我认为我的中国 ISP 已开始检测和限制 SSH 连接的带宽。我没有使用默认的 SSH 端口,因此我怀疑他们正在使用深度数据包过滤来检测未加密的握手。
我知道一个解决方案对此进行修补,以加密握手。但是,我有两个问题:
- 这个项目已经有三年了,所以如果我只是按原样编译它,我将放弃 openSSH 三年的安全更新。
- 我的服务器位于美国,我唯一访问的方式是通过 SSH——因此停机或混乱是不可能的。
因此我有两个问题:
- 我可以以某种方式修补当前版本的 openSSH 以使用模糊握手吗?如果可以,我该怎么做?我需要在源中添加/修改哪些文件?
- 在执行此修补程序时,如何避免 ssh 服务器停机?我可以并排安装两个 ssh 服务器吗?
如果有人能帮助我解决这个问题——或者知道更好的方法来混淆 ssh 握手——我将不胜感激!
答案1
您可以使用代理服务器为了击败 DPI,这里有一个屏幕截图来解释它的作用:
截图厚颜无耻地取自TorProject 网站
答案2
1 我可以以某种方式修补当前版本的 openSSH 以使用模糊握手吗?如果可以,我该怎么做?我需要在源中添加/修改哪些文件?
这也许是可行的,但考虑到补丁的年限,可能需要一些时间才能应用。阅读差异有助于解释编辑了什么以及在哪里编辑了什么,但考虑到软件开发已经超过三年,可能需要手动应用补丁。
2 在执行此修补程序时,如何避免 ssh 服务器停机?我可以并排安装两个 ssh 服务器吗?
此停机时间可以忽略不计。sshd 服务器更新过程的一部分是,当您使用 Debian 软件包安装时,它会自行关闭并重新打开。如果您在软件包本身中修补源代码,然后将更新后的软件包(并相应地增加版本)上传到 PPA,然后将该 PPA 添加到您的源代码中,并且apt-get update和apt-get upgrade,就不会出现任何实际的停机问题。