本發明提供了一種基于SSH2協議的數據采集方法，利用本發明所提供的數據采集方法，對SSH2信道內的TCP/IP連接端口轉發的數據進行采集分析，使得SSH2客戶端設備能夠直接地與SSH2服務端設備建立連接，不需要二次登錄，在避免數據采集設備遭到針對性攻擊的情況下，實現對封裝在SSH2會話內的不同應用的數據根據相應協議進行解析，輸出解析結果。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于SSH2協議的數據采集方法。

背景技術

隨著網絡與信息技術的飛速發展，網絡安全問題也日益突出。傳統的網絡服務程序如ftp、pop和telnet等都是以明文的方式在網絡傳送口令、數據等，容易受到攻擊，存在著安全隱患，SSH協議是為了克服這種問題而提出的。SSH是SecureShell的縮寫，它將所傳輸的數據進行加密，可以在不安全的網絡上提供安全的數據傳輸。SSH2協議是SSH協議的2.x版本，是為了客服SSH協議的1.x版本存在的一些缺陷而提出的升級版本。SSH2協議從幾個不同的角度強化其通信的完整性，主要由3個組件組成，即SSH連接協議(ConnectionProtocol)、SSH用戶認證協議(User Authentication Protocol)、SSH傳輸層協議(Transport Layer Protocol)。三層一起在底層TCP(或者其他類型)連接的基礎上為上層提供一條安全的通信鏈路，如圖1所示，其中SSH連接層通過多個信道多路復用一個單一的加密隧道來提供交換式會話、TCP/IP連接端口轉發等。

SSH2協議的TCP/IP連接端口轉發可以分為三種，正向端口轉發、反向端口轉發和動態端口轉發。

SSH2本地端口(正向端口)轉發是將本地端口上的連接轉發至遠程，通過監聽本地的端口，一旦有數據傳向這個端口，那么將這個端口上的數據通過SSH2的加密通道轉發至目標主機。圖2為SSH2本地TCP/IP端口轉發的示意圖，將主機A(SSH2客戶端)端口XXXX上的連接通過主機B(SSH2服務端)轉發到主機C的YYYY端口上。主機A想訪問主機C上的服務，但是有些情況下主機A和主機C無法聯通，而主機A和主機B可以連通，同時主機B可以和主機C連通，這時主機A(SSH2客戶端)就可以用SSH2隧道先連上主機B(SSH2服務端)再通過其轉發，這樣就可以在無法連上主機C的情況下可以訪問主機C上的服務。因此，這種情況下主機A和主機B之間就形成了一條SSH隧道，在這條隧道中數據傳輸為時時加密的，所以不用擔心傳輸內容被諸如防火墻之類的軟件屏蔽。因此，本地端口轉發的一大用處就是在局域網內部通過建立一條至外網主機的SSH隧道，以此來訪問被局域網網管屏蔽的外部服務。

與SSH2本地端口轉發不同，SSH2遠程端口轉發(反向端口轉發)是要將另一方的端口連接轉發至本地，通過監聽遠程主機(SSH2服務端)上的端口，將這個端口上的數據通過SSH2的加密通道經由本地主機(SSH2客戶端)轉發至目的主機。SSH2遠程TCP/IP端口轉發如圖3所示，將主機B(SSH2服務端)端口XXXX上的連接通過主機A(SSH2客戶端)轉發到主機C的YYYY端口上。主機A和主機B建立了SSH2連接，這時主機B(SSH2服務端)不能連通主機C，但是主機A可以連通主機C，那么主機B可以通過主機A間接訪問主機C。SSH2遠程端口轉發可以用來實現從外網訪問局域網內部的服務。

SSH2本地端口轉發和SSH2遠程端口轉發都需要指定監聽端口上數據的目標主機，與這兩種端口轉發不同，動態端口轉發不需要指定數據的目標主機，而是根據應用協議本身決定數據的目的地址。SSH2動態端口轉發實際上是在指定端口上創建了一個SOCKS代理服務，對于這個端口的連接首先根據SOCKS代理協議，獲取連接的最終目的主機，然后通過SSH2打開信道請求打開一個“direct-tcpip”(本地端口轉發)信道。SSH2本地端口轉發和動態端口轉發打開的都是“direct-tcpip”(本地端口轉發)信道，而SSH2遠程端口轉發打開的是“forwarded-tcpip”(遠程端口轉發)信道。