Mi tarea es detectar flujos ssh en la red. Ahora estoy observando el flujo ssh con Wireshark. Y puedo ver fácilmente que todos los flujos ssh comienzan como "SSH-......". Un ejemplo:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
Quiero preguntar si mi observación es correcta, ¿todos los flujos ssh comienzan con "SSH-........."? Y también estoy buscando en los RFC, por qué no puedo verificar mi observación en ningún documento.
Respuesta1
Todos los flujos SSH comienzan cuando el servidor presenta su banner al cliente. Puedes ver este banner con un simple telnet server 22.
El formato de este banner (propiamente llamado "cadena de identificación") se describe enRFC 4253 s4.2, y siempre comienza SSH-, seguido de la versión del software, luego otro guión y la versión del software.