SSH Keywords
ssh.proto
Trifft den String der Protokollversion im SSH-Protokollbanner. Das Keyword ist ein Sticky Buffer.
Der String der Softwareversion wird in RFC4253 definiert:
This identification string MUST be:
SSH-protoversion-softwareversion SP comments CR LF
Zum Beispiel:
alert ssh any any -> any any (classtype:misc-attack; \
msg:"content matching on SSH protocol version"; \
ssh.proto; content:"2.0"; sid:1; rev:1;)
cognitix Threat Defender unterstützt auch das veraltete Keyword ssh_proto
, allerdings sollte es nicht mehr verwendet werden.
ssh.software
Trifft den String der Softwareversion im SSH-Protokollbanner. Das Keyword ist ein Sticky Buffer.
Der String der Softwareversion wird in RFC4253 definiert:
This identification string MUST be:
SSH-protoversion-softwareversion SP comments CR LF
Zum Beispiel:
alert ssh any any -> any any (classtype:misc-attack; \
msg:"content matching on OpenSSH software string"; \
ssh.software; content:"OpenSSH"; sid:1; rev:1;)
cognitix Threat Defender unterstützt auch die veralteten Keywords ssh_software
und ssh.softwareversion
, allerdings sollten sie nicht mehr verwendet werden.