1、PuTTy远程登录延迟的分析
现象问题描述:在使用kali linux 的时候喜欢在后台运行而在Windows主机系统上安装PuTTY来实现远程登录 发现每次输入密码的时候会存在延迟10s的情况,现在我们使用Wireshark 来进行流量抓包分析
为了方便说明问题我这里使用Metasploitable2 基于Ubuntu的操作系统同分析问题
步骤一: 首先 查询一下:Metasploitable2的IP地址 : 192.168.70.131 , 这里我不在修改Metasploitable2的网络连接模式 直接使用NAT模式。在本机实验 主机和虚拟机之间是可以通信的。不影响实验。
步骤二:开启 SSH服务 默认的状态下 Metasploitable2de的SSH服务是没有开启 所以先开启该服务用来远程连接 使用命令: sudo /etc/init.d/ssh start
步骤三: 为了捕获SSH服务的通信包 我们先开启 Wireshark 抓包(如果是自己搭建一个局域网,没有其他服务的通信 直接分析SSH服务,但是现实中我们经常要使用过滤,这里我们对抓包的数据也进行
过滤,这里大家注意我们使用捕获的不是我们本地的物理网卡而是 VMware Network Adapter VMnet8 (跟我们之前选择的NAT模式有关)
步骤四: 打开PuttY远程连接的服务,点击确定,初次连接的时候会提出SSH key 是默认的没有更新 选择相信继续试验。
输入Metasploitable2的账户和密码回车 就连接到metasploitable2操作系统 但是发现存在延迟
现在我们来分析刚才连接的流量数据包:刚开始的时候我们看到数据包很少,但是当我们的PutTType连接成功之后 数据包迅速增加
最后一步: 对数据包的过滤分析:
现在我们来分析为什么刚开始的时候会有延时,因为连接使用的SSH服务,所以我么过滤该协议类分析
从上面的图中我标注了 密钥协商建立的部分 从序号25-----> 序号36 协议完成了密钥建立生成通信密钥
但是序号36-------序号39之间世间增幅大概有10s 明显比其他的大 ,那么36-39中间缺少的额包去哪里了,没有使用SSL协议 使用的又是什么协议 。现在我们过滤这个序号之间的帧
使用过滤命令: frame.number>35$$frame.number<40 这里为了效果明显 我们保留之前的两个帧 显示结果如下:
很明显我们看到这两个序号之间的 37, 38 ,帧的数据包 分别是TCP协议和ARP协议 。TCP是连接协议ARP是地址解析协议 但是TCP是三次握手我们并没有看到,说明TCP没有建立握手浪费了大概5s时间,另外在ARP地址解析也浪费了大概5s的时间 。 我们看到并没有进行域名的解析服务,这是因为之前选择的NAT模式,在NAT模式下两个网卡没有进行域名的查询。如果是两台电脑在在远程的SSL连接就会进行域名的查询。
如果我们在虚拟的网卡中的路由表中添加对应的地址解析表,这样就可以避免减少时间 关于如何更改路由表的地址 记得之前有写过
问题的本质是什么:就是协议,协议规定了连接的时候要使用的参数,所以接下来我们看看SSH协议
使用gedit 打开该协议 使用命令: gedit /etc/ssh/sshd_config
其中 关于DNS的部分我们做一个修改:
默认的设置是: #UseDNS no 我们修改的时候只需要将前面的额备注去掉就可以了
想起之前看做的一本专门讲 wireshark 的技术书,作者将的非常的有意思,能够吧纯技术的书写的一点也不枯燥,读来还容易理解真的很难得,加油吧 ,不抛弃不放弃