it-swarm.dev

Stringa di identificazione versione protocollo non valido SSH: che cos'è?

Ho bisogno di aiuto per identificare alcuni errori di identificazione della versione del protocollo non valido dal nostro server.

Stiamo ottenendo quanto segue:

sshd[xxxx]: Bad protocol version identification '\200\342\001\003\001' from xx.xx.xx.xxxx

Non conosco il formato che '\200\342\001\003\001' è presente, quindi sarebbe bello se qualcuno potesse aiutare!

8
Mehcs85

Questa è la rappresentazione ottale (base 8). Durante i passaggi iniziali di una connessione SSH, il client e il server si scambiano reciprocamente le versioni del protocollo che implementano, come stringhe. Queste stringhe devono seguire un formato specifico.

Qui, il tuo server ha ricevuto dal client una stringa "versione protocollo" composta da cinque byte, del valore 128, 226, 1, 3 e 1, in questo ordine. Questa non è una "stringa di versione del protocollo" che ha senso. Probabilmente, il client non stava provando a fare alcun SSH, ma piuttosto un altro protocollo.

Molti virus provano a propagarsi automaticamente in quel modo: provando vulnerabilità note di alcuni protocolli su porte e indirizzi IP casuali. Quindi qualsiasi server raggiungibile pubblicamente (come il tuo server SSH) otterrà quel tipo di rumore. La cosa migliore da fare è ignorarlo del tutto.

18
Thomas Pornin

Aggiungendo un po 'a His Majestic Ursinity, potrebbe essere e scommetto che è (era) un ClientHello in formato SSL2 che offre l'aggiornamento a TLS1.0. Nel 2013, prima che POODLE e DROWN motivassero finalmente le persone a eliminare le interfacce SSL3 obsolete e persino SSL2, era abbastanza comune per i client TLS utilizzare il formato SSL2 perché erano stati configurati o codificati in questo modo anni prima, forse intorno al 2005 quando in realtà erano ancora un numero significativo di server SSL2 - e viceversa i server TLS sono rimasti configurati o codificati per accettare il formato SSL2 (anche se non il protocollo SSL2 ) in ordine gestire quei clienti senza confondere errori e/o roundtrip aggiuntivi. Un server SSH, ovviamente, non capisce il formato SSL2 o SSL3/TLS.

1