• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

有没有办法阻止远程非法SSH反复连接?

11小时前提问
  • 0关注
  • 0收藏,59浏览
粉丝:0人 关注:0人

问题描述:

MSR830,Comware V5,做了ACL阻止外网SSH/TELNET登录,但某些IP接连不断地发起SSH连接,持续几个小时之久。有没有办法将一定次数登录失败的IP加入黑名单并禁止连接?【没有attack-defense login max-attempt命令

4 个回答
粉丝:8人 关注:46人

用防火墙吧。禁止非信任到local的策略。

暂无评论

粉丝:209人 关注:0人

您好,可以做对应的acl,只允许部门地址访问

暂无评论

粉丝:23人 关注:1人

在 Comware V5 系统上,虽然没有 attack-defense 这类高级功能,但仍可通过以下几种方法来应对。

核心思路:组合使用 ACL 与黑名单

建议组合使用以下三种方法,从允许登录、拒绝连接、手动封锁三个层面来防御。

1. 严格限制 SSH 登录源 IP(治本之策)

这是最根本的防御方法。通过 ACL(访问控制列表)限制只有受信任的 IP 才能访问 SSH 服务,可彻底阻断来自其他 IP 的连接尝试。

操作步骤:

  1. 创建 ACL:定义一个高级 ACL,仅允许指定的管理 IP 访问。

    bash
    system-view acl number 3000 # 允许特定 IP(例如 192.168.1.100)访问 SSH rule 5 permit tcp source 192.168.1.100 0.0.0.0 destination-port eq 22 # 默认拒绝所有其他 IP(隐含规则) quit
  2. 应用 ACL 到 VTY 接口:将 ACL 绑定到 VTY(虚拟类型终端)用户界面上,使规则对所有 SSH 登录生效

    bash
    user-interface vty 0 4 acl 3000 inbound quit
  3. (可选)若需支持多个管理 IP:在 ACL 中添加多条 rule permit 语句即可。

2. 启用黑名单功能并手动封锁 IP

如果已经确定了攻击源 IP(如 1.2.3.4),可以将其加入黑名单直接丢弃其流量。

bash
system-view blacklist ip 1.2.3.4

注意:MSR830 的黑名单容量有限,达到上限后无法继续添加

3. 在 WAN 口入方向应用 ACL 进行过滤

如果攻击流量巨大,可以在 WAN 口上直接应用 ACL 过滤,从入口处阻断攻击。

bash
interface GigabitEthernet 0/0 # 假设为 WAN 口 packet-filter 3000 inbound quit

🔧 进阶配置:阻断非信任源的 SSH 探测

如果不想配置复杂的 IP 白名单,也可以只阻断来自外网的 SSH 连接尝试。

操作步骤:

  1. 创建 ACL:在 ACL 中明确拒绝所有去往本设备 SSH 端口(TCP 22)的流量

    bash
    system-view acl number 3001 rule 5 deny tcp destination-port eq 22 quit
  2. 应用 ACL 到 VTY 接口:将 ACL 绑定到 VTY 用户界面。

    bash
    user-interface vty 0 4 acl 3001 inbound quit

暂无评论

粉丝:20人 关注:2人

H3C MSR830 Comware V5 无attack-defense login max-attempt自动黑名单,四层防护完整方案
一、版本限制说明
Comware V5 老款 MSR 系列无登录 IP 自动黑名单封禁功能,不支持输错密码自动拉黑源 IP;只能通过「静态 ACL 拦截 + SSH 参数加固 + 账号密码锁定 + 端口隐蔽」四层组合防御,阻止持续 SSH 暴力扫描。
方案 1:核心加固(优先部署,阻断持续扫描)
1. 严格 ACL 白名单(最有效,外网彻底屏蔽非法 IP)
只允许内网运维 IP 访问 SSH,所有外网 IP 直接拒绝 22 端口连接,从源头杜绝持续扫描:
bash
运行
system-view
# 高级ACL,仅内网运维192.168.1.0/24允许SSH
acl number 3000
rule permit tcp source 192.168.1.0 0.0.0.255 eq 22
rule deny tcp eq 22
# 绑定VTY虚拟终端,所有远程登录匹配ACL
user-interface vty 0 15
acl 3000 inbound
若必须开放外网远程运维,仅放行固定公网运维 IP,不要全网段放开。
2. SSH 服务内置重试限制(减少扫描尝试次数)
限制单 IP 最多连续输错 3 次密码直接断开连接,缩短扫描窗口:
bash
运行
# SSH连续认证失败最大重试3次
ssh server authentication-retries 3
# SSH空闲超时60秒,无效连接快速释放
ssh server timeout 60
# 强制仅使用SSH2,关闭不安全SSH1
ssh server compatible-ssh1x disable
3. AAA 本地账号登录锁定(锁账号,缓解持续爆破)
开启密码安全控制,连续输错密码直接锁定账号,攻击者无法继续尝试:
bash
运行
system-view
password-control enable
# 连续输错5次锁定账号,锁定30分钟自动解锁
password-control login-attempt 5 lock-time 30
查看锁定账号:display local-user;手动解锁:local-user admin unlock。
方案 2:手动黑名单拦截(已出现持续攻击 IP 时临时拉黑)
发现扫描 IP(如103.XX.XX.XX),添加永久 ACL 拒绝该 IP 所有入站流量:
bash
运行
acl number 3001
rule deny source 103.XX.XX.XX 0
rule permit ip
# 绑定外网接口入方向,拦截攻击IP所有报文
interface GigabitEthernet 0/0
packet-filter inbound acl 3001
批量拉黑技巧
查看登录失败日志定位攻击 IP:display logbuffer | include Failed password,提取扫描 IP 批量写入 ACL。
方案 3:进阶隐蔽优化(降低被扫描概率)
1. 修改 SSH 标准 22 端口(规避自动化扫描器)
bash
运行
ssh server port 2222
运维连接时指定端口ssh -p 2222 设备IP,绝大多数自动扫描工具仅探测 22 端口,大幅减少扫描流量。
2. 关闭无用 Telnet 服务,缩小攻击面
bash
运行
undo telnet server enable
方案 4:长效兜底(无法白名单外网开放场景)
定期查看安全日志,手工拉黑高频扫描 IP;
升级设备固件至 Comware V7,V7 原生支持attack-defense login enable自动 IP 黑名单,输错密码自动封禁源 IP;
上层防火墙 / 运营商 ACL 拦截外网高危扫描 IP 段。
极简操作顺序总结
优先配置 VTY ACL 白名单,仅内网运维访问 SSH;
配置 SSH 重试 3 次、超时 60 秒,开启账号密码锁定;
发现持续扫描 IP,通过接口 ACL 手动拉黑攻击源;
可选修改 SSH 非标准端口,减少自动化扫描。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明