내 임무는 네트워크에서 SSH 흐름을 감지하는 것입니다. 이제 Wireshark를 사용하여 SSH 흐름을 관찰하고 있습니다. 그리고 모든 SSH 흐름이 "SSH-......"처럼 시작되는 것을 쉽게 볼 수 있습니다. 예:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
내 관찰이 올바른지 묻고 싶습니다. 모든 SSH 흐름이 "SSH- ......"로 시작합니까? 또한 RFC를 검색하고 있는데 어떤 문서에서도 내가 관찰한 내용을 확인할 수 없습니다.
답변1
모든 SSH 흐름은 서버가 클라이언트에 배너를 표시하는 것으로 시작됩니다. 간단한 telnet server 22.
이 배너의 형식("식별 문자열"이라고 함)은 다음 항목에 설명되어 있습니다.RFC 4253 s4.2, 항상 시작되고 SSH-그 뒤에 소프트웨어 버전, 또 다른 하이픈 및 소프트웨어 버전이 표시됩니다.