wireshark协议或者协议内容解码异常
使用wireshark分析数据包时,是不是会经常遇到自己的wireshark没能解码出自己想看到的协议或者协议内容,但是别人的可以,这通常是wireshark协议配置的问题,通常有以下2种情况。
文章目录
- 一,协议识别异常
- 1,配置方法1
- 2,配置方法2
- 二,协议内容解码异常
- 1,例如电信核心网常用到的nas协议内容解码异常
- 2,例如电信volte语音常用到的sip协议内容解码异常
一,协议识别异常
通常是wireshark未能将port和协议对应上。
这种情况多出现在应用层协议不能解码,即4层协议之上,因为4层传输协议多用port来取识长层使用哪一种应用层协议进行解码,4层以下协议头里会带上一层协议类型标识,所以wireshark通常不会出错。而如果用端口则很可能出错,因为现实生产环境中应用层协议使用的port,不一定是约定俗成的port,不使用约定俗成的port情况下,则往往造成wireshark不知道该用那种协议进行解码,需要我们手动设置,告诉wireshark哪个port使用哪种协议进行解码。
约定俗成应用层协议:
端口——服务——描述
20/TCP,UDP——FTP [Default Data]——文件传输协议 - 默认数据端口
21/TCP,UDP——FTP [Control]——文件传输协议 - 控制端口
22/TCP,UDP——SSH——SSH(Secure Shell) - 远程登录协议,用于安全登录文件传输(SCP,SFTP)及端口重新定向
23/TCP,UDP——Telnet——Telnet终端仿真协议 - 未加密文本通信
25/TCP,UDP——SMTP——SMTP(简单邮件传输协议) - 用于邮件服务器间的电子邮件传递
43/TCP——WHOIS——WHOIS协议
53/TCP,UDP——DNS——DNS(域名服务系统)
67/UDP——BOOTPs——BOOTP(BootStrap协议)服务;同时用于动态主机设置协议
68/UDP——BOOTPc——BOOTP客户端;同时用于动态主机设定协议
69/UDP——TFTP——小型文件传输协议(小型文件传输协议)
80/TCP——Http——超文本传输协议(超文本传输协议)- 用于传输网页
110/TCP——POP3——邮局协议,“邮局协议”,第3版 - 用于接收电子邮件
113/TCP——Windows验证服务——Ident - 旧的服务器身份识别系统,仍然被IRC服务器用来认证它的用户
123/UDP——NTP——NTP(Network Time Protocol) - 用于时间同步
137/TCP,UDP——NetBIOS Name Service——NetBIOS NetBIOS 名称服务
138/TCP,UDP——NetBIOS Datagram Service——NetBIOS NetBIOS 数据报文服务
139/TCP,UDP——NetBIOS Session Service——NetBIOS NetBIOS 会话服务
143/TCP,UDP——IMAP——因特网信息访问协议(Internet信息访问协议 4) - 用于检索 电子邮件s
161/TCP,UDP——SNMP——简单网络管理协议 (简单网络管理协议)
179/TCP——Bgp——边界网关协议 (边界网关协议)
194/TCP——IRC(互联网中继聊天)
220/TCP,UDP——IMAP3——因特网信息访问协议,交互邮件访问协议第3版
389/TCP,UDP——LDAP——轻型目录访问协议 LDAP
443/TCP——Https——超文本传输安全协议 - 超文本传输协议 over TLS/SSL(加密传输)
546/TCP,UDP——DHCPv6客户端
547/TCP,UDP——DHCPv6服务器
631/TCP,UDP——CUPS——互联网打印协议
636/TCP,UDP——LDAPS——LDAP over SSL(加密传输,也被称为LDAPS)
991/TCP,UDP——NAS (Netnews Admin System)
1080/tcp——SOCKS——SOCKS代理
1194/udp——OpenVPN
1433/tcp,udp——SQL Server——Microsoft SQL 数据库系统
1434/tcp,udp——SQL Server monitor——Microsoft SQL 活动监视器
1521/tcp——Oracle——Oracle数据库 default listener, in future releases official port 2483
3306/tcp,udp——MySQL——MySQL数据库系统
3389/tcp——RDP——远程桌面协议(RDP)
5432/tcp——PostgreSQL——PostgreSQL database system
非约定端口情况下wireshark解码配置方法:
1,配置方法1
配置完保存后,下次下层协议和port相同情况下自动使用配置的进行解码。
2,配置方法2
光标放在要解码的数据包处>>右键选择decode as将弹出与上面相同的配置窗口,在这里参照上面方法配置即可。
二,协议内容解码异常
这种通常是本协议里的配置问题,wireshark已经识别出协议了,但是由于协议的配置导致没能正确解码。
1,例如电信核心网常用到的nas协议内容解码异常
可能是因为wireshark没有尝试去进行解密,因为nas支持加密,虽然现在没有使用加密算法,但是需要wireshark去尝试解密才行。
方法>>编辑>>首选项>>protocols 找到对应协议,如nas
2,例如电信volte语音常用到的sip协议内容解码异常
通常也是因为协议配置的问题,按照如下勾选配置。
总结:协议没识别出来,配置下层协议,port对应的解码协议;协议内容解码异常,尝试本协议的配置参数入手设置。