proftpd的SSH_DISCONNECT (Read TImed out,Key exchange failed.错误解决

最新推荐文章于 2024-06-01 22:52:40 发布
最新推荐文章于 2024-06-01 22:52:40 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Java 文章标签: proftpd key exchange failed tls ssl jsch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyri/article/details/91126711
版权

公司有一个线上的sftp服务,使用proftpd提供。近日文件下载的应用日志中连续多日出现了 SSH_DISCONNECT (Read TImed out,Key exchange failed.)错误,现在把分析和解决过程分享一下。

 

问题表现

现场得到的信息包括:

1.对端同时使用scp和jsch两个客户端,只有jsch出现了错误。

 

2.当时并发连接数并不高,100-200之间。

 

 

3.CPU Load不高,个位数。

 

 

4.整点并发新建连接较高。

从第二点的连接数中可以看出。

 

5.发现问题后抓包结果

 

 

协议分析

从日志和抓包结果看,是客户端主动发出的断开连接请求,为什么客户端会主动断开呢?

先来复习一下SSL/TLS协议在OSI七层协议中的位置,以HTTP协议为例,HTTP 既可以直接工作在 TCP 之上,也可以工作在 SSL/TLS 之上,两种情况下 HTTP 协议没有区别。

如果SSL/TLS作为其它应用层协议的安全层,如FTP,那就是SFTP。通常记得SSL /TLS处于传输层和应用层之间就可以了。

 

 

 

简单说说 SSL/TLS 协议的区别。

* SSL 全称为 Secure Socket Layer,即安全套接字层,它是由网景公司(Netscape)在 1994 年推出首版网页浏览器 Netscape Navigator 时提出;

* TLS 全称为 Transport Layer Security,即传输层安全性协议,由 IETF 在 1999 年将 SSL 进行标准化。

两者实现很类似,只是目前 SSL 协议都被认为是不安全的,推荐使用 TLS 协议,比如 Nginx 的配置中推荐使用:

 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

上图中对SSL/TLS内部协议栈显示的不是很清楚,看下图。

 

 

SSL/TLS又分为Record层和Handshake层,不过上图把二者上下关系弄反了,应该是Handshake完毕后进入Record层。

 

我们还是先来复习一下SFTP协议建立连接的过程。

 

每个步骤的报文内容可以参看  https://wx.abbao.cn/a/13847-67e7f706b4622024.html  https://blog.csdn.net/fw0124/article/details/40983787

 

我们看下每一步都做了什么

1. 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器;

2. 服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数

3. 客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;然后,再产生一个称作pre_master_secret的随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加/解密),并将加密后的信息发送给服务器;

4. 客户端与服务器端根据pre_master_secret以及客户端与服务器的随机数值独立计算出加密和MAC密钥(参考DH密钥交换算法)。

5. 客户端将所有握手消息的MAC值发送给服务器;

6. 服务器将所有握手消息的MAC值发送给客户端。

 

 

而我们遇到的情况中,直接在第二步就出错了, key exchange failed.

 

错误偶发,服务器负载不高,总连接数也不高,为什么在初始化刚开始的第二步就出错了呢?

 

除了总连接数的限制,结合连接数监控里看到的情况,应该是和当时的并发新建连接数过高有关。SSHD的配置里对于新建连接的并发有参数控制,还是因为什么设计上的考虑,而不允许同时创建过多新连接?

 

调优解决

过了一遍SSHD里关于连接数的参数,焦点落在了MaxStartups上。

默认配置是这样的

MaxStartups  10:30:60

 

每个参数的作用如下:

10: Number of unauthenticated connections before we start dropping

30: Percentage chance of dropping once we reach 10 (increases linearly for more than 10)

60: Maximum number of connections at which we start dropping everything

 

而我们的配置采用的是默认值,看起来,应该是其中的10的限制导致并发新建连接数目受到了限制。

 

用jsch作为客户端写了个压力测试脚本。

 

int poolsize =100;

poolsize控制总线程数,相应控制总连接数。

 

int threads_count=200;

threads_count控制线程池中等待连接的线程数量。

 

int loops_in_thread=100;

