SSH协议是建立在不安全的网络之上的进行远程安全登陆的协议。它是一个协议族，其中有三个子协议，分别是：

• 1、传输层协议[SSH-TRANS]:提供服务器验证、完整性和保密性功能,建立在传统的TCP/IP协议之上。
• 2、验证协议[SSH-USERAUTH]:向服务器验证客户端用户，有基于用户名密码和公钥两种验证方式，建立在传输层协议[SSH-TRANS]之上。
• 3、连接协议[SSH-CONNECT]:将加密隧道复用为若干逻辑信道。它建立在验证协议之上。

继续之前，补充一下两个概念：

• 1、会话密钥 key:key是通过客户端和服务器之间通过诸如D-H算法协商出来的。
• 2、公钥 pub key：pub key成为服务器主机密钥server_host_key，用于SSH-TRANS传输协议进行服务器验证,说白了就是客户端去验证服务器用的

SSH协议握手过程大致流程如下图所示：

下面使用Wirdshark进行抓包分析，开启wireshark抓包，进行一次正常的SSH登录，停止抓包，通过IP过滤出相关的报文如下：

如果将上述报文根据SSH协议运行的流程分析，流程和报文的对应关系如下：

• TCP三次握手

• 版本协议交换

• 密钥协商

在协商阶段客户端和客户端互相告知自己支持的加密方法：

确定加密方法后，交换公钥：

• 加密通信

如果是通过密码登录，SSH就会采用这种自动协商密钥进行非对称加密通信。可以看到此后的报文全部为加密报文。

大概可以看出是以 New Keys 为界，区分密钥协商和加密通信。

内部加密的原理究竟是什么？这一点还需后期继续探索。

参考文献

• SSH Official： https://www.ssh.com/ssh/
• OpenSSH：https://www.openssh.com/
• SSH Wikipedia：https://zh.wikipedia.org/wiki/Secure_Shell
• OpenSSH Wikipedia：https://zh.wikipedia.org/wiki/OpenSSH
• SSH2.0编程 ssh协议过程实现：https://www.cnblogs.com/wchrt/p/4550208.html
• SSH协议介绍：https://blog.csdn.net/macrossdzh/article/details/5691924（转载版本：SSH协议详解）
• SSH 协议基本原理及 wireshark 抓包分析：https://juejin.im/post/6844903685047189512

--------------------- Author: Frytea

Title: OpsnSSH抓包分析 | SSH协议分析

Link: https://blog.frytea.com/archives/440/

Copyright: This work by TL-Song is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.