SSH通信协议浅析

最新推荐文章于 2024-08-17 11:30:00 发布
最新推荐文章于 2024-08-17 11:30:00 发布
阅读量2.8k 收藏
点赞数
分类专栏: 网络编程 文章标签: ssh 通信 报文格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smartfox80/article/details/25877997
版权

整个通讯过程中,经过下面几个阶段协商实现认证连接。

  第一阶段:

  由客户端向服务器发出 TCP 连接请求。TCP 连接建立后,客户端进入等待,服务器向客户端发送第一个报文,宣告自己的版本号,包括协议版本号和软件版本号。协议版本号由主版本号和次版本号两部分组成。它和软件版本号一起构成形如:

  "SSH-<主协议版本号>.<次协议版本号>-<软件版本号>\n"

  的字符串。其中软件版本号字符串的最大长度为40个字节,仅供调试使用。客户端接到报文后,回送一个报文,内容也是版本号。客户端响应报文里的协议版本号这样来决定:当与客户端相比服务器的版本号较低时,如果客户端有特定的代码来模拟,则它发送较低的版本号;如果它不能,则发送自己的版本号。当与客户端相比服务器的版本号较高时,客户端发送自己的较低的版本号。按约定,如果协议改变后与以前的相兼容,主协议版本号不变;如果不相兼容,则主主协议版本号升高。

  服务器接到客户端送来的协议版本号后,把它与自己的进行比较,决定能否与客户端一起工作。如果不能,则断开TCP 连接;如果能,则按照二进制数据包协议发送第一个二进制数据包,双方以较低的协议版本来一起工作。到此为止,这两个报文只是简单的字符串,你我等凡人直接可读。

  第二阶段:

  协商解决版本问题后,双方就开始采用二进制数据包进行通讯。由服务器向客户端发送第一个包,内容为自己的 RSA主机密钥(host key)的公钥部分、RSA服务密钥(server key)的公钥部分、支持的加密方法、支持的认证方法、次协议版本标志、以及一个 64 位的随机数(cookie)。这个包没有加密,是明文发送的。客户端接收包后,依据这两把密钥和被称为cookie的 64 位随机数计算出会话号(session id)和用于加密的会话密钥(session key)。随后客户端回送一个包给服务器,内容为选用的加密方法、cookie的拷贝、客户端次协议版本标志、以及用服务器的主机密钥的公钥部分和服务密钥的公钥部分进行加密的用于服务器计算会话密钥的32 字节随机字串。除这个用于服务器计算会话密钥的 32字节随机字串外,这个包的其他内容都没有加密。之后,双方的通讯就是加密的了,服务器向客户端发第二个包(双方通讯中的第一个加密的包)证实客户端的包已收到。

  第三阶段:

  双方随后进入认证阶段。可以选用的认证的方法有:

  (1) ~/.rhosts 或 /etc/hosts.equiv 认证(缺省配置时不容许使用它);

  (2) 用 RSA 改进的 ~/.rhosts 或 /etc/hosts.equiv 认证;

  (3) RSA 认证;

  (4) 口令认证。

  如果是使用 ~/.rhosts 或 /etc/hosts.equiv 进行认证,客户端使用的端口号必须小于1024。

  认证的第一步是客户端向服务器发 SSH_CMSG_USER 包声明用户名,服务器检查该用户是否存在,确定是否需要进行认证。如果用户存在,并且不需要认证,服务器回送一个SSH_SMSG_SUCCESS 包,认证完成。否则,服务器会送一个 SSH_SMSG_FAILURE 包,表示或是用户不存在,或是需要进行认证。注意,如果用户不存在,服务器仍然保持读取从客户端发来的任何包。除了对类型为 SSH_MSG_DISCONNECT、SSH_MSG_IGNORE 以及 SSH_MSG_DEBUG 的包外,对任何类型的包都以 SSH_SMSG_FAILURE 包。用这种方式,客户端无法确定用户究竟是否存在。

  如果用户存在但需要进行认证,进入认证的第二步。客户端接到服务器发来的 SSH_SMSG_FAILURE 包后,不停地向服务器发包申请用各种不同的方法进行认证,直到时限已到服务器关闭连接为止。时限一般设定为 5 分钟。对任何一个申请,如果服务器接受,就以 SSH_SMSG_SUCCESS 包回应;如果不接受,或者是无法识别,则以 SSH_SMSG_FAILURE 包回应。

