SSH协议实验报告

1、KUMMING UNIVERSITY课程设计（大作业）报告课程名称：网络协议工程设计题目：SSH协议院系：信息技术学院班级：09计科一班设计者：李娜学号：20091101139指导教师：范老师、李老师设计时间： 2011-12-19 至 2011-12-23信息技术学院昆明学院课程设计（大作业）任务书姓 名：李娜院（系）：信息技术学院专业：计算机科学与技术学 号：20091101139任务起止日期：2011-12-19至2011-12-23课程设计题目：用协议分析工具分析 SSH以及以下各层协议的工作机制课程设计要求：1. 通过实验加深对课堂讲授的内容有实际的体验，加深对网络协议、握手协议、安

2、全算法 的理解、掌握、应用，并激发进一步的思考和发挥，注重培养学习兴趣和创新思维。2. 通过实验，了解和掌握 DELPHI网络控件UDP/TCP的基本编程方法；掌握使用简单的安 全算法建立网络通讯协议；结合实际编程工具如数据库系统开发简单的网络协议应用程 序，掌握一定的网络通讯程序的调试能力。3. 熟悉UDP/TCP编程环境和特性4. 了解SSH协议基本原理和协议流程的五个过程5. 了解SSH协议最低层缓冲区的构架和数据包的加密解密原理；6. 调试简单的网络协议等方面的实验。工作计划及安排：19号选取题目，上网 取图书馆收集资料20号在机房与同学联机 配置服务器 抓取SSH协议包21号对协议包

3、进行分析 比较 对个协议层进一步了解22号填写实验大报告指导教师签字 课程设计（大作业）成绩学号：20091101139姓名：李娜指导教师：范老师李老师课程设计题目： 用协议分析工具分析SSH以及以下各层协议的工作机制总结:通过本次课程设计 1使我了解了 SSH协议既可以提供主机认证，又提供用户认证，同时还提供数据压缩，数据机密性和完整性保护。增强了对网络知识的学习。2.了解SSH原理和应用，以及 SSH各层协议的工作。3 .培养具有综合应用相关知识来解决测试问题的基础理论;4.培养在实践中研究问题，分析问题和解决问题的能力；我们必须坚持理论联系实际的思想，以实践证实理论，从实践中加深对理论知

4、识的理解和掌握。实验是我们快速认识和掌握理论知识的一条重要途径。5使我了解到团队精神的伟大，在团队里互相学习，互帮互助，共同进步。6.将课堂的知识与实战设计相结合，更深刻的了解平时所学知识更为深层的含义指导教师评语:成绩:填表时间:指导教师签名:课程设计(大作业)报告一、题目分析SSH，即Secure Shel 1,是一种介于传输层和应用层之间的加密隧道协议，具有C/S的体系结构SSH可以在本地主机和远程服务器之间设置加密隧道”，并且这样设置的 加密隧道可以跟常见的FTP,SMTP, POP应用程序，X应用程序相结和。目的是要在非安全的网络上提供安全的远程登陆和相应的网络安全服务。既然SSH是

5、以提供安全服务为目标的协议， 其中必不可少的是一套完备的密匙机制。由于SSH协议是面向互联网中主机之间的互访 与信息交换，所以主机密匙成为基本的密匙机制。即SSH要求每一个使用本协议的主机都必须至少有一个自己的主机密匙对，服务器方通过对客户方主机密匙的认证之后，才允许其连接请求。 一个主机可以使用多个密匙，针对不同的密匙算法而拥有不同的密匙。SSH在运行方式上， 不像其他TCP/IP应用，被设计为工作于自己的基础之上，而不是利用包装(Wrappers )或通过Internet守护进程inetd运行。根据IETF关于SSH草案的定义，SSH协议包含3个组成部分(层次)。(1) 传输层协议(SSH

