Meine Aufgabe ist es, SSH-Flows im Netzwerk zu erkennen. Jetzt beobachte ich den SSH-Flow mit Wireshark. Und ich kann leicht erkennen, dass alle SSH-Flows wie „SSH-……“ beginnen. Ein Beispiel:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
Ich möchte fragen, ob meine Beobachtung richtig ist. Beginnen alle SSH-Flows mit „SSH- …“? Außerdem suche ich in RFCs, warum ich meine Beobachtung in keinem Dokument verifizieren kann.
Antwort1
Alle SSH-Flows beginnen damit, dass der Server dem Client sein Banner präsentiert. Sie können dieses Banner mit einem einfachen sehen telnet server 22.
Das Format dieses Banners (korrekterweise "Identifikationszeichenfolge" genannt) ist beschrieben inRFC 4253 s4.2, und es beginnt immer mit SSH-, gefolgt von der Softwareversion, dann einem weiteren Bindestrich und der Softwareversion.