  第四阶段:

  认证完成后,客户端向服务器提交会话请求。服务器则进行等待,处理客户端的请求。在这个阶段,无论什么请求只要成功处理了,服务器都向客户端回应 SSH_SMSG_SUCCESS包;否则回应 SSH_SMSG_FAILURE 包,这表示或者是服务器处理请求失败,或者是不能识别请求。会话请求分为这样几类:申请对数据传送进行压缩、申请伪终端、启动 X11、TCP/IP 端口转发、启动认证代理、运行 shell、执行命令。到此为止,前面所有的报文都要求 IP 的服务类型(TOS)使用选项 IPTOS_THROUGHPUT。

  第五阶段:

  会话申请成功后,连接进入交互会话模式。在这个模式下,数据在两个方向上双向传送。此时,要求 IP 的服务类型(TOS)使用 IPTOS_LOWDELAY 选项。当服务器告知客户端自己的退出状态时,交互会话模式结束。

  (注意:进入交互会话模式后,加密被关闭。在客户端向服务器发送新的会话密钥后,加密重新开始。用什么方法加密由客户端决定。)

聪明的狐狸
关注
专栏目录
【计网】SSH协议详解
muyiyufei的博客
03-01 6944
SSH(Secure Shell),安全外壳协议,是一种建立在应用层基础上的安全协议,通过对密码进行加密传输验证,可以在不安全的网络中对网络服务提供安全地传输环境,实现SSH客户端和SSH服务器的连接,所以SSH是基于客户端-服务器模式。
网络工程师必学知识:SSH登录抓包分析报文交互过程
lvshiliang123的博客
05-06 977
SSH(Secure Shell ,安全外壳协议),就是在不安全的协议外层再加一层安全外壳。比如说telnet+SSH=stelnet。SSH由三个组件构成:SSH传输层协议、SSH用户认证协议、SSH连接协议。抓包第一、二、三阶段基本上能很清晰的能看出来,四、五有点勉强。因为到了第三步后面的数据就开始加密了。今天到此为止,请关注我,后面更精彩。
SSH协议详解(转载)
E1even的博客
08-04 1787
SSH协议详解 转发的http://blog.csdn.net/macrossdzh/article/details/5691924 很透彻啊,学习了 一、什么是SSH SSH是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、Pop、甚至为PPP提供一
网络安全项目实战(四)--报文检测
cat_fish_rain的博客
12-15 969
一般来说,目前流行的做法是对数据进行hash,得到的hash值和数据一起传输,然后在收到数据的时候也对数据进行hash,将得到的hash值和传输过来的hash值进行比对,如果是不一样的,说明数据已经被修改过;如果是一样的,则说明极有可能是完整的。全称为Secure Shell,即很安全的shell,主要目的是用来取代传统的telnet和r系列命令(rlogin,rsh,rexec等)远程登录和远程执行命令的工具,实现远程登录和远程执行命令加密,防止由于网络监听而出现的密码泄露,从而对系统构成威胁。
【网络协议】远程登录安全连接协议SSH(Secure Shell)
最新发布
wangluoanquan111的博客
08-17 1706
SSH(SecureShell)协议是一种用于在不安全网络上提供安全远程登录、命令执行和数据传输的加密网络协议,通过公钥加密和身份验证技术确保通信的安全性和隐私性。![在这里插入图片描述](https://img-SSH(Secure Shell)最初由Tatu Ylönen在1995年开发,现在已经发展成为一种广泛使用的标准工具,尤其是在Unix和Linux系统中。因为telnet的明文传输特性,很多网络设备的登录方式也由telnet改为SSH登录。
SSH报文交互
weixin_34248118的博客
03-02 1909
第一篇文章就献给我比较喜欢的安全方面的协议吧。 今天的工作是验证了我们新设备的SSH模块功能,说实话,对于这类安全的模块我还是比较感兴趣的,所以我希望我可以从协议的封装字段的层面去了解这个协议完整的执行过程,不过我也知道一口吃个胖子不太现实,所以我就结合自己对于这类加密认证的协议来给未来的我聊聊现在这个“菜鸟自我”的理解吧。 众所周知,一个协议的产生无非几种情...
SSH交互报文捕获
03-07
在PuTTY客户端抓包结果
ssh传输层协议
山鬼谣的专栏
01-24 3613
环境纯理论知识,只是笔记,非教程二进制协议格式每个数据包为以下格式: 类型 名称 uint32 packet_length byte padding_length byte[n1] payload; n1=packet_length-padding_length-1 byte[n2] random padding; n2=padding_length byt
