SSH隐蔽性需多层防护:改非标端口并隐藏Banner、强化KEX/加密算法、调整保活行为、最小化日志与进程痕迹,必要时叠加混淆隧道。
SSH连接本身基于TCP协议,所有SSH数据都封装在TCP报文段中传输。但单纯依赖TCP层无法隐藏SSH行为特征,攻击者或网络监控可通过流量模式、端口、握手特征等识别SSH连接。要增强隐蔽性,需在协议栈多层采取措施。
修改默认端口与混淆服务标识
默认22端口是SSH最明显的指纹。即使不改端口,远程服务器的banner(如SSH-2.0-OpenSSH_9.2)也会暴露软件版本和类型。
- 在/etc/ssh/sshd_config中修改Port为非标准值(如2222、443、80),并确保防火墙放行
- 禁用版本泄露:Protocol 2保持启用,同时设置DebianBanner no(Debian/Ubuntu)或编译时禁用banner(OpenSSH源码需改version.h)
- 若需更高隐蔽性,可用sslh或nginx stream module做端口复用——让SSH流量混在HTTPS或HTTP流量中,TCP层面看起来像TLS握手
启用加密与密钥协商强化
弱密钥交换(KEX)、签名算法或加密套件可能被主动探测识别,甚至成为指纹依据(如某些扫描器通过KEX提议顺序判断OpenSSH版本)。
- 在sshd_config中显式指定强算法:
KexAlgorithms curve25519-sha256,ecdh-sha2-nistp521
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com - 禁用已知易被识别的旧算法(如diffie-hellman-group1-sha1、ssh-rsa签名)
- 客户端连接时加-o KexAlgorithms=...可临时覆盖,避免服务端配置未生效时暴露默认行为
控制连接行为与流量特征
SSH会话建立后的交互节奏、包大小分布、空闲保活行为,也可能被DPI设备建模识别。人为调整可降低匹配置信度。
- 服务端启用ClientAliveInterval 300和ClientAliveCountMax 3,避免长空闲触发异常检测
- 客户端使用-o ServerAliveInterval=45 -o ServerAliveCountMax=2维持心跳,使流量更接近常规Web连接
- 禁用TCPKeepAlive yes(默认开启),改用应用层保活,防止底层TCP keepalive暴露SSH会话生命周期
- 对高敏感场景,可结合obfs4或自定义代理隧道,在SSH之上再套一层混淆(注意性能与延迟代价)
日志与元数据最小化
系统日志、连接记录、甚至SSH进程名都可能成为侧信道线索。防御需从可观测性入手。
- 将LogLevel设为INFO或WARNING,避免VERBOSE记录密钥协商细节
- 用systemd隐藏进程参数:在sshd.service中设ProtectProc=invisible(v249+)或重命名二进制为sshd-hidden
- 禁用PrintLastLog no和PrintMotd no,减少登录后输出的固定字符串
- 若使用跳板机,确保中间节点不记录源IP或连接链路(如用ProxyJump而非明文代理日志)
