Moin,

Also gut, ich stelle die Frage anders: Gibt es irgendwo während der Übertragung Hinweise oder steht vielleicht irgendwo in den Headern oder so, dass es sich um eine SSH Verbindung handelt?

Najanatürlich. HTTP und SSH unterscheiden sich in Zweck, Anwendung und Protokollart (Klartext vs. Binär, verschlüsselt vs. unverschlüsselt, verbindungsorientiert vs. verbindungslos) vollständig. Bei HTTP gibt es ein bisschen ASCII als Request, ein bisschen ASCII als Response-Header und viele opaque Oktetts als Response, die üblicherweise als ein massiver Strom kommen.

Wenn man sich aus den Verbindungen nun wahllos ein paar Pakete rausgreift und sich den Inhalt ansieht, dann gibt es drei Möglichkeiten: Man erwischt HTTP-Request- oder -Response-Header, dann ist der Fall klar. Oder man kriegt nur ein bisschen vom Body mit, da liegt aber HTML oder was ähnliches drin, ebenfalls klar. Oder man kriegt was vom Body mit und es wird grade was komprimiertes oder verschlüsseltes übertragen. Nur im letzten Fall besteht die Gefahr SSH- und HTTP-Traffic zu verwechseln. Dann hat man aber immer noch den Unterschied dass HTTP-Traffic in der Regel die gesamte Bandbreite ausnutzt, wärend SSH mal so mit ein paar Bytes pro Sekunde und vielen Pausen dahindümpelt.