Моя задача - обнаружить потоки ssh в сети. Сейчас я наблюдаю за потоками ssh с помощью wireshark. И я легко вижу, что все потоки ssh начинаются как "SSH-......". Пример:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
Я хочу спросить, верно ли мое наблюдение, все ли потоки ssh начинаются с "SSH- ......". А также я ищу в RFC, почему я не могу подтвердить свое наблюдение ни в одном документе.
решение1
Все потоки SSH начинаются с того, что сервер представляет свой баннер клиенту. Вы можете увидеть этот баннер с помощью простого telnet server 22.
Формат этого баннера (правильно называемого «идентификационной строкой») описан вRFC 4253 п.4.2, и он всегда начинается с SSH-, затем следует версия программного обеспечения, затем еще один дефис и версия программного обеспечения.