中间人攻击使得SSH 连接不再安全。Alexia在参加一个次国际安全会议中，发送邮件时发现交换公钥出现导入错误，但是警觉的Alexia并没有在HIDS系统和SSH的连接日志中发现任何可疑之处，但是她用抓包工具分析发现网络中存在大量广播包，这和交换公钥出错有联系吗？她的网络到底遭到了什么攻击？下面的案例出自《Unix/Linux网络日志分析与流量监控》一书的案例集。

难度系数：

故事人物：Alexia（安全顾问）

事件背景

      Alexia在一个国内知名的IT外包公司做安全顾问，每天会接触各种各样的人，但她更喜欢和代码打交道，为了谋生而写代码，为了生活的更有质量，不得不拼命工作，由于她酷爱编程，外人看似复杂的编程工作，在她眼里变得非常有趣。

某日，Alexia接到ACNS（国际上著名的网络安全组织）发给她的参会邀请，这也是她第二次参加这样高水平盛大的学术会议了，很快她就收拾好行囊准备参加会议。去了，参加会议的专家，不久她纷纷来到了参会现场，与会者分散地坐在会场。大家用香槟相互庆祝着共同研发的程序。在会议室大家相互交流心得，展示着自个的研究成果。

当会议结束后，大家辞行时，认识的朋友间互相交换了GnuPG公开密钥的指纹信息，以便以后通过网络识别每个人的真实身份。他们有一个完整的规范协议，任何工作开始之前必须旨先进行一次复杂的密码“握手”联络，这一协议从她把自己的GunPG公钥发送给开发组领导开始：
以下是她操作过程中的一段指令：

$gpg --armor --export yangfang@acnsnetwork.org | gpg –clearsign > yangfang.gpg.asc    
/*加密过程，其中 --armor 是将输出内容经 ASCII封装*/
gpg: Warning: using insecure memory!
Warning: using insecure memory!
gpg: please see http://www.gnupg.org/faq.html for more information
please see http://www.gnupg.org/faq.html for more information
You need a passphrase to unlock the secret key for
user: “Yang fang <yangfang@acnsnetwork.org>"
1024-bit DSA key, ID 30C4BB2G, created 2010-07-22
Enter passphrase:

这时，Jack输入口令，然后程序继续执行着。

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.11 (OpenBSD)
...
- -----END PGP PUBLIC KEY BLOCK-----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (OpenBSD)
ID7DBQE9WeBmpSSSWCnEqi8Ravu3AJ9cREGQCMcXEEPWQYo5JyRIBnmJACeJrOc
w70hsmoiwNZvj5z51sxr/4Uz=Jqxo
-----END PGP SIGNATURE-----
$mail –s “My pgp key, signed” blender@node.xs4none.org <yangfang.gpg.asc

注意：这里需了解一下MD5和sha1SHA1的区别，MD5与SHA1都是Hash算法，MD5输出是128位的，SHA1输出是160位的，MD5比SHA1快，SHA1比MD5强度高。
随后，她收到了应答，这是经过加密和签名的ASCII码块，它可以用下面的命令行来解密和存储：

有兴趣的读者可以阅读《Unix/Linux网络日志分析与流量监控》第12章内容。

本文转自 李晨光 51CTO博客，原文链接：http://blog.51cto.com/chenguang/1751224，如需转载请自行联系原作者