我在wireshark中看到没有专门的字段来识别应用层协议,但是wireshark是怎么做到的呢?
问问题
5743 次
2 回答
1
Wireshark (libpcap) 只知道 Ips、传输协议 (UDP/TCP) 和端口。使用此信息,它尝试使用候选协议“解码器”解码帧。通常它会犯错误。如果您想要更准确的协议识别,您必须使用深度数据包检测分析器。更多信息http://en.wikipedia.org/wiki/Deep_packet_inspection
于 2011-04-20T12:34:55.720 回答
0
此电子邮件列表条目描述了有关wireshark 启发式的一些信息。
简而言之,wireshark 使用端口/协议号以及可用的魔法常数。启发式还可以使用有效负载的特殊属性(在 HTTP 中,可以在某些流量的开头查找字符串 GET/POST/...)。解析器(因为它们被称为)还可以查看流量中的其他数据包,这在其他一些应用程序劫持端口 80 时很有用,例如Skype 时不时地这样做。
于 2014-01-03T05:46:04.263 回答