6、-TRANS)(2) 用户认证协议(SSH-UXERAUTH)(3) 连接协议(SSH-CONNECT)二、总体设计2.1设计原则本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为SSH建设应该遵循以下原则：1先进性以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于 交换的技术替代传统的基于路由的技术。2标准化和开放性网络协议采用符合ISO及其他标准，采用遵从国际和国家标准的网络设备。3可靠性和可用性选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。4灵活性和兼容性选用

7、符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、 小型机、工作站、服务器、和微机等设备提供入网和互连手段。系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术, 整个网络系统可以通过软件快速简便地将用户或用户组从一个 网络转移到另一个网络， 可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的 变化。同时也可以通过平衡网络的流量，以提高网络的性能。5实用性和经济性从实用性和经济性出发， 着眼于近期目标和长期的发展，选用先进的设备，进行最佳

8、性能组合，利用有限的投资构造一个性能最佳的网络系统。6安全性和保密性在接入In ternet的情况下，必须保证网上信息和各种应用系统的安全。扩展性和升级能力，网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。三、实验器材SSHK务器SSH客户端 计算机四、制作步骤（1）网络设置根据要求windows XP和虚拟机的网络设置如下:1）将服务器端刚才产生的私钥存入本地mt2super-supsr4档沁Wc13OhQvrb loadsdlr*iKr- kjfh2s.up-r-u|

9、Mr-Dec2BU SHK EcsprlruizrZ HW 聃tojwrtac1Jiz删HUBiCrlrtwMr rr *z ”护Kpnr4Wtg13u iFicturw出|iwic丄墓器B.UJM-3Tsupar価临Pw231：dnoc rsrsisupvrSuparimtDvc曲12 ：44 Vrarwr-irLEupcrsupar2312 -17Bwri scvL _ku ysLEUlFKUpHPl/3ECJLL1Z -Mi.il_F5airti ir |p1 ups ITupar14-4DC9311 :44U_rf*- pni hJ1ujrvruparW-i39li 16-1vwnJw

10、vl v1EUJWFcupar1675tac2212；4ftHybjLbyvh rsa-nt-r-r-=1su|berSH&CC2312电m賢ImlIi *h_r a. a . jmj bp&f9：Nvu lucaS. *dingctDP iV D1 XPcicuiiwntE ie罪 d Sif tt inpc/dt A：rtap-3npsf上P、 *曰业r-i:ak-rinciEe /hadHZ s ijI|hefhJu byh_r-i. ft 1rC:孔1:nyhhkbya2）在客户端windows系统中查找刚才取得的私钥文件由于刚才自己设置了目录在 Xp的桌面上，所以在桌面上。如下图:2

11、2aa-113 RylMbiWW! TTflt In aw itJirit 严.面n卅 Setsupcirvvrrr175W il pe rOliver mbPd*lllPut hor izen _l;e：v 勺科J鼻idurai* cd anhMte dlnEtayi1 1e num sitp 1_il4iMCt4F9 ”】14事4严評护工kmgg9rb kpeggh-I4fitnr-r- -r-E fc 11 = 91 L* = 5Z 1291 11：H1 j = B1 1Z：01 11-B1 11S14bounla adiISfkpHii&lcPiefurtvPubl icTienp 1

12、* tri U也电网获取客户端wwzajlSKjlfrtre 29 13 =S5 事w 23 12 $5 .De 22 诃阵5 881*恥馳专0- iaci：SBKa3Ei9e9a启动 wiresharkSudo wireshark2）开始抓包，进行ssh连接，包如下图:Wirhflrk: rapti irp IifrprtArp;Deciitcn3 Acapte for gsnerc dai_p yd VTM C3ptuf&fcS.1 Resltok LQ/IOO/IOOO Ethernet NIC口 10 115 341VMv=re 的tviaJ Ethernat Adapter19G.

