SSH 指纹区别

tag-icon tag-icon networking router ssh security modem
SSH 指纹区别

总结:

  • 用户及其同事通过 SSH 访问家庭服务器。最近,同事开始遇到连接问题,遇到与预期不同的 SSH 密钥。
  • 由于可能存在 NAT 环回,本地网络上的用户不会遇到这些问题。
  • 他们发现同事看到的是 Dropbear SSH 服务器,而不是预期的 OpenSSH,这表明调制解调器/路由器正在产生干扰。
  • ISP 提供的调制解调器/路由器 RTF8115VW 没有易于调整的设置,导致对潜在黑客攻击/安全漏洞或配置问题存在不确定性。
  • 用户寻求有关下一步的建议。

完整内容:

我家里有一台服务器,我通过 SSH(本地网络)连接到该服务器,我的同事也直接通过我的 IP 通过 SSH(互联网)访问该服务器。

几天前,我的同事开始遇到连接问题,终端抱怨公钥不一样。我们开始调查。

我发现,当通过本地网络访问时,我看到的指纹与直接连接到服务器时报告的指纹相同,以 开头yury4。即使我访问我的外部 IP,也会发生这种情况:似乎调制解调器/路由器进行了某种 NAT 环回转换,一切正常。然而,我的同事看到另一个指纹,以 开头XyTk/,一直无法连接。

进一步观察后,我们发现他们报告了另一个 SSH 服务器:Dropbear。我看到的是 OpenSSH。经过调查,我发现 Dropbear 似乎是嵌入式系统的理想选择,这让我怀疑是调制解调器/路由器的问题。Bingo:如果我询问调制解调器/路由器它的指纹是什么,它会以 开头的指纹来响应XyTk/

问题是我无法确定发生了什么。我的基本理解是调制解调器/路由器不应该干扰数据包,而应该直接传递它们,对吗?我也不知道如何修复这个问题。调制解调器/路由器来自接入提供商,有些设置似乎无法访问。事实上,我甚至不知道这个小东西是否被入侵,是否有中间人攻击,或者这只是一个配置问题。

下一步的诊断步骤是什么?

编辑:该设备是 RTF8115VW。

答案1

这可能是一项很好的研究,可以找出原因。但你写的内容让我怀疑你可能被黑客入侵了。

那么问问自己,在这种情况下主要该做什么?

  1. 如果您没有什么可失去的,您可以对所发现的问题的发生方式和位置进行一些很好的取证和调查。
  2. 如果有重要的事情,您应该考虑隔离并立即备份,但不要触碰任何现有的备份媒体。——最糟糕的情况是,目前勒索软件正在悄悄加密您的文件,并会在几个小时或几天后弹出来索要钱财。
  3. 一种不那么激进的情况是,路由器成为僵尸网络的一部分,坏人只需动动手指就能访问,进而对其他网站进行一些恶意攻击。

我为什么要考虑黑客攻击?

  • 第一个值得注意的提示是,您打开了 SSH 标准端口到 Internet 端。
    我的看法是:在一体式路由器上,永远不能对 SSH 或任何其他网络服务的标准端口执行此操作。 – 如果(在此路由器或您转发到的服务器中)存在任何实施错误或配置错误,他们就会让您遭受黑客攻击。至少标准端口不断被坏人扫描,日夜不停,全球范围内,完全自动化,就像永不停歇的雨一样。

  • 问题在正常运行一段时间后出现。那么为什么这个功能要改变呢?

  • 路由器的 ssh 守护进程显然是服务于互联网端的。(或者端口转发不是在服务器结束,而是在路由器结束。但为什么呢?)这突然发生了,你甚至不知道如何启用路由器的 ssh 端口。

正如您(和您的同事)所说,您没有改变任何东西(您确定吗?),必须考虑以下几点:

  1. 路由器的固件或配置更新可能有错误。
  2. 互联网提供商的服务技术人员配置错误。
  3. 发生了一次黑客攻击。

我会接受最坏的情况,如果结果证明是错误的,我就会很高兴。

接下来是什么?

