这是什么类型的sshd攻击？

Question

在我的sshd日志中，我从未见过这样的情况：

Mar 16 17:21:48 x-server sshd[9848]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35026
Mar 16 17:21:48 x-server sshd[9849]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35254
Mar 16 17:21:48 x-server sshd[9850]: Bad protocol version identification 'GET / HTTP/1.1' from 45.143.221.50 port 35384
Mar 16 17:21:48 x-server sshd[9851]: Bad protocol version identification 'GET /vtigercrm/vtigerservice.php HTTP/1.1' from 45.143.221.50 port 35608
Mar 16 17:21:48 x-server sshd[9852]: Bad protocol version identification '\026\003\001' from 45.143.221.50 port 35810
Mar 16 17:21:48 x-server sshd[9853]: Bad protocol version identification 'GET /a2billing/admin/Public/index.php HTTP/1.1' from 45.143.221.50 port 36000
Mar 16 20:57:24 x-server sshd[10424]: Bad protocol version identification 'GET / HTTP/1.1' from 18.206.190.72 port 43800

这种攻击似乎是通过SSH连接启动发送http请求，而这台机器上没有运行and服务器，也没有安装PHP。在这些情况下，这些端口是如何映射到sshd的，这对我来说也是一个谜，因为这个sshd是在NAT之后，并且没有直接连接到互联网。

我怎样才能减轻这种攻击呢？

Answer 1

我不知道它是怎么通过NAT的。但剩下的我会回答的。

端口不是协议:而ssh通常位于端口22，而http位于端口80。这只是为了让我们很容易找到它们。这些协议和端口没有固定的地方。

似乎发生的事情是，一个网络浏览器(或网络蜘蛛)试图连接到端口22 (也许它正在尝试所有的端口)。你的ssh服务器是完全安全的。这是客户端没有正确身份验证的一个例子。只要确保你的日志是旋转的，这样它们就不会填满你的驱动器。

没有ssh连接。ssh连接尚未启动，连接仍处于TCP/IP级别。

来自远程的请求与安装在计算机上的软件无关。例如，当某人连接到一个网站时，他们首先不检查服务器上安装了什么软件。