SSH 关键字

Suricata附带了几个规则关键字以匹配SSH连接。

1.ssh_proto

匹配使用的SSH协议版本。

示例（SSH版本2的SSH连接匹配）：

alert ssh any any->any any(msg:"match SSH protocol version";ssh_proto;content:"2.0";sid:1000010;)

说明：

ssh_proto 是一个'粘性缓冲'。

ssh_proto可以用作fast_pattern。

2.ssh_version

匹配SSH横幅上的软件字符串。

示例(匹配SSH连接，其中软件字符串包含“openssh”)：

alert ssh any any->any any(msg:"match SSH software string";ssh_software:content:"openssh";nocase;sid:1000020;)

说明：

ssh_software 是一个'粘性缓冲'。

ssh_software可以用作fast_pattern。

3.ssh.protoversion

这是一个遗留关键字。使用ssh_proto代替。

匹配使用的SSH协议版本。

示例：

alertsshanyany->anyany(msg:"match SSH protocol version";ssh.protoversion:"2.0";sid:1000030;)

4.ssh.softwareversion

这是一个遗留关键字。使用ssh_software代替。

匹配SSH横幅上的软件字符串。

示例：alertsshanyany->anyany(msg:"match SSH software string";ssh.softwareversion:"OpenSSH";sid:10000040;)