Zeek项目中SSH协议分析的严格化演进

在网络安全监控领域，Zeek作为一款开源的网络流量分析工具，其协议识别能力直接影响着安全分析的准确性。近期Zeek 7.2.0版本对SSH协议分析器进行了重要改进，引发了关于协议识别严格性的技术讨论。

背景与问题现象

在Zeek 7.1.0到7.2.0-rc1的版本演进过程中，用户观察到约0.21%的SSH流量（主要是扫描和暴力尝试）不再被识别为SSH协议。典型情况是某些客户端发送了不符合RFC 4253规范的SSH标识字符串，如"-HSS2.0-libssh_0.9.6"而非标准的"SSH-.*"格式。

通过分析网络抓包发现，这些异常流量中存在TCP重传不一致现象：初始数据包包含错误的"-HSS"前缀，而后续重传包则修正为合规的"SSH-"前缀。值得注意的是，这些异常数据包往往还伴随着TCP校验和错误。

技术实现变更

Zeek 7.2.0对SSH协议分析器做出了关键性修改：

1. 严格协议验证：当遇到不符合RFC 4253规范的SSH标识字符串时，分析器会立即终止对该连接的SSH协议解析，而不再像7.1.0版本那样继续尝试解析。

2. 校验和处理优化：新版本更严格地处理TCP校验和错误，这实际上帮助过滤掉了许多包含协议违规的损坏数据包。

3. 服务器签名识别：通过调整SSH-server-dpd-signature配置，可以影响服务器响应的解析行为。

技术原理分析

RFC 4253明确规定SSH协议标识字符串必须以"SSH-"开头。在实际网络环境中：

• 合规的SSH服务器（如OpenSSH）会直接拒绝"-HSS"等非标准前缀的连接请求
• 网络中间件可能修改协议标识用于特定目的
• 数据包损坏或TCP校验和错误可能导致协议解析异常

Zeek 7.2.0的变更使协议分析行为更贴近真实SSH实现，减少了误报可能性。当启用TCP校验和检查时，Zeek能正确识别后续合规的重传数据包，产生预期的SSH日志。

实践建议

对于升级到Zeek 7.2.0的用户：

1. 启用完整校验：建议运行Zeek时不使用-C参数，确保TCP校验和验证生效
2. 配置调整：可根据需要调整SSH-server-dpd-signature设置
3. 日志补充：加载policy/protocols/conn/weirds策略可获取更详细的重传不一致告警
4. 流量分析：对SSH流量下降的情况，应结合多种日志综合分析

总结

Zeek 7.2.0对SSH协议分析的严格化改进体现了网络安全监控工具向精确化发展的趋势。这种变化虽然可能导致少量异常流量不再被识别为SSH协议，但提高了整体分析的准确性。理解这些底层机制有助于安全分析师更准确地解读监控数据，特别是在处理网络扫描和异常连接时。

对于企业安全团队而言，这种改进实际上提升了检测质量——真正的SSH通信会被准确记录，而许多异常或恶意的连接尝试会被更早识别和过滤。这也体现了现代安全监控工具在协议识别方面越来越注重符合RFC标准和实际实现行为的发展方向。