再次检查 Dropbear 是否真的托管在路由器上。根据此声明的真实性,整个场景可能会发生变化。

如果属实:

我怀疑你的路由器和服务器至少被入侵了,并且有人未经授权打开了 ssh 端口。

收集信息
  1. 如果您可以并且想要进行一些流量分析,请立即进行,然后断开您的系统与互联网的连接。
  2. 检查日志(路由器、服务器、客户端)是否有可疑条目(但它们可能已被操纵),特别是在功能发生变化的时间跨度内。
  3. 检查您的数据和安装。
消除潜在风险

咨询一些专业的工具(例如恶意软件检查器)是个好主意。

  • 如果尚未完成,请断开互联网连接。
  • 进行一些紧急备份(不使用常规备份媒体,而是保持其离线)
  • 重置路由器,最好安装(重新安装)固件。你几乎无法对后门采取更多措施。
    您可以复制路由器配置,但不要“保存配置”,并且在重置后“通过文件恢复配置”。您可能会重新应用一些不需要的设置。
  • 想想该如何处理你的服务器。通过端口转发,潜在的黑客可以直接接触它,可能先入侵它,然后危及整个局域网。
  • 思考并决定您的客户(包括您的同事的客户!)可能受到损害的潜在风险。
重置后需要考虑的一些事项
  • 在应用您的个人配置之前,请检查路由器的 Internet 端和 LAN 端是否打开了 ssh 端口。务必了解如何启用/禁用此功能。
  • 如果您需要为您的同事提供外部 ssh 访问,请选择一个不常见的端口,最好在 10000 到 65535 之间,并且不要在数字中使用“22”。
  • 确定你正在配置什么。只需采取行动“哦,现在正好可以用了”是个坏主意。——准确清理反复试验留下的残骸。
  • 想象一下一个真正的防火墙,它将您的互联网可访问服务器与您的 LAN 隔离开来。
  • 强化暴露在互联网上的服务器
  • 如果您必须使用动态 DNS 提供商,请不要选择路由器制造商提供的服务。这是针对硬件特定黑客的蜜罐。
  • 要断开与黑客数据库的连接,请选择不同的 DNS 名称。如果您有固定的外部 IP 地址,请尽可能选择更改它。

答案2

问题是我无法确定发生了什么。我的基本理解是调制解调器/路由器不应该干扰数据包,而应该直接传递它们,对吗?

嗯,不完全是。

首先,虽然路由器通常情况下不要在 IP 级别或更高级别上干扰数据包(除了减少 IP TTL),除了普通路由之外,您还有 NAT,NAT 实际上是一种“干扰数据包”的形式,因为它涉及重写 L3(IP)和 L4(TCP/UDP)报头。(这甚至在我们讨论 ALG 又称“NAT 助手”之前 - 例如路由器实际上重写 FTP命令和响应使其通过 NAT 工作……)

但就你的情况而言,问题不在于数据包的混乱,而在于缺乏这导致了差异:

  • 回想一下,当你从外部连接时,你正在连接到路由器的公共 IP 地址。当“端口重定向”规则处于活动状态(基本上是 DNAT)时,路由器会在传递每个数据包之前重写它们的“目标 IP”字段(以便将它们路由到服务器的内部 IP 地址)。

  • 当“端口重定向”规则不是活动状态,但是,没有任何内容被重写 - 因此,如果您连接到路由器的 IP 地址,那么您实际上只是连接到......路由器。

路由器拥有自己的 SSH 服务器是相当正常的。但通常情况下,外部连接 1) 会被路由器的常规防火墙规则拒绝,2) 会被“端口重定向”DNAT 规则覆盖,因此路由器永远不会将它们视为入站。但就你的情况而言,这两条规则似乎都没有正常工作——DNAT 重写没有发生防火墙过滤器未阻止入站连接。

因此,如果我不得不猜测(基于内部“NAT 环回”的事实)如果 WAN 接口似乎可以正常工作,则可能是某种配置问题 - 可能是 ISP 在一夜之间部署了新配置 - 这导致过滤器和 NAT 规则都期望不同的接口作为“入口接口”。 (例如,WAN 接口可能是 eth0.3,但规则期望 WAN 为 eth0.4...)

  • 检查重新启动路由器或删除并重新添加端口重定向规则后该问题是否消失。
  • 检查如果您为不同于通常的端口设置了端口重定向,是否仍会发生这种情况。(这不会解决问题
  • 由于路由器被 ISP 锁定,所以这实际上是 ISP 的问题;请致电他们的技术支持,要求他们更换路由器或类似的东西。

相关内容