SSH Keywords

ssh.proto

Trifft den String der Protokollversion im SSH-Protokollbanner. Das Keyword ist ein Sticky Buffer.

Der String der Softwareversion wird in RFC4253 definiert:

This identification string MUST be:
  SSH-protoversion-softwareversion SP comments CR LF

Zum Beispiel:

alert ssh any any -> any any (classtype:misc-attack; \
msg:"content matching on SSH protocol version"; \
ssh.proto; content:"2.0"; sid:1; rev:1;)

cognitix Threat Defender unterstützt auch das veraltete Keyword ssh_proto, allerdings sollte es nicht mehr verwendet werden.

ssh.software

Trifft den String der Softwareversion im SSH-Protokollbanner. Das Keyword ist ein Sticky Buffer.

Der String der Softwareversion wird in RFC4253 definiert:

This identification string MUST be:
  SSH-protoversion-softwareversion SP comments CR LF

Zum Beispiel:

alert ssh any any -> any any (classtype:misc-attack; \
msg:"content matching on OpenSSH software string"; \
ssh.software; content:"OpenSSH"; sid:1; rev:1;)

cognitix Threat Defender unterstützt auch die veralteten Keywords ssh_software und ssh.softwareversion, allerdings sollten sie nicht mehr verwendet werden.