it-swarm.com.de

SSH Bad Protocol Versionsidentifikationszeichenfolge - Was ist das?

Ich benötige Hilfe beim Identifizieren einiger Fehler bei der Identifizierung der fehlerhaften Protokollversion von unserem Server.

Wir bekommen folgendes:

sshd[xxxx]: Bad protocol version identification '\200\342\001\003\001' from xx.xx.xx.xxxx

Ich kenne das Format nicht, dass '\200\342\001\003\001' ist in, also wäre es toll, wenn jemand helfen könnte!

8
Mehcs85

Dies ist eine oktale Darstellung (Basis 8). Während der ersten Schritte einer SSH-Verbindung senden sich der Client und der Server gegenseitig die Version (en) des von ihnen implementierten Protokolls als Zeichenfolgen. Diese Zeichenfolgen müssen einem bestimmten Format folgen.

Hier hat Ihr Server vom Client eine Zeichenfolge "Protokollversion" erhalten, die aus fünf Bytes mit den Werten 128, 226, 1, 3 und 1 in dieser Reihenfolge besteht. Dies ist keine "Protokollversionszeichenfolge", die Sinn macht. Wahrscheinlich hat der Client überhaupt nicht versucht, SSH auszuführen, sondern ein anderes Protokoll.

Viele Viren versuchen, sich auf diese Weise automatisch zu verbreiten: indem sie bekannte Schwachstellen einiger Protokolle auf zufälligen IP-Adressen und Ports versuchen. Jeder öffentlich erreichbare Server (wie Ihr SSH-Server) wird diese Art von Rauschen bekommen. Am besten ignorieren Sie es ganz.

18
Thomas Pornin

Es könnte sein, dass (ist) ein SSL2-Format ClientHello, das ein Upgrade auf TLS1.0 anbietet. Im Jahr 2013, bevor POODLE und dann DROWN die Menschen endlich dazu motivierten, veraltete SSL3- und sogar SSL2-Schnittstellen zu eliminieren, war es für TLS-Clients ziemlich üblich, das SSL2-Format zu verwenden, da sie Jahre zuvor auf diese Weise konfiguriert oder codiert worden waren, möglicherweise um 2005, als sie dort waren Tatsächlich gab es immer noch eine beträchtliche Anzahl von SSL2-Servern - und umgekehrt blieben TLS-Server so konfiguriert oder codiert, dass sie das SSL2-Format (auch wenn nicht das SSL2-Protokoll ) in der richtigen Reihenfolge akzeptierten um diese Clients ohne verwirrende Fehler und/oder zusätzliche Roundtrips zu behandeln. Ein SSH-Server versteht natürlich weder das SSL2- noch das SSL3/TLS-Format.

1