可疑Whonix网关SSH连接

Question

我下载了Whonix 16.0.3.1qemu/KVM，检查了完整性sha256，并将其安装在Devian中。更改了用户和密码。启动网关时，只会从本地ip 10.0.2.15与ip 146.57.248.255 (umn.edu)进行SSH连接，然后返回到10.233.11.41，如下所示。我下载的映像，重新检查完整性和重新安装，仍然是一个持续的SSH连接启动，如上？Whonix网关永久连接到这个ip地址是否正常？

Answer 1

不，这不正常。除非那个IP当时是Tor中继或桥梁。您可以使用https://metrics.torproject.org/和/或https://metrics.torproject.org/exonerator.html来找出过去或现在哪些in是Tor中继。

当你发布这个问题时，IP并不是一个Tor中继，但是如果你再检查一遍，那就更好了。

这张截图显示了很多IP。为了获得清晰的问题复制，您必须终止所有连接到internet的应用程序。也就是说，与尽可能少的IP有尽可能少的开放连接。理想的零。或者，您需要很好地理解哪些应用程序正在连接哪个IP，这样就可以将它们排除在您的观察之外。

一旦启动Whonix，它应该只连接公共Tor网络(您可以使用上面提到的网站验证这个it网络)，或者连接到您配置的Tor桥。

这不太可能是Whonix的后门，因为在这种情况下，Whonix做它所知道的事情更有意义，那就是只产生Tor流量。如果通过Tor网络和所有其他通信量一起路由，任何恶意SSH连接都会隐藏得更好。

电子治疗似乎是从端口到协议的简单映射。

https://en.wikipedia.org/wiki/List_的_TCP_和_UDP_端口_数字#_端口

大多数web服务器使用端口80用于http，端口443用于https，端口22用于SSH。但没有义务使用这些港口。许多人选择在非标准端口上运行SSH。

显示" SSH“并不意味着它已经识别了SSH流量。至少不是按照它在主页上的描述。可以使用DPI (深度包检查)检测协议(如http、https、ssh)，但以太没有声称要执行DPI。

许多Tor继电器正在使用端口443。这些不是https网络服务器。或者9100端口，与Tor没有任何关系。

因此，总之，显示SSH的治疗并不意味着它是SSH连接。

完全披露:我是Whonix的开发人员。