加密流量分析

Question

如果我隧道任何tcp流量，真正的ssh或任何ssl加密协议，会有人捕获流量能够进行某种离线解密使用捕获文件？他们用什么技术来做到这一点!？

在我的公司里，我们不得不打电话给一个网络提供商来分析我们的网络流量，因为我们的网络中有一些可疑的活动，他们连接一些类似snort的系统.而且我认为这个过程对于找到一个有经验的智能矿石攻击者是无效的。

Answer 1

简短的回答:很可能不是。你的交通将被加密。但是，可以通过其他方法读取数据。

如果嗅探器是某种类型的恶意软件在您的机器或接收端，因为它可以查看数据之前，有效载荷是加密的，或在其去封装后。

如果攻击者获得了SSL证书并正在执行某种MiTM攻击。

如果加密密钥是通过其他方式获得的。

如果存在可用于SSL的零天攻击，则TLS可获得敏感通信量。

编辑:除了你添加的评论之外，你还会做一些正确的评论。Snort是一个开源的IDS/IPS，如果系统检查的数据是加密的，snort将无法读取流量上的任何签名。但是，如果可能有任何可疑/恶意通信来自可能与攻击者相关的网络，获取数据snort可能会识别攻击签名的来来去去。