我的任務是偵測網路中的 ssh 流量。現在我正在使用wireshark觀察ssh流程。我可以輕鬆地看到所有 ssh 流程都以“SSH-......”開頭。一個例子:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
我想問我的觀察是否正確,所有的 ssh 流量是否都以「SSH-......」開頭。而且我也在搜尋 RFC,為什麼我無法在任何文件中驗證我的觀察結果。
答案1
所有 SSH 流程都從伺服器向客戶端展示其橫幅開始。您可以透過簡單的telnet server 22.
該橫幅的格式(正確地稱為“標識字串”)在RFC 4253 s4.2,並且總是以 開頭SSH-,後跟軟體版本,然後是另一個連字符和軟體版本。