1
wireshark에서 응용 프로그램 계층 프로토콜을 식별하는 전용 필드가 없다는 것을 보았습니다. 그러나 wireshark는 어떻게 수행합니까?TCP의 응용 프로그램 계층 프로토콜을 확인하는 방법은 무엇입니까?
A
답변
1
Wireshark (libpcap)는 IP, 전송 프로토콜 (UDP/TCP) 및 포트 만 알고 있습니다. 이 정보를 사용하여 후보 프로토콜 "디코더"로 프레임을 디코딩하려고 시도합니다. 보통 실수를합니다. 프로토콜 식별을보다 정확하게하려면 딥 패킷 검사 분석기를 사용해야합니다. 추가 정보 http://en.wikipedia.org/wiki/Deep_packet_inspection
0
이 email list 항목은 wireshark 휴리스틱 스에 대해 약간 설명합니다.
간단히 말해 wireshark는 사용 가능한 경우 포트/프로토콜 번호와 마법 상수를 사용합니다. 발견 적 방법은 페이로드의 특수한 속성을 사용할 수도 있습니다 (HTTP에서는 일부 트래픽이 시작될 때 GET/POST/... 문자열을 찾을 수 있습니다). 디코더 (호출 될 때)은 다른 애플리케이션 하이 잭 포트 80 (예 : Skype does this every now and then)이 유용 할 때 트래픽의 다른 패킷을 볼 수도 있습니다.
와이어 샤크의 [휴리스틱 (http://en.wikipedia.org/wiki/Heuristic#Computer_science) 인기있는 프로토콜에 대한 꽤 좋은 –
그래 와이어 샤크의 휴리스틱 작동합니까 어떻게? 수는 훨씬 좋은에서 단순히 포트에 의해 ... –
@ compile-fan, 정의에 의한 경험적 방법은 완벽하지 않습니다. 포트 번호는 유스 케이스의 80-90 %에 대해 괜찮습니다. 그래서 제 정의에 따르면 훌륭한 발견 적 방식입니다. 포트 번호 휴리스틱 스에 대한 간략한 설명을 원한다면 wireshark 트렁크에서 커넬을 향상시킬 커밋을 볼 수 있기를 기대합니다. –