SSH 服务器

SSH服务器指的是Secure Shell服务器，是一种安全的加密网络协议。它的作用是在不安全的网络中建立安全的传输，使得数据能够在互联网上进行加密传输，从而保证通信的安全性。简单来说，ssh服务器就是一台安全的远程登录服务器。

SSH服务器最常见的使用场景就是远程登录，同时也可以用于文件传输、执行远程命令等。实际上，SSH服务器作为一种安全协议被广泛应用于服务器的操作和管理上。在使用SSH服务器时，用户需要用到一种叫做ssh客户端的应用程序，该应用程序可以帮助用户连接到SSH服务器。

SSH服务器有许多优势。首先，其加密传输能够避免敏感信息的泄漏，而且安全性得到了很好的保障。此外，SSH服务器可以跨平台使用，不受操作系统的限制，也不需要安装额外的应用程序。最后，SSH服务器可以通过公钥认证等技术增强权限管理，使得管理者对操作数据的敏感级别更为精细，更能够保障数据的安全。

什么是“水龟攻击”

“水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术，。利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用，因此影响当前的大多数SSH实例。

“水龟攻击”会在握手过程中操纵序列值，损害SSH通道的完整性，特别是在使用ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC等特定加密模式时。与攻击相关的三个漏洞的编号为：CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。

攻击者可降级用于用户身份验证的公钥算法，并禁用OpenSSH9.5中针对击键计时攻击的防御。

“水龟攻击”的一个重要前提是攻击者需要处于中间人(MiTM)位置来拦截和修改握手交换。这意味着“水龟攻击“的威胁并不是特别严重。在许多情况下，修补CVE-2023-48795可能不是优先事项。

但值得注意的是，攻击者经常会先入侵目标网络，并潜伏等待合适的时机实施水龟攻击。

全球有上千万台SSH服务器存在漏洞

安全威胁监控平台Shadowserver的报告显示，互联网上有近1100万台暴露的SSH服务器很容易受到“水龟攻击”，约占Shadoserver监控的IPv4和IPv6空间中所有扫描样本的52%。

大多数易受攻击的系统位于美国（330万个），其次是我国（130万个）、德国（100万个）、俄罗斯（70万个）、新加坡（39万个）和日本（38万个）。

虽然并非所有1100万个SSH服务器实例都面临立即受到攻击的风险，但这至少表明对手有大量可供选择的目标实例。

波鸿鲁尔大学团队发布了一个“水龟攻击“漏洞扫描器（https://github.com/RUB-NDS/Terrapin-Scanner），可帮助用户检查SSH客户端或服务器是否存在水龟攻击漏洞。