议题作者：shaozhou
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

------------------------------------------------------------------------------------------------
最近嗅探一LINUX ssh的时候 发现了一个现象。。但我用PUTTY连接 只要出现这个 就可以嗅探出密码
我就很不明白了 。。难道嗅探出东西的决定因素取决与CLIENT？...
使用其他的嗅探软件。。不用出现上面的那个图片就可以嗅探出数据 但是无法解密,,, 有谁能说说CAIN嗅探出22的原理吗？
感觉嗅探22 跟嗅探3389似的。 都有必要的条件才能成立。。

无人知晓吗？
自己顶

现在的LINUX默认的都是sshv2版本的
也就是加密传输的
还没看见有谁嗅到过SSH的密码
不过据说有这样的东西不过是在内部流传...........

这个是基于口令的连接

你可以在/etc/ssh/sshd_config修改以下内容，使SSH仅支持密钥登陆

但是我有点纳闷了，密码和user缺省下应该是经过加密的，咋那么容易就给你嗅出来了～

cain有部分破解功能的

毛的嗅探，cain 是自己做中间人，用自己的公钥冒充服务器的了，然后你和他加密传输，它再和服务器加密传输，他两边都看得见
关于ssh2的嗅探，自己看phrack去

[ 本帖最后由 xi4oyu 于 2008-5-31 18:57 编辑 ]

cain只能嗅ssh1，你可以把客户端配置成ssh1，然后链接，就可以嗅出来。如果是2，那就没戏

服务器的SSH默认配置是：先尝试SSH2协议。如果不行则尝试SSH协议。而SSH密码的嗅探，只有协议是SSH1时。才能嗅探到。为什么CAIN可以嗅探到呢？因为CAIN采用的是降级攻击。强制降低SSH的协议版本，来达到嗅探的目的。你上面看到的那个框。实际上就是一个安全提示，说KEY已经改变。这就是降级攻击的标志。只要在服务器上设置只允许SSH2协议连接。就不会抓到密码了

引用:

原帖由 红色骷髅 于 2008-6-1 17:53 发表
服务器的SSH默认配置是：先尝试SSH2协议。如果不行则尝试SSH协议。而SSH密码的嗅探，只有协议是SSH1时。才能嗅探到。为什么CAIN可以嗅探到呢？因为CAIN采用的是降级攻击。强制降低SSH的协议版本，来达到嗅探的目的。你上面看 ...

感谢以上网友对我的问题的解答。

cain用这个欺骗用户
让用户把原来V2的连接降低到V1
这样达到攻击的目标

我怎么看不到楼主的图片啊,新人发贴试一下.