设备,顺利完成使命,进而保证了网络的安全性与稳定性。
(1)准备
你需要有一台位于怪物控制范围的Linux服务器,然后在服务器上配置好Obfuscated-openssh补丁。
Obfuscated-openssh点此下载,然后执行下述命令编译安装:
复制代码