wireshark解析報文一點根據

wireshark解析報文一點根據

問題：遇到一個問題，net-snmp發出trap的時候，經過wireshark抓包發現只能發送知名端口162的告警報文。
處理過程以下：

1. 檢查代碼：通過代碼排查發現net-snmp沒有對端口作任何限制。
2. 抓包：通過抓包，發現都發出了UDP報文。對報文進行過濾，過濾條件爲 "snmp"。發現只有端口爲162時，纔有報文報文標記爲snmp報文，端口爲非162時，過濾後，沒有snmp報文。
3. 經過對udp報文進行從新解析，發現其中udp報文中的data部分爲snmp報文內容。

分析緣由：
SNMP協議採用UDP報文進行交互。因此snmp發出的報文爲UDP報文。
wireshark解析報文時，會按着知名端口來進行分析。由於162爲snmp協議trap告警的知名端口，因此將報文解析爲snmp報文。而採用其餘自定義端口，wireshark只能將報文解析到udp這一級別。
結論：
wireshark解析報文時，會根據知名端口進行深刻的解析。若是不肯定這是什麼類型的報文，那麼解析會降級。
若是須要從新解析報文(decode)。能夠經過以下操做來查看報文
選擇報文→右鍵→選擇解碼爲→當前下拉菜單→選擇協議SNMP→ok。wireshark就會按照選擇的協議進行解析報文。