SSHJ项目中的Terrapin缓解方案与连接问题分析

在SSHJ客户端库的使用过程中，开发者可能会遇到与Terrapin漏洞缓解相关的连接异常问题。本文将通过一个典型场景分析问题成因，并提供解决方案。

问题现象

当用户使用最新版SSHJ连接某些托管SSH服务器时，虽然Terrapin漏洞扫描器显示服务器配置正常，但客户端却抛出异常：

TransportException: SSH_MSG_IGNORE not allowed during initial key exchange in strict KEX

技术背景

该问题涉及SSH协议的两个重要机制：

1. Terrapin漏洞缓解：SSHJ最新版本实现了对CVE-2023-48795（Terrapin攻击）的防护，引入了"strict KEX"模式，该模式在初始密钥交换阶段会禁用某些非必要消息类型。

2. SSH_MSG_IGNORE报文：传统SSH实现中常用作keep-alive机制或流量混淆的消息类型，但在严格密钥交换阶段可能被禁止。

问题根源

通过分析发现，问题源于客户端在连接建立过程中过早启动了keep-alive机制。具体表现为：

• 后台进程在密钥交换阶段发送了SSH_MSG_IGNORE消息
• 服务端配置虽然通过了Terrapin漏洞扫描
• 新版SSHJ的严格模式拒绝了这种非标准交互

解决方案

开发者最终通过以下调整解决问题：

1. 将keep-alive机制的启动时机推迟到完整连接建立之后
2. 确保在初始密钥交换完成前不发送任何非必要协议消息

最佳实践建议

1. 连接时序控制：所有后台任务（如keep-alive）应在SSH会话完全建立后启动
2. 协议兼容性测试：升级SSHJ版本后需全面测试现有连接逻辑
3. 异常处理：对TransportException增加特定处理逻辑，区分密钥交换阶段和其他阶段的错误

总结

该案例展示了安全加固可能带来的兼容性挑战。开发者需要理解协议规范变更对现有实现的影响，特别是涉及加密协商阶段的敏感操作。通过合理调整消息发送时序，既能保持安全防护效果，又能确保业务功能正常运作。