我的任务是检测网络中的 ssh 流。现在我正在使用 wireshark 观察 ssh 流。我可以轻松看到所有 ssh 流都以“SSH-......”开头。例如:
SSH-2.0-OpenSSH_5.4p1_hpn13v11 FreeBSD-20100308\x0d\x0a
我想问一下我的观察是否正确,所有 ssh 流是否都以“SSH- ......”开头。而且我正在搜索 RFC,为什么我无法在任何文档中验证我的观察。
答案1
所有 SSH 流程都以服务器向客户端显示其横幅开始。您可以通过一个简单的 来查看此横幅telnet server 22。
此横幅的格式(正确称为“识别字符串”)描述于RFC 4253 s4.2,并且总是以 开头SSH-,后跟软件版本,然后是另一个连字符和软件版本。