SSH：嗅探器可以查看您的流量隧道到达的位置吗？

如果我建立到远程服务器的SSH隧道，中间的人是否可以看到该服务器的IP地址？

如果我们提升一个档次，如果FBI正在跟踪你（AFAIK我没有被跟踪），如果他们在ISP级别监控您，他们能否看到您的流量被隧道传输到哪里？

我问，因为如果FBI跟踪我，那么知道SSH隧道是否足够是有用的。如果他们能够找到服务器，他们可以轻松监控该服务器未加密的流量到互联网。

谢谢。

这取决于SSH隧道的设置方式，但一般来说，有一些方法可以跟踪事物。我们来谈谈高级场景。

当我与服务器建立SSH连接时，我与该服务器的SSH对话内容是安全的 - 它们是加密的，所以你必须打破SSH才能知道我们在说什么。 然而 ，承载该对话的IP数据包无法加密，因此如果您要查看该对话中的一个IP数据包，您就会知道我在哪里（IP源地址）以及SSH服务器所在的位置（IP目标地址）。

在SSH隧道中 ，我与服务器的对话是 另一个TCP / IP对话 至 其他一些远程目的地 。因此，在隧道内，第二个网络连接是加密的，但一旦到达隧道的另一端，它就是未加密的互联网流量。

现在。如果您要清楚地找到第二个会话，您所看到的只是会话的最终目的地（IP目标地址）和SSH服务器（IP源地址）。这些数据包中没有太多（仅考虑TCP / IP标头），以区别于在SSH服务器上创建的其他一些互联网流量;我不相信数据包中有任何特定信息表明SSH与它有任何关系。

这并不意味着它无法连接回我身上 - 只是通过检查TCP / IP标头你不能这样做。例如， 深度包检测 （如果我使用隧道登录到没有SSL的Gmail帐户，那么除了数据包标头之外还可以查看数据有效负载）。作为另一个例子，可以根据我的隧道托管SSH服务器的人可以找出隧道正在操作的端口，然后他们可以通过TCP / IP头跟踪我。

所以不，SSH隧道本身不足以隐藏确定跟踪器的电子足迹。

最初，数据包将包含到达目的地的路由上的下一个目的地MAC，以及结尾的IP（实际上，我们会说最终，因为它听起来更好）目的地。如何构造数据包，这是不可能改变的。即使数据已加密，您也无法加密目标，因为每个相应的节点都需要知道路由数据包的位置。

正如您在wireshark中看到的：

目标MAC是下一跳（我的路由器）的目标MAC，目标IP是Google的目标IP。

注意：

如果到目标IP的连接（例如Google的ip）通过SSH隧道，则只能在数据包中看到SSH隧道的IP地址而不是Google的IP地址。

如果您建议他们可以通过读取目标服务器的“未加密的流量到互联网”来读取您的流量，您需要意识到加密是双向的。

但是，中间的人可以看到该服务器的IP地址，因为否则您的数据包无法路由到该服务器。如果您需要对每端的系统进行模糊处理，而不仅仅是流量本身，那么您需要的是一个匿名代理服务。