截获的ssh-socks通信量是否显示了HTTP对象的数量和大小？

Question

我读了一篇题为网络是敌对的的文章，其中说明如下：

流量分析仍然是一个特殊的问题:即使知道TLS保护的浏览器连接所请求的文件的大小，也可能泄露用户的浏览习惯的海量信息 pdf格式。

在链接文章中，访问的网站可能由于访问加密的网站后的GET请求而被识别。对手只看到流量，并且拥有一个网站及其后续请求的数据库(数量和大小)。

这种攻击是否适用于流经ssh-socks5 5连接的HTTP通信量(通过隧道使用DNS请求)？我不确定在本文中提到的SSL或TLS类型的加密中是否包含了这样的通道。

Answer 1

在查看加密的SSH连接时，仍然可以看到流量模式，但看不到请求的目标主机。但是，如果您知道目标主机可能是什么，您仍然可以进行相同类型的流量分析--至少在同一时间只有几个连接。

对于类似的流控制分析，请参见击键的时序分析及SSH上的定时攻击。在这种攻击中，您可以通过测量包含击键的数据包之间的时间来缩小用户在已建立的SSH会话中输入的可能密码的范围。在这种情况下，on可以使用随机数据包延迟来破坏此分析，而中断HTTP1.x通信量的分析则要困难得多，因为它有一个典型的模式：(通常是小的)请求随后(通常更大)响应，然后是下一个请求和下一个响应等等。当查看SSH流量时，可以看到请求/响应的方向和大致大小。