侦听数据中心中未加密的通信量
请解释如何从数据中心内嗅探数据包。
一些背景。我正在研究DigitalOcean的网络选项。我的目标是确保主机之间的数据交换是安全的,因为它可能是敏感的。我读到DO的“专用网络”不是真正的专用网络,而是包含数据中心内部的所有用户,并将他们与广域网隔离开来。
因此,建议对数字海洋液滴之间的连接进行加密,以交换敏感信息。
我想更好地理解如何能够在数据中心的合理安全和受控环境中捕获不适合您的主机的TCP/IP通信量(例如,没有WiFi,路由配置正确,不存在恶意MITM )。
回答 2
Security用户
发布于 2017-03-17 12:53:50
要执行成功的MITM攻击,您需要两件事之一(假设没有使用加密)。
- 存在于您要拦截的流量的同一个网络上。
- 存在于您试图拦截的流量的信息路径上。
这意味着,如果其他人在同一子网上有一个液滴,他们可能会窃听该网络上存在的通信。这种监视可以通过像Wireshark这样的网络分析器工具来完成,如果条件正确,也可以使用名为ARP中毒的技术完成。
我不知道DO液滴隔离或网络配置是如何工作的,但是无论何时您在任何机器之间传输敏感数据(即使这两台机器都存在于同一受信任的网络上),您应该利用TLS来减少流量拦截。
Security用户
发布于 2017-03-17 15:10:14
如果应用程序在数据中心上运行,则信任该数据中心。如果您有隔离要求,则描述它,如果提供者告诉您满足了这些需求,则应该信任他,或者根本不使用他的服务。
尽管如此,如果您只是使用低成本的主机,提供商只允许您在他的计算机上安装应用程序,那么两个节点之间的所有通信都应该加密,因为您无法知道在同一个网络上安装了什么以及由谁来控制它。
记住:数据中心上的sysadmin在数据中心中的任何机器上都有物理和低级的访问权限,所以您应该考虑到数据中心中的任何数据都可以由数据中心管理员读取。过去的保护是合法的,不再是技术性的。
https://security.stackexchange.com/questions/154172
复制相似问题
腾讯云开发者
