即使客户端通过SSL与服务器通信,也可以嗅探URL吗?我问,因为我正在进行远程登录&通过URL重定向到物理上不同的服务器,并想知道通过SSL保护通信是否会阻止重放攻击等。
答案 0 :(得分:7)
嗅探器将知道您请求的服务器的IP(以及可能的主机名),以及传输的信息的时间/数量,但没有别的。
是的,如果您不信任受损的根证书,则SSL会阻止重播(以及中间人)攻击。
答案 1 :(得分:2)
攻击者可以同时观察主机名(通过观察您的DNS流量)和您要连接的IP地址。但是,URL的用户名,密码和路径部分不可用。
当然,客户本身始终可以访问此信息。
答案 2 :(得分:2)
网络嗅探器需要公钥和私钥来解密SSL流量。
答案 3 :(得分:1)
SSL在两台计算机之间设置加密会话,然后在该加密连接上运行“普通”HTTP,这样他们就可以看到您连接的物理机器,但超出此范围,您的连接中根本看不到任何内容。< / p>
正如其他人所说,他们可以查看最有可能确定主机名的DNS请求。
还有一些产品在商业环境中通过在客户端计算机上安装新的根证书并让代理服务器代表您进行连接,然后为该站点生成“假”证书来绕过此保护使用他们的根密钥生成会话到浏览器,所以你似乎有一个到服务器的安全SSL连接,但事实上它只是代理。您可以查看连接的证书链,以确定是否发生这种情况,但很少有人会打扰。
所以回答你的问题 - 没有完整的网址无法被嗅探 - 但是通过访问客户端机器,可以部分地进行。