SSH-Keywords

ssh.software

Trifft den String der Softwareversion im SSH-Protokollbanner. Das Keyword ist ein Sticky Buffer.

Der String der Softwareversion wird in RFC4253 definiert:

This identification string MUST be:
  SSH-protoversion-softwareversion SP comments CR LF

Zum Beispiel:

alert ssh any any -> any any (classtype:misc-attack; \
msg:"content matching on OpenSSH software string"; \
ssh.software; content:"OpenSSH"; sid:1; rev:1;)