1

私はwiresharkで、アプリケーション層プロトコルを識別するための専用フィールドがないことを確認しましたが、wiresharkはどのようにそれを行いますか?

4

2 に答える 2

1

Wireshark (libpcap) は、Ips、トランスポート プロトコル (UDP/TCP)、およびポートのみを認識します。この情報を使用して、候補プロトコル「デコーダー」でフレームをデコードしようとします。通常、それは間違いを犯します。より正確なプロトコル識別が必要な場合は、ディープ パケット インスペクション アナライザーを使用する必要があります。詳細http://en.wikipedia.org/wiki/Deep_packet_inspection

于 2011-04-20T12:34:55.720 に答える
0

このメーリング リストエントリでは、wireshark のヒューリスティックについて少し説明しています。

要するに、wireshark はポート/プロトコル番号と、利用可能な場合はマジック定数を使用します。ヒューリスティックは、ペイロードの特別なプロパティを使用することもできます (HTTP では、一部のトラフィックの先頭にある文字列 GET/POST/... を探すことができます)。ディセクタ(と呼ばれる) は、トラフィック内の他のパケットを調べることもできます。これは、他のアプリケーションがポート 80 をハイジャックする場合に役立ちます。たとえば、Skypeは時々これを行います。

于 2014-01-03T05:46:04.263 に答える