Wireshark分析非標準端口號流量

Wireshark分析非標準端口號流量

2.2.2  分析非標準端口號流量Wireshark分析非標準端口號流量

應用程序運行使用非標準端口號老是網絡分析專家最關注的。關注該應用程序是否有意涉及使用非標準端口，或暗中想要嘗試經過防火牆本文選自WireShark數據包分析實戰詳解清華大學出版社。

1.分配給另外一個程序的端口號

當某數據包使用非標準端口上，若是被Wireshark識別出是使用另外一個程序，則說明Wireshark可能使用了錯誤的分析器，如圖2.19所示本文選自WireShark數據包分析實戰詳解清華大學出版社。

圖2.19  使用非標準端口

從該界面Packet List面板中的Info列，能夠看到顯示了NetBIOS的信息。但正常的NetBIOS流量看起來不是這樣的。當Info列的端口區域顯示netbios-ns時，Protocol列顯示的都使用的是TCP協議。此時查看該文件，發現Info列不包含正常的NetBIOS名稱服務細節。

2.手動強制解析數據Wireshark分析非標準端口號流量

手動強制解析數據有兩個緣由，分別以下：

q  Wireshark使用了錯誤的解析器，由於非標準端口已經關聯了一個分析器。

q  Wireshark不能爲數據類型啓動解析器。

強制解析器解析數據，右鍵單擊在Packet List面板中的不能解析的/解析錯誤的包，並選擇Decode AS。如圖2.19所示，一般TCP創建鏈接使用三次握手。客戶端與服務器端之間共三個TCP包，創建成功後應該是HTTP協議。可是該界面都是TCP協議，說明有未正確解析的數據。這裏選擇第4個包，右鍵單擊選擇Decode AS，將彈出如圖2.20所示的界面。

圖2.20  選擇解碼器

在該界面選擇正確的解碼協議（這裏選擇HTTP），而後單擊OK按鈕。這時，正確解碼後顯示界面如圖2.21所示。

圖2.21  使用HTTP解碼器

從該界面能夠看到Protocol和Info列的信息都發生了變化。

3.怎樣啓動解析器Wireshark分析非標準端口號流量

啓動解析器的過程如圖2.22所示。

圖2.22  啓動解析器過程

啓動解析器過程以下所示：

（1）Wireshark將數據傳遞給第一個可用的啓動器。若是該解析器中沒有解析器端口，則傳遞給下一個匹配的解析器。

（2）若是該解析器能解析發生來數據的端口，則使用該解析器。若是不能解析，則再傳遞給下一個匹配的解析器。

（3）若是該解析器匹配，則使用並結束解析。若是仍然不能解析，再次將數據傳遞。依次類推，指定結束。

（4）若是直到結束仍不匹配，則須要自定義數據。

4.調整解析器Wireshark分析非標準端口號流量

若是肯定在網絡中運行了非標準端口的數據，此時能夠在HTTP協議的首選項設置中添加該端口。例如，用戶想要Wireshark解析來自81端口號的HTTP數據。添加過程以下：

（1）在工具欄中依次選擇Edit|Preferences|Protocols|HTTP，將顯示如圖2.23所示的界面。

圖2.23  HTTP協議首選項

（2）在該界面右側，能夠看到默認設置的端口號。在TCP Ports對應的文本框中，添加81端口號。添加完後，單擊OK按鈕本文選自WireShark數據包分析實戰詳解清華大學出版社。