问题[man-in-the-middle](server)

关于这个选项有很多讨论，大多数人认为“它可以提高安全性”、“它可以保护您免受中间人攻击/DNS 欺骗”等，但我看不出这是怎么回事。ssh_config(5)说这个选项

“允许 ssh 检测主机密钥是否因 DNS 欺骗而更改”

但它似乎仍然模糊甚至误导，因为 1）该选项不会检测“主机密钥是否已更改”，但仅在主机的 IP 已更改时才会检测到，2）它没有详细说明它在检测到时会做什么这样的事情（例如，它会阻止连接发生吗？）。

由于文档的模糊性，其他人甚至似乎认为这不会CheckHostIP=yes让您连接到已更改其 IP 的主机（即它具有与已记录的 IP 不同的 IP ），这是完全不真实的，在至少据我自己的测试可以理解。known_hosts

• 当我CheckHostIP=yes（默认）连接到主机密钥已存储在known_hosts中但已更改其 IP 的远程服务器时，连接正常进行但我收到警告：

“永久添加了 IP 地址的 ECDSA 主机密钥 [......]”

还添加了一个新行known_hosts，其中包含服务器的主机密钥（未更改）和新的 IP 地址（不同）。如果主机稍后再次更改其 IP 并且我使用 连接到它CheckHostIP=yes，则会在 中追加一个新行known_hosts，依此类推。

• 如果我连接CheckHostIP=no到已更改其 IP 地址的服务器，则连接会继续进行（这也是发生的情况CheckHostIP=yes），但这次没有警告，也没有在known_hosts.

yes因此，和之间的唯一区别no似乎只是连接时的简单单行警告，以及known_hosts每次主机更改其 IP 时记录的新地址（有效地保留服务器不同 IP 的历史记录）。

如果是这种情况，那么我什至不确定这CheckHostIP=yes是否比 更好CheckHostIP=no，因为如果客户端计算机受到威胁，攻击者将能够从中推断出known_hosts1) 具有主机密钥 X 的服务器具有动态 IP，以及 2) 它已更改其 IP 地址 Y 次。显然这并不多，我怀疑攻击者实际上可以用那一点信息做一些事情，但这是不会发生的信息泄漏CheckHostIP=no。

我已经使用两个具有动态 IP 的独立 ssh 服务器尝试了上述操作（我使用免费的 DDNS 服务连接到它们）。

SSH 专家能否向我确认这是所有保护措施CheckHostIP=yes（甚至不要求用户交互的警告），或者如果我对某事有严重错误，请纠正我？我是否应该始终保持CheckHostIP=no与我知道会随着时间而改变其 IP 的服务器的连接？

我使用 jMeter 代理检查来自我的 iPhone 的 SSL 流量，方法是在 iPhone 上安装 jMeter 证书，然后在手机上配置我的 wifi 以使用 jMeter 代理。

如果我想阻止对特定网站/服务器的 MITM 嗅探，我可以在服务器上强制执行 TLS 1.2 吗？

如果始终强制执行 TLS1.2 是否真的会阻止这种 MITM 嗅探？

我正在尝试 使用 SaaS 服务从远程站点通过简单的 GET 请求向 mitmproxy 拉取数据。SaaS 服务不支持代理。我希望 SaaS Web 客户端向 mitmproxy 发出 GET 请求，基本上是这样的：

GET /filelisting HTTP/1.1
主机：mitmproxy.url

然后，我希望 mitmproxy 检索真实站点的内容并将其提供给 SaaS Web 客户端：

GET /filelisting HTTP/1.1
主机：realsite.url

因此，总而言之，我想向代理执行请求，让代理替换一些标头，使用修改后的标头请求，然后将内容提供给客户端。

我尝试使用 mitmproxy 的 --set-headers 选项替换 Host 标头，但是当我尝试访问 mitmproxy.url 时，我收到错误消息：“HttpError('Invalid HTTP request form (expected: absolute, got: relative )',)"

不完全确定 mitmproxy 是否能够执行此操作（但据我所知，它应该是可能的），如果事实证明不是，请告诉我是否有其他工具可以帮助解决该问题。

有任何想法吗？

我已将我的服务器升级到新的操作系统和更新的硬件。

但是新安装的操作系统生成了一组新的指纹/服务器密钥。无论如何我可以将它从我的旧服务器复制到新服务器。为了从客户端删除安全警告？

编辑：操作系统更改来自 ubuntu 11.10 -> 12.04

我有一台 Linux 服务器，每当我连接它时，它都会向我显示更改 SSH 主机密钥的消息：

$ ssh root@host1 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@警告：远程主机标识已更改！@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@ 可能有人在做一些讨厌的事情！有人现在可能正在窃听您（中间​​人攻击）！也有可能 RSA 主机密钥刚刚更改。远程主机发送的 RSA 密钥的指纹为 93:a2:1b:1c:5f:3e:68:47:bf:79:56:52:f0:ec:03:6b。请联系您的系统管理员。在 /home/emerson/.ssh/known_hosts 中添加正确的主机密钥以消除此消息。/home/emerson/.ssh/known_hosts:377 中有问题的键

host1 的 RSA 主机密钥已更改，您已请求严格检查。主机密钥验证失败。

它让我登录了几秒钟，然后关闭了连接。

host1:~/.ssh # 从远程主机读取 host1: Connection reset by peer 与 host1 的连接关闭。

有谁知道发生了什么以及我能做些什么来解决这个问题？

我最近为朋友的业务建立了一个无线网络，他问我是否有任何方法可以“破解”它。我向他保证，一旦我设置了 WPA2 密钥，这将非常困难。

这让我想到，我怎么能真正确定没有人可以执行某种类型的黑客攻击？我知道那里有哪些类型的黑客，但我没有实际执行它们的经验。我基本上了解为了执行例如中间人攻击而必须发生的事情，但是实际上如何欺骗受害者的 ARP 组件使其认为攻击者的机器是网关？这似乎需要访问受害者的机器。