Wireshark非标准分析port无流量

2.2.2 非标准分析port无流量Wireshark非标准分析port流量

应用程序执行使用非标准port号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准port，或暗中想要尝试通过防火墙本文选自WireShark数据包分析实战具体解释清华大学出版社。

1.分配给还有一个程序的port号

当某数据包使用非标准port上，假设被Wireshark识别出是使用还有一个程序，则说明Wireshark可能使用了错误的分析器。如图2.19所看到的本文选自WireShark数据包分析实战具体解释清华大学出版社。

图2.19 使用非标准port

从该界面Packet List面板中的Info列，能够看到显示了NetBIOS的信息。但正常的NetBIOS流量看起来不是这种。

当Info列的port区域显示netbios-ns时，Protocol列显示的都使用的是TCP协议。

此时查看该文件，发现Info列不包括正常的NetBIOS名称服务细节。

2.手动强制解析数据Wireshark分析非标准port号流量

手动强制解析数据有两个原因。分别例如以下：

q Wireshark使用了错误的解析器，由于非标准port已经关联了一个分析器。

q Wireshark不能为数据类型启动解析器。

强制解析器解析数据，右键单击在Packet List面板中的不能解析的/解析错误的包，并选择Decode AS。如图2.19所看到的，通常TCP建立连接使用三次握手。client与server端之间共三个TCP包，建立成功后应该是HTTP协议。可是该界面都是TCP协议，说明有未正确解析的数据。这里选择第4个包，右键单击选择Decode AS，将弹出如图2.20所看到的的界面。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZGF4dWViYQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

图2.20 选择解码器

在该界面选择正确的解码协议（这里选择HTTP）。然后单击OKbutton。

这时，正确解码后显示界面如图2.21所看到的。

图2.21 使用HTTP解码器

从该界面能够看到Protocol和Info列的信息都发生了变化。

3.如何启动解析器Wireshark分析非标准port号流量

启动解析器的过程如图2.22所看到的。

图2.22 启动解析器过程

启动解析器步骤例如以下所看到的：

（1）Wireshark将数据传递给第一个可用的启动器。假设该解析器中没有解析器port，则传递给下一个匹配的解析器。

（2）假设该解析器能解析发生来数据的port，则使用该解析器。

假设不能解析，则再传递给下一个匹配的解析器。

（3）假设该解析器匹配，则使用并结束解析。假设仍然不能解析，再次将数据传递。

依次类推，指定结束。

（4）假设直到结束仍不匹配。则须要自己定义数据。

4.调整解析器Wireshark分析非标准port号流量

假设确定在网络中执行了非标准port的数据，此时能够在HTTP协议的首选项设置中加入该port。比如。用户想要Wireshark解析来自81port号的HTTP数据。

加入步骤例如以下：

（1）在工具栏中依次选择Edit|Preferences|Protocols|HTTP。将显示如图2.23所看到的的界面。

图2.23 HTTP协议首选项

（2）在该界面右側，能够看到默认设置的port号。在TCP Ports相应的文本框中，加入81port号。加入完后，单击OKbutton本文选自WireShark数据包分析真实的具体的解释清华大学出版社。