Wireshark分析非標準埠號流量

Wireshark分析非標準埠號流量

2.2.2  分析非標準埠號流量Wireshark分析非標準埠號流量

應用程式執行使用非標準埠號總是網路分析專家最關注的。關注該應用程式是否有意涉及使用非標準埠，或暗中想要嘗試通過防火牆本文選自WireShark資料包分析實戰詳解清華大學出版社。

1.分配給另一個程式的埠號

當某資料包使用非標準埠上，如果被Wireshark識別出是使用另一個程式，則說明Wireshark可能使用了錯誤的分析器，如圖2.19所示本文選自WireShark資料包分析實戰詳解清華大學出版社。

圖2.19  使用非標準埠

從該介面Packet List皮膚中的Info列，可以看到顯示了NetBIOS的資訊。但正常的NetBIOS流量看起來不是這樣的。當Info列的埠區域顯示netbios-ns時，Protocol列顯示的都使用的是TCP協議。此時檢視該檔案，發現Info列不包含正常的NetBIOS名稱服務細節。

2.手動強制解析資料Wireshark分析非標準埠號流量

手動強制解析資料有兩個原因，分別如下：

q  Wireshark使用了錯誤的解析器，因為非標準埠已經關聯了一個分析器。

q  Wireshark不能為資料型別啟動解析器。

強制解析器解析資料，右鍵單擊在Packet List皮膚中的不能解析的/解析錯誤的包，並選擇Decode AS。如圖2.19所示，通常TCP建立連線使用三次握手。客戶端與伺服器端之間共三個TCP包，建立成功後應該是HTTP協議。但是該介面都是TCP協議，說明有未正確解析的資料。這裡選擇第4個包，右鍵單擊選擇Decode AS，將彈出如圖2.20所示的介面。

圖2.20  選擇解碼器

在該介面選擇正確的解碼協議（這裡選擇HTTP），然後單擊OK按鈕。這時，正確解碼後顯示介面如圖2.21所示。

圖2.21  使用HTTP解碼器

從該介面可以看到Protocol和Info列的資訊都發生了變化。

3.怎樣啟動解析器Wireshark分析非標準埠號流量

啟動解析器的過程如圖2.22所示。

圖2.22  啟動解析器過程

啟動解析器過程如下所示：

（1）Wireshark將資料傳遞給第一個可用的啟動器。如果該解析器中沒有解析器埠，則傳遞給下一個匹配的解析器。

（2）如果該解析器能解析發生來資料的埠，則使用該解析器。如果不能解析，則再傳遞給下一個匹配的解析器。

（3）如果該解析器匹配，則使用並結束解析。如果仍然不能解析，再次將資料傳遞。依次類推，指定結束。

（4）如果直到結束仍不匹配，則需要自定義資料。

4.調整解析器Wireshark分析非標準埠號流量

如果確定在網路中執行了非標準埠的資料，此時可以在HTTP協議的首選項設定中新增該埠。例如，使用者想要Wireshark解析來自81埠號的HTTP資料。新增過程如下：

（1）在工具欄中依次選擇Edit|Preferences|Protocols|HTTP，將顯示如圖2.23所示的介面。

圖2.23  HTTP協議首選項

（2）在該介面右側，可以看到預設設定的埠號。在TCP Ports對應的文字框中，新增81埠號。新增完後，單擊OK按鈕本文選自WireShark資料包分析實戰詳解清華大學出版社。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/29597077/viewspace-1458508/，如需轉載，請註明出處，否則將追究法律責任。