私の仕事は、ネットワーク内の SSH フローを検出することです。現在、Wireshark で SSH フローを監視しています。すべての SSH フローが「SSH-......」のように始まっていることが簡単にわかります。例:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
私の観察が正しいかどうか、すべての ssh フローが「SSH- ......」で始まるかどうかを尋ねたいです。また、RFC を検索していますが、どのドキュメントでも私の観察を検証できないのはなぜですか。
答え1
すべての SSH フローは、サーバーがバナーをクライアントに提示することから始まります。このバナーは、単純な で確認できますtelnet server 22。
このバナーの形式(正しくは「識別文字列」と呼ばれる)は、RFC 4253 s4.2常に で始まりSSH-、その後にソフトウェア バージョン、別のハイフン、そしてソフトウェア バージョンが続きます。