freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

HASSH : 一种新型网络指纹识别标准,可用于识别特定的客户端和服务器SSH
2018-12-04 15:00:41

前言

今天给大家介绍的是一款名叫“HASSH”的工具。实际上,“HASSH”更像是一种新型的网络指纹识别标准,因为它可以用来识别特定的客户端或服务器端SSH的实现方式。由于HASSH在存储指纹时采用的是MD5指纹,这样就降低了数据存储、搜索和共享的开销。

页首配图

HASSH的功能

1、 高度可控制,检测到任意指纹后会发出警报。

2、 可检测、控制和调查暴力破解/Cred Stuffing密码攻击尝试。

3、 检测客户端算法集中隐藏的数据提取组件,在这种情况下,特殊编码的SSH客户端可以通过受信环境和一系列SSH_MSG_KEXINIT数据包来发送带外数据,而这些行为或数据发送尝试都会被HASSH的分析监控系统捕捉到,并给用户发送警报。

4、 配合使用了其他的指标识别工具来检测网络扫描和横向渗透活动,可检测的工具列表包括Paramiko、Powershell、Ruby、Meterpreter和Empire。

5、 与其他用户共享HASSH中的入侵威胁指标。

6、 创建额外的客户端应用程序控制层,比如说,你可能需要屏蔽客户端对SSH服务器的全部连接等等。

7、 贡献数据取证信息,例如IP源等等,但这部分数据可能会受NAT或使用了多个IP源的情况影响。

8、 检测欺骗性应用程序。

9、 检测已知HASSH指纹的物联网嵌入式系统。例如摄像头、麦克风和键盘记录器等等。

HASSH的工作机制

HASSH的工作机制

“hassh”和“hasshServer”采用了通过特定算法集设计的MD5哈希结构,目前很多的SSH客户端以及服务器端应用程序都支持这样的架构。这些算法在初始的TCP三次握手完成之后会进行交换,对应的明文数据包为"SSH_MSG_KEXINIT"消息,这也是最终加密SSH信道配置的重要组成部分。由于这些算法的交换顺序是唯一的,所以它可以被当做网络指纹并用来识别底层的客户端以及服务器端应用程序,而且这样也避免了通过“Client”或“Server”字符串这种表面上的识别因素来判断底层实现。

工具下载

Hassh:【GitHub下载地址

参考资料

1、 RFC4253-SSH传输层协议:【传送门

2、 Salesforce技术博文:【传送门

* 参考来源:kitploit,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# HASSH # 网络指纹
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者