故障分析:SSH的攻擊導(dǎo)致CPU利用率突發(fā)增高
SSH是一個(gè)好的應(yīng)用程序,在正確使用時(shí),它可以彌補(bǔ)網(wǎng)絡(luò)中的漏洞。但是當(dāng)SSH的攻擊導(dǎo)致CPU利用率突發(fā)增高時(shí),讓我們看看如何處理。
網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)中運(yùn)行的路由器出現(xiàn)CPU使用率突發(fā)增高現(xiàn)象,同時(shí)出現(xiàn)以下告警信息:
- Current FSM is : SSH_Main_VersionMatch
- %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa
- tch TO SSH_Main_Disconnect
- %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif
- fer: 1 vs. 2
- %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed
- by SSH Server
- Current FSM is : SSH_Main_VersionMatch
- %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa
- tch TO SSH_Main_Disconnect
- %Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_Connect T
- O SSH_Main_VersionMatch
- %Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif
- fer: 1 vs. 2
- %Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed
- by SSH Server
網(wǎng)絡(luò)中的路由器組網(wǎng)圖
故障分析
根據(jù)告警的提示信息,分析可能原因是由SSH的攻擊導(dǎo)致的。
在SSH會(huì)話過(guò)程中,服務(wù)器端與客戶端經(jīng)過(guò)以下五個(gè)階段建立安全通道:
版本號(hào)協(xié)商
密鑰算法協(xié)商
認(rèn)證方法協(xié)商
會(huì)話請(qǐng)求
交互會(huì)話
由于路由器上支持的是SSH1.5版本,而SSH客戶端使用的是SSH 2.0版本。客戶端與路由器SSH版本,因此設(shè)備會(huì)產(chǎn)生SSH版本不匹配的告警。
SSH會(huì)話一直處在版本號(hào)協(xié)商階段,會(huì)導(dǎo)致CPU突發(fā)性增高的現(xiàn)象。
操作步驟
步驟 1 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。
步驟 2 執(zhí)行命令user-interface[ vty ] first-ui-number [last-ui-number ],進(jìn)入VTY用戶界面視圖。
步驟 3 執(zhí)行命令protocol inbound telnet,配置所在用戶接口支持的協(xié)議為T(mén)elnet。
配置完成后,用戶接口支持的協(xié)議,即只接受Telnet用戶,不接受SSH用戶。因此不再告警,CPU使用率下降,問(wèn)題得以解決。
----結(jié)束
案例總結(jié)
SSH攻擊工具在網(wǎng)上有很多,且攻擊源也很多。如果沒(méi)有SSH登錄的需求,建議平時(shí)只允許telnet登錄,避免路由器遭受SSH攻擊,導(dǎo)致CPU使用率增高。
【編輯推薦】
