SSH是一個好的應用程序，在正確使用時，它可以彌補網絡中的漏洞。但是當SSH的攻擊導致CPU利用率突發(fā)增高時，讓我們看看如何處理。

網絡環(huán)境

網絡中運行的路由器出現CPU使用率突發(fā)增高現象，同時出現以下告警信息：
 

Current FSM is : SSH_Main_VersionMatch  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa  
tch TO SSH_Main_Disconnect  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif  
fer: 1 vs. 2  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed  
by SSH Server  
Current FSM is : SSH_Main_VersionMatch  
%Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa  
tch TO SSH_Main_Disconnect  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_Connect T  
O SSH_Main_VersionMatch  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major versions dif  
fer: 1 vs. 2  
%Sep 14 04:15:50 2006 NE40-A-ZZ1 SSH/5/err_dissconnect:The connection is closed  
by SSH Server 

網絡中的路由器組網圖

故障分析

根據告警的提示信息，分析可能原因是由SSH的攻擊導致的。

在SSH會話過程中，服務器端與客戶端經過以下五個階段建立安全通道:

版本號協商

密鑰算法協商

認證方法協商

會話請求

交互會話

由于路由器上支持的是SSH1.5版本，而SSH客戶端使用的是SSH 2.0版本。客戶端與路由器SSH版本，因此設備會產生SSH版本不匹配的告警。

SSH會話一直處在版本號協商階段，會導致CPU突發(fā)性增高的現象。

操作步驟

步驟 1     執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟 2     執(zhí)行命令user-interface[ vty ] first-ui-number [last-ui-number ]，進入VTY用戶界面視圖。

步驟 3     執(zhí)行命令protocol inbound telnet，配置所在用戶接口支持的協議為Telnet。

配置完成后，用戶接口支持的協議，即只接受Telnet用戶，不接受SSH用戶。因此不再告警，CPU使用率下降，問題得以解決。

----結束

案例總結

SSH攻擊工具在網上有很多，且攻擊源也很多。如果沒有SSH登錄的需求，建議平時只允許telnet登錄，避免路由器遭受SSH攻擊，導致CPU使用率增高。

【編輯推薦】

1. 通過四步防御SSH攻擊
2. 如何無需密碼進行SSH連接
3. 如何建立SSH加密的MySQL復制