SSH是一個好的應(yīng)用程序，在正確使用時，它可以彌補網(wǎng)絡(luò)中的漏洞。但是當(dāng)SSH的攻擊導(dǎo)致CPU利用率突發(fā)增高時，讓我們看看如何處理。

網(wǎng)絡(luò)環(huán)境

網(wǎng)絡(luò)中運行的路由器出現(xiàn)CPU使用率突發(fā)增高現(xiàn)象，同時出現(xiàn)以下告警信息：
 

Current FSM is : SSH_Main_VersionMatch  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa  
tch TO SSH_Main_Disconnect  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif  
fer: 1 vs. 2  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed  
by SSH Server  
Current FSM is : SSH_Main_VersionMatch  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa  
tch TO SSH_Main_Disconnect  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_Connect T  
O SSH_Main_VersionMatch  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif  
fer: 1 vs. 2  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed  
by SSH Server 

網(wǎng)絡(luò)中的路由器組網(wǎng)圖

故障分析

根據(jù)告警的提示信息，分析可能原因是由SSH的攻擊導(dǎo)致的。

在SSH會話過程中，服務(wù)器端與客戶端經(jīng)過以下五個階段建立安全通道:

版本號協(xié)商

密鑰算法協(xié)商

認(rèn)證方法協(xié)商

會話請求

交互會話

由于路由器上支持的是SSH1.5版本，而SSH客戶端使用的是SSH 2.0版本?？蛻舳伺c路由器SSH版本，因此設(shè)備會產(chǎn)生SSH版本不匹配的告警。

SSH會話一直處在版本號協(xié)商階段，會導(dǎo)致CPU突發(fā)性增高的現(xiàn)象。

操作步驟

步驟 1     執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟 2     執(zhí)行命令user-interface[ vty ] first-ui-number [last-ui-number ]，進入VTY用戶界面視圖。

步驟 3     執(zhí)行命令protocol inbound telnet，配置所在用戶接口支持的協(xié)議為Telnet。

配置完成后，用戶接口支持的協(xié)議，即只接受Telnet用戶，不接受SSH用戶。因此不再告警，CPU使用率下降，問題得以解決。

----結(jié)束

案例總結(jié)

SSH攻擊工具在網(wǎng)上有很多，且攻擊源也很多。如果沒有SSH登錄的需求，建議平時只允許telnet登錄，避免路由器遭受SSH攻擊，導(dǎo)致CPU使用率增高。

【編輯推薦】

1. 通過四步防御SSH攻擊
2. 如何無需密碼進行SSH連接
3. 如何建立SSH加密的MySQL復(fù)制