ssh协议浅析
12-24
SSH(Secure Shell)协议是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他网络服务。这个协议通过加密技术确保数据传输的安全性,防止中间人攻击和数据被窃听。以下是SSH协议的详细分析: 1. **协议...
浅析SSL SSH加密原理
小楼吹彻玉笙寒
01-20 2134
前言 本文浅析了SSL和SSH加密原理,分为加密基本知识和SSL/SSH协议内容两部分。本文不涉及具体非对称加密算法。同时由于资料的零碎,虽然我尽量让文章有结构,但也难免有地方不太完美,
浅析计算机通信中的网络安全.pdf
09-20
除了上述提到的安全协议,还有远程登录安全协议SSH(Secure Shell)和安全电子交易协议SET(Secure Electronic Transaction)等,它们在各自的领域内为计算机通信提供了安全保护。SSH通过密钥对和加密技术保证远程登录的...
SFTP 源码浅析1
08-08
SFTP(Secure File Transfer Protocol)是一种基于SSH协议的安全文件传输协议。本文主要探讨SFTP客户端的源码实现,特别是其整体框架和命令调度机制。 1. **整体框架** SFTP客户端启动时,首先通过ssh程序与目标...
车联网业务安全浅析.pdf
08-24
车联网业务安全浅析 车联网是信息技术与交通运输领域的深度融合,它涉及到汽车、通信、交通等多个行业,为驾驶者提供了丰富的服务,如导航、娱乐、远程监控等。然而,随着技术的发展,车联网业务的安全问题日益凸显...
SSH详解
q6771020的博客
02-24 2670
说明一下整个过程 1、TCP握手建立连接 2、Banner报文 Client => Server banner消息,就是一个hello包 ,带上版本信息和标识 Server => Client banner消息,也是一个hello包 3、Key Exchange Init 交换客户端和服务器双方支持的加密组件的协议和版本,并选择双方支持的协议和最高版本 Server => Client Client => Server Client =&gt...
ssh远程登录协议和tcp wappers
sea_bunch的博客
02-18 1172
SELinux也就是安全强化的linux,解决传统 Linux 系统中自主访问控制系统中的各种权限问题对于 SELinux,初学者可以这么理解,它是部署在 Linux 上用于增强系统安全的功能模块。访问控制系统的特点:自主访问控制系统强制访问控制系统。
SSH命令详解
热门推荐
m0_60873746的博客
05-25 4万+
SSH 是一种用于远程管理和操作服务器的协议,可确保数据传输安全和可靠性。本篇博客介绍了 SSH 的基础知识,包括连接远程主机、指定登录用户和端口号、使用身份验证文件、执行远程命令等操作。同时,也介绍了如何使用密钥对登录远程主机,提高了系统的安全性。
SSH的原理与配置
m0_60797416的博客
08-02 243
是明文协议,如果数据包被嗅探,可能泄露口令,(安全壳)传输的数据经过加密,安全!必须设置域名,密钥生成用到。
操作系统:SSH协议知识介绍
IT技术分享社区
02-10 3148
今天给大家分享SSH协议相关的知识介绍,希望对大家能有所帮助! 1、SSH协议概念介绍SSH(Secure Shell)安全外壳协议,是一种建立在应用层...
SSH协议详解
weixin_44314499的博客
01-28 751
作为程序员,一定不会没有用过ssh吧。当我们需要远程登录到服务器上进行操作的时候,一般就会用sshssh是secure shell的简称,它相对于早起的telnet和rsh的明文传输,提供了加密、校验和压缩,使得我们可以很安全的远程操作, 而不用担心信息泄露(当然不是绝对的,加密总有可能被破解,只是比起明文来说那是强了不少)。 本文会详细的讲解SSH协议是怎么定义的,以及他是怎么实现安全的加密。...
SSH协议详解与安全特性
"SSH安全协议文档,详细描述了SSH协议及其分配的数字标准" ...SSH协议通过其严谨的设计和标准化过程,为互联网上的安全通信提供了一种强大的工具。理解并遵循SSH协议的标准,对于开发和维护支持SSH的软件至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值