terrapin-attack.com 安全测评
Terrapin SSH漏洞资料
⚡ 评分构成
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
- 信息透明,包含攻击条件、影响范围、缓解建议和披露时间线
- 扫描器跨主要平台提供预构建二进制文件并开放源代码
- 检测逻辑相对安全,不执行完整攻击
- 研究已关联 Real World Crypto、Black Hat USA、USENIX Security 等会议
- 不是商业化安全平台,缺少集中管理、资产发现、持续监控和告警能力
- 扫描器只判断风险条件与 strict kex 支持,不执行完整握手或攻击验证
- 修复依赖 SSH 客户端和服务器双方同时支持 strict key exchange
- 正文未提供 SLA、企业支持、合规认证或中文本地化信息
深度测评
是什么
Terrapin Attack 是围绕 SSH 协议完整性缺陷的研究与响应站点。正文说明,Terrapin 是一种针对 SSH 传输层的前缀截断攻击,攻击者在具备网络层主动中间人能力时,可通过操纵握手阶段序列号,删除安全通道开头的部分消息而不被客户端或服务器发现。其现实影响包括降级扩展协商、影响 RSA 公钥认证安全、关闭 OpenSSH 9.5 中部分击键时序攻击防护,并可能配合 AsyncSSH 等实现缺陷形成更强攻击。
核心能力与防护维度
该站点提供的主要工具是 Go 编写的控制台漏洞扫描器,可检测 SSH 服务器或客户端是否提供受影响的加密模式,以及是否支持 OpenSSH 采用的 strict key exchange 缓解措施。它不会执行完整握手,也不会真正发起攻击,因此更偏向安全评估而非攻击验证。防护类型属于漏洞检测和缓解指导,不是实时防护产品;部署方式为本地命令行工具,源码和主要平台预构建二进制文件托管在 GitHub。正文未提到合规认证、集中管理、告警、报表、API 或 SIEM 集成。
定价与易用性
正文未出现收费、订阅或商业版信息,扫描器和源码在 GitHub 获取,可视为免费/开源模式。对熟悉 SSH 与命令行的管理员较易使用,但缓解并不简单:strict key exchange 必须客户端和服务器双方都支持才生效;临时禁用 [email protected] 与 [email protected] MAC 也可能因配置不当导致无法登录服务器。
优缺点与适合谁
优点是研究资料完整,包含论文、FAQ、CVE、厂商响应和披露时间线,风险边界说明克制清晰;扫描器安全、轻量、跨平台。缺点是它不是企业漏洞管理平台,没有资产盘点、持续扫描、告警流转和 SLA 支持。它适合安全研究人员、漏洞响应团队、SSH 服务管理员和需要排查公网或内网 SSH 资产的企业安全团队。
中国访问与替代品
正文未提供中国大陆访问、支付或本地支持信息,GitHub 资源在国内网络环境下可能存在不稳定因素,但不能据此确认站点状态,故中国访问评为未知。替代或补充方案包括 OpenSSH 配置审计、Nmap SSH 检测脚本、企业漏洞扫描器,以及堡垒机或主机安全平台中的 SSH 基线检查能力。
本测评基于公开资料整理,不构成购买建议,请以 terrapin-attack.com 官网实际信息为准。
中文卖点
权威漏洞说明与扫描器,安全研究价值高。
官网快照
价格走势
用户评价
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。