每个线程中进行连接/断开循环的次数,用以模拟频繁新建的场景。

 

import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileOutputStream;
import java.util.ArrayList;
import java.util.List;
import java.util.Properties;
import java.util.Vector;
import java.util.concurrent.ExecutorService;
import java.util.concurrent.Executors;
import org.apache.log4j.Logger;
import org.junit.Test;
import com.jcraft.jsch.Channel;
import com.jcraft.jsch.ChannelSftp;
import com.jcraft.jsch.JSch;
import com.jcraft.jsch.JSchException;
import com.jcraft.jsch.Session;
import com.jcraft.jsch.SftpException;
/**
* @author YueYang
*
*/
public class JSchTest {
       Logger log = Logger.getLogger(getClass());
       String host = "1.2.3.4";
       String username = "username";
       String password = "password";
       int port = 22;
       int poolsize =100;
       int threads_count=200;
       int loops_in_thread=100;
       /**
        * 文件路径前缀
        */
       private static final String PRE_FIX = "/sftp-preffix";
       @Test
       public void conn() {
              Session sshSession = null;
              Channel channel = null;
              try {
                     getSftpConnect(host, port, username, password);
              } catch (JSchException e) {
                     e.printStackTrace();
              }
       }
       @Test
       public void benchmark() {
              ExecutorService fixedThreadPool =  Executors.newFixedThreadPool(poolsize);
              for (int i = 0; i < threads_count; i++) {
                     fixedThreadPool.execute(new Runnable() {
                           @Override
                           public void run() {
                                  System.out.println("Start");
                                  connectSftpOnProftpd(true);
                           }
                     });
              }
              try {
                     Thread.sleep(999999);
              } catch (InterruptedException e) {
                     e.printStackTrace();
              }
       }
       @Test
       public void connSftpOnsshD() {
              Session sshSession = null;
              try {
                     log.debug("connSftpOnsshD start.");
                     String key = host + "," + port + "," + username + "," +  password;
                     JSch jsch = new JSch();
                     JSch.setLogger(new JSchLogger());
                     // jsch.getSession(username, host, port);
                     sshSession = jsch.getSession(username, host, port);
                     sshSession.setPassword(password);
                     Properties sshConfig = new Properties();
                     sshConfig.put("StrictHostKeyChecking", "no");
                     sshSession.setConfig(sshConfig);
                     sshSession.connect();
                     ChannelSftp channel = (ChannelSftp)  sshSession.openChannel("sftp");
                     channel.connect();
                     Vector vector = channel.ls("/");
                     try {
                           for (Object obj : vector) {
                                  if (obj instanceof  com.jcraft.jsch.ChannelSftp.LsEntry) {
                                         String fileName =  ((com.jcraft.jsch.ChannelSftp.LsEntry) obj).getFilename();
                                         System.out.println(fileName);
                                  }
                           }
                     } finally {
                           channel.quit();
                           sshSession.disconnect();
                     }
              } catch (Exception e) {
                     e.printStackTrace();
              }
       }
       public void connectSftpOnProftpd(boolean disconnectAfterWork) {
              int loop = loops_in_thread;
              try {
                     log.debug("connectSftpOnProftpd start.");
                     JSch jsch = new JSch();
                     JSch.setLogger(new JSchLogger());
                     Session session = jsch.getSession(username, host);
                     session.setPassword(password);
                     Properties config = new Properties();
                     config.put("StrictHostKeyChecking", "no");
                     while (loop > 0) {
                           session.setConfig(config);
                           session.connect();
                           ChannelSftp channelSftp = (ChannelSftp)  session.openChannel("sftp");
                           channelSftp.connect();
                           // channelSftp.setFilenameEncoding("gbk");
                           Vector vector = channelSftp.ls("/");
                           try {
                                  for (Object obj : vector) {
                                         if (obj instanceof  com.jcraft.jsch.ChannelSftp.LsEntry) {
                                                String fileName =  ((com.jcraft.jsch.ChannelSftp.LsEntry) obj).getFilename();
                                                System.out.println(fileName);
                                         }
                                  }
                           } finally {
                                  if (disconnectAfterWork) {
                                         channelSftp.quit();
                                         session.disconnect();
                                  }
                           }
                           loop--;
                     }
              } catch (JSchException e) {
                     e.printStackTrace();
              } catch (SftpException e) {
                     e.printStackTrace();
              }
       }
       /**
        * 获取sftp协议连接.
        *
        * @param host
        *            主机名
        * @param port
        *            端口
        * @param username
        *            用户名
        * @param password
        *            密码
        * @return 连接对象
        * @throws JSchException
        *             异常
        */
       public static ChannelSftp getSftpConnect(final String host, final int port,  final String username,
                     final String password) throws JSchException {
              Session sshSession = null;
              Channel channel = null;
              ChannelSftp sftp = null;
              String key = host + "," + port + "," + username + "," + password;
              JSch jsch = new JSch();
              JSch.setLogger(new JSchLogger());
              // jsch.getSession(username, host, port);
              sshSession = jsch.getSession(username, host, port);
              sshSession.setPassword(password);
              Properties sshConfig = new Properties();
              sshConfig.put("StrictHostKeyChecking", "no");
              sshSession.setConfig(sshConfig);
              sshSession.connect();
              channel = sshSession.openChannel("sftp");
              channel.connect();
              sftp = (ChannelSftp) channel;
              return sftp;
       }

