Minha tarefa é detectar fluxos ssh na rede. Agora estou observando o fluxo ssh com wireshark. E posso ver facilmente que todos os fluxos ssh começam como "SSH-......". Um exemplo:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
Quero perguntar se minha observação está correta, todos os fluxos ssh começam com "SSH- ......" . E também estou pesquisando em RFCs porque não consigo verificar minha observação em nenhum documento.
Responder1
Todos os fluxos SSH começam com o servidor apresentando seu banner ao cliente. Você pode ver este banner com um simples arquivo telnet server 22.
O formato deste banner (apropriadamente chamado de "string de identificação") é descrito emRFC 4253 s4.2, e sempre começa SSH-, seguido pela versão do software, depois outro hífen e a versão do software.