SSH Bad Protocol Version Identification String- Che cos'è?

Questa è la rappresentazione ottale (base 8). Durante i primi passi di una connessione SSH, il client e il server si scambiano reciprocamente le versioni del protocollo che implementano, come stringhe. Queste stringhe devono seguire un formato specifico.

Qui, il server ha ricevuto dal client una stringa di "versione di protocollo" costituita da cinque byte, di valore 128, 226, 1, 3 e 1, in questo ordine. Questa non è una "stringa di versione del protocollo" che ha senso. Probabilmente, il client non stava provando a fare un po 'di SSH, ma invece un altro protocollo.

Molti virus cercano di propagarsi automaticamente in questo modo: provando vulnerabilità note di alcuni protocolli su indirizzi e porte IP casuali. Quindi qualsiasi server pubblicamente raggiungibile (come il server SSH) otterrà quel tipo di rumore. La cosa migliore da fare è ignorarlo del tutto.

Aggiungendo un po 'a Sua maestosa Ursinity, potrebbe essere e io scommetterei che era (era) un ClientHello in formato SSL2 che offre l'aggiornamento a TLS1.0. Nel 2013, prima che POODLE e DROWN motivassero finalmente le persone a eliminare obsolete interfacce SSL3 e persino SSL2, era abbastanza comune per i client TLS utilizzare il formato SSL2 perché erano stati configurati o codificati in quel modo anni prima, forse intorno al 2005, quando in realtà erano ancora un numero significativo di server SSL2 e, per converso, i server TLS rimanevano configurati o codificati per accettare il formato SSL2 (anche se non SSL2 protocol ) per gestire tali client senza confondere errori e / o extra andata e ritorno. Un server SSH, ovviamente, non comprende il formato SSL2 o SSL3 / TLS.