 

分别测试了sshd MaxStartups默认值的情况和修改为100:30:60的情况,错误消失,问题解决。

总结

这个问题主要原因在于配置服务时采用默认配置,没有进行相应调优,服务器的性能并没有得到充分利用。

至于jsch为什么出错,而linux下的scp客户端没出错,应该是后者的出错重试机制更好而已。

 

 

yyri
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FTP出现read time out以及文件重传问题解决
bannana119的博客
06-28 8096
最近使用commons-net的FTP时,在传输较大文件的过程中,会出现文件重传的现象,即文件传输完毕之后,文件的大小会重新从零往上增长,直至和原文件大小一致,然后重复几次之后,后台日志中会read time out的错误。 我这个是中间经过了一个防火墙,如果没有类似情况的,可能不会出现这种问题。 1、read time out问题解决 可能是没有设置ftp noop,noop可以让ftp客户端定时向ftp服务器发送一个保持存活的指令,这样ftp客户端就可以跟ftp服务器长期
SecureCRT SSH连接设备时,提示Key exchange failed错误
caofen0653的博客
08-02 3万+
错信息: 解决: 1.选择option-session options,进入会话选项 2.点击SSH2,然后勾选上key-exchange中的diffe-hallman,确认即可
【centos7-Proftpd服务】
最新发布
yanqingteng的博客
06-01 281
5.能够不依赖系统用户,可以使用独立的虚拟用户系统(使用过Serv-U的朋友应该深有体会,配置非常方便,对原有系统环境影响较小)6.对中文的支持良好,vsftpd有个比较严重的bug,对中文中一些字符的支持不是很好(目前只碰到对中文的双引号支持不是很好。下载之后,tar解压到想要的目录,接着配置./config 编译make 安装make install三部曲。注意:通过yum仓库安装与通过源码安装的proftpd,它们各自所生成的配置文件有许多区别。1.高定制化(有许多参数可以设置,具体可百度)
升级ssh8.8Key exchange failed. No compatible key exchange method. The server supports these methods:
weixin_42804852的博客
03-23 8242
因安全需要 ssh7.4升级到8.8之后错 同事用的Xshell小蜗牛 我用的securtCRT , 第一天升级完成之后没有发现问题,第二天来了之后发现连接不了了。。。。。。 同事的小蜗牛能接着连,CRT就不行,于是~ 发现的问题原因: 高版本的openssh需要增加对旧版本CRT客户端密钥交换算法的支持 解决方法: 在配置文件中增加密钥交换算法 配置如下(我这里是/usr/etc/sshd_config文件,具体请根据自己的openssh安装配置情况而定): 在配置文件末尾增加如下两行,如果之前的配
数据治理平台资源注册SFTP资源测试连接失败 java.net. Socket TimeoutException:Read timed out
X_yufei的博客
06-12 315
数据治理平台资源注册SFTP资源测试连接失败 java.net. Socket TimeoutException:Read timed out。ClientAliveCountMax表示服务器发出请求后客户端没有响应的次数达到一定值,就自动断开。ClientAliveInterval 60表示每分钟向客户端发送一次,然后客户端响应,这样保持长时间连接的状态,SSH远程连接不断开。测试dp所在服务器通过ssh命令连接sftp服务器是否可以成功,但是特别慢。修改sftp服务器的配置文件,修改前请先备份。
使用SSH登录Solaris提示“Key exchange algorithm failed”的问题
jacky0922的专栏
04-11 2万+
错误现象: Mar 22 13:31:35 t56222 sshd[12582]: [ID 800047 auth.crit] fatal: no common kex alg: client 'diffie-hellman-group1-sha1', server 'gss-group1-sha1-toWM5Slw5Ew8Mqkay+al2g==' 解决办法: (1) 删除/etc/ssh下面的公钥/私钥对     $ rm -rf /etc/ssh/ssh_host_*_key* (2) 生成新
FTP.rar_ FTP_ftp 上传图片_ftp-c_ftp.zip_服务器
09-24
在Linux环境中,常用的FTP服务器软件有vsftpd、ProFTPD和PureFTPD等。描述中提到的是一个FTP服务器,可能是指其中的一个或多个。 1. **Linux FTP服务器搭建**: 在Linux上设置FTP服务器通常涉及安装FTP服务软件、...
proftpd安装.rar
03-25