13、163 12D.1SessiorLodging 匚I TflmnmAlKeyboardSell Fedtiwes 工 WindowBehaviourTraishlmn Selection Colour -ConnectionProii 5 Kir iBw| *.ir iJci.1 uv 1J4L1- 廿 iMH M E.LMT T-M WR lifc J#h 釉H*is* SUH JL!iW 丿 MOfl JSkn 34MA TMH1 叭祈JU7UU0UUVUMTU=s-am=sifMHIrtrii Uhiril fMltvC仆 巧牌T冲TMj * !* -FWbM Pb1 rfrlvvl r

14、vqhws- ar br4 a-Jlf W-Tfli fell -fM I I IDW. Ah4、#， * h 唧LY F+q b U4 h44 w杆甸申WM MB*I.| r-tnl I * Ml Wtn nv J -kmtiI fart MB(hi i|-uwi ail 屮M|I ” r-Hrad ri*gy*a *1 * wt ”*M*14M! O M 11曲 3U 1J M Ita-vi lull鼻 w. Mui ! tn i irt-lju ivii liMHl.-iV|afT* .斗豪*i fECH毀hUr UMI* - Wm iiiMri11 vi vi ri IUIbIII分析

15、过程:a. 首先是TCP三次握手b. 紧接着是一个SShv2的包，server向client说明自己的SSH版本信息和系统版本信 息，client发TCP响应收到c. Client发一个SSHv2包，向server说明client的SSH版本信息和系统版本信息，server 发TCP包响应收到d. Client 发 Key Exchange init 包，server 响应收到e. Server 发 key Exchange init 包f. Client 向 server 发 DH GEX 请求g. Server应答 DH keyExchange 请求h. Client发送DHkey初始化请

16、求i. Server应答DHkey初始化请求DH密钥交换验证过程结束，安全的连接建立j. 后面是加密数据的传输3)重新开始抓包，进行tel net连接，包如下图:Nhstihi 二2-=話2.a. 首先还是TCP的三次握手b. Clie nt 向 server 发送 tel net 数据，server 响应之c. Server 向 client 端发送 telnet 环境，client 响应d. Client 向 server端发送 telnet 环境，server 响应e. Server向client端发送系统环境，client响应f. Server向client发送登录框，请求输入用户名g

17、. Client每次一个字符向 server发送命令，server收到正确的字符后响应client，这些数据交换都是以明文形式的，直至遇到回车符h. Server请求输入密码i. Client依然每次发送一个字符把密码以明文的形式传送过去，知道回车j. 密码验证成功后，server向client发送登录成功信息k. 以后的命令都是以明文方式一个字符一个字符传送。对比分析：通过比较SSH远程登录和tel net远程登录，明显可以看到，SSH比tel net安全，telnet的数据传输都是明文，没有经过加密处理，登录名和密码以及传输的数据很容易被人 窃听，很不安全。而SSH登录的话，是一个密钥验证

18、的过程，而且以后的数据传输都是经过加密处理的，使得客户端和服务器之间的通信比较安全五、方案比较该方案简单方便更容易掌握方便操作实验得到SSH协议既可以提供主机认证，又提供用户认证，同时还提供数据压缩，数据机密性和完整性保护。SSH的不足之处在于他使用的是手工分发并预配置的公匙而非基于证 书的密匙管理。 与SSL和TLS相比，这是SSH的主要缺陷。但从SSH2. 0协议开始允许一同使用PKI证书和密匙，将来在SSH产品中把这种特性和通用的PKI一起实现，这样可以降低密匙管理的负担并提供更强大的安全保障。虽然SSH还有其不足之处， 但相对于VPN和专业防火墙的复杂性和费用来说，也不失为一种可行的网络安全解决方 案，尤其适合中小企业部署应用。SSH解决了许多和网络有关的安全漏洞，有效地防止了网络窃听(Sniffer) 、IP欺骗、DNS欺骗、连接劫持(ConnectionHijacking)、插入攻击(CompensationAttack) 禾口中间人攻击 (maninthe middle)等，但并没有解决全部问题，尤其是他仍然容易受到针对底层TCP/IP缺陷而发起的服务器拒绝攻击(DoS);他也不能解决一些考虑环境因素而产生的攻击方法，例如流量分析和隐秘通道；也不能防止出现病毒，Trojin木马和咖啡豆(coffee spill)。对于TCP/IP