ProFTPD的主要配置文件为`/etc/proftpd/proftpd.conf`。此压缩包中包含的`proftp.conf`可能是一个示例或修改过的配置文件,用于演示特定的设置。 5. **虚拟用户**: ProFTPD支持使用虚拟用户,这意味着用户账户...
proftpd-1.3.7a.tar.gz
07-28
- 配置`/etc/proftpd/proftpd.conf`以设置服务器行为。 - 使用`sudo systemctl start proftpd`启动服务。 5. **配置对比与VSFTPD** 相比于另一个流行的FTP服务器软件VSFTPD,ProFTPD的配置文件通常被认为更直观...
ftp_src.rar_ftp linux_linux ftp_linuxsrcftp_site:www.pudn.com_非可
09-14
在Linux中,我们可以使用各种开源的FTP服务器软件,如vsftpd、ProFTPD或vsftpd。这些服务器通常需要配置相应的配置文件来设定权限、用户访问、端口等参数。编程实现FTP服务则涉及到网络编程,通常使用C或C++语言,...
proftpd.tar.gz
10-17
proftpd服务工具,解压后进入proftpd目录,运行 sh init.sh 脚本,输入登陆FTP的密码(用户名为当前登陆的用户名,不能使用root用户)确认默认的8021端口是否被占用,如果占用,修改 etc/proftpd.conf配置里的端口号,...
SFTP文件上传connection closed
窝儿
12-12 1209
sftp 连接关闭 文件上传
(转)SSH问题总结
草根的理想
12-09 532
本文转载自:http://fantlam.blogbus.com/logs/27339525.html 2008-07-20 22:25:27,531 INFO [org.springframework.beans.factory.xml.XmlBeanDefinitionReader] - Loading XML bean definitions from class path reso
notepad ,连接sftp失败 ,Disconnected-> TYPE I Connecting-> Quit , 可能是参数填的不全
h307696812的博客
12-29 449
按照下图填完 可以用了
软件使用【SecureCRT】 SSH连接Key exchange failed
吻等离子的博客
02-10 1万+
SecureCRT连接服务器时错,错信息为:Key exchange failed. No compatible key exchange method. The server supports these methods: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,
UBuntu9.10安装proFTPd支持SFTP
01-23 113
目的 1)支持SFTP协议 2)不采用系统帐号验证方式,改为数据库MySQL验证 3)数据库中不保存密码,只保存经过sha256算法加密过的可打印16位小写字符串,系统中还需保存一个salt文件 4)数据库中指定用户目录,proFTPd能够动态创建用户目录 修改ssh服务端口号为21 修改文件中的配置/etc/ssh/sshd_config 然后重新启动ssh服务 su...
linux中ssh登陆错和实现ssh无密码登陆、ssh配置文件自检方法、secureCRT登录提示Key exchange failed.No compatible key exchange met
崔崇鑫的博客,你linux/云运维工作中的百科全书。
10-09 2万+
免密登陆是通过ssh登陆的,只是少了输入密码这一步,在接触免密要登陆前有必要了解 ssh 的基本运作条件, 下面下说一下 shh 的目录这些以及运行条件 不说基本命令的使用,我使用的工具是secureCRT: ssh连接后公钥 存储目录: 连接服务器:家目录 .ssh known_hosts 里,未ssh连接过任何服务器所以里面是空白: 被连接服务器:/etc/sshssh_host_都...
解决SSH登录无响应timed out问题
热门推荐
JayShaun的博客
10-07 6万+
输入  ssh username@xx.xx.xx.xx 光标一直闪烁,直到提示连接超时timed out。 这是因为服务器端的防火墙禁用了ssh服务的端口,默认为22. 有两种解决方法: 1)直接禁用防火墙 2)只开启22号端口 以Ubuntu为例: 1)直接禁用防火墙 sudo ufw disable   2)只开启22号端口 sudo ufw allow 22/...
filezilla连接ubuntu Connection timed out
10-13
您可以尝试以下步骤来解决此问题: 1. 检查您的防火墙设置,确保允许FileZilla通过端口21或22进行连接。 2. 检查您的网络配置,确保您的Ubuntu服务器可以被访问并且端口21或22是开放的。 3. 确保您的Ubuntu服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值