Wireshark分析非标准端口号流量
Wireshark分析非标准端口号流量
2.2.2 分析非标准端口号流量Wireshark分析非标准端口号流量
应用程序运行使用非标准端口号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准端口,或暗中想要尝试通过防火墙本文选自WireShark数据包分析实战详解清华大学出版社。
1.分配给另一个程序的端口号
当某数据包使用非标准端口上,如果被Wireshark识别出是使用另一个程序,则说明Wireshark可能使用了错误的分析器,如图2.19所示本文选自WireShark数据包分析实战详解清华大学出版社。
图2.19 使用非标准端口
从该界面Packet List面板中的Info列,可以看到显示了NetBIOS的信息。但正常的NetBIOS流量看起来不是这样的。当Info列的端口区域显示netbios-ns时,Protocol列显示的都使用的是TCP协议。此时查看该文件,发现Info列不包含正常的NetBIOS名称服务细节。
2.手动强制解析数据Wireshark分析非标准端口号流量
手动强制解析数据有两个原因,分别如下:
q Wireshark使用了错误的解析器,因为非标准端口已经关联了一个分析器。
q Wireshark不能为数据类型启动解析器。
强制解析器解析数据,右键单击在Packet List面板中的不能解析的/解析错误的包,并选择Decode AS。如图2.19所示,通常TCP建立连接使用三次握手。客户端与服务器端之间共三个TCP包,建立成功后应该是HTTP协议。但是该界面都是TCP协议,说明有未正确解析的数据。这里选择第4个包,右键单击选择Decode AS,将弹出如图2.20所示的界面。
图2.20 选择解码器
在该界面选择正确的解码协议(这里选择HTTP),然后单击OK按钮。这时,正确解码后显示界面如图2.21所示。
图2.21 使用HTTP解码器
从该界面可以看到Protocol和Info列的信息都发生了变化。
3.怎样启动解析器Wireshark分析非标准端口号流量
启动解析器的过程如图2.22所示。
图2.22 启动解析器过程
启动解析器过程如下所示:
(1)Wireshark将数据传递给第一个可用的启动器。如果该解析器中没有解析器端口,则传递给下一个匹配的解析器。
(2)如果该解析器能解析发生来数据的端口,则使用该解析器。如果不能解析,则再传递给下一个匹配的解析器。
(3)如果该解析器匹配,则使用并结束解析。如果仍然不能解析,再次将数据传递。依次类推,指定结束。
(4)如果直到结束仍不匹配,则需要自定义数据。
4.调整解析器Wireshark分析非标准端口号流量
如果确定在网络中运行了非标准端口的数据,此时可以在HTTP协议的首选项设置中添加该端口。例如,用户想要Wireshark解析来自81端口号的HTTP数据。添加过程如下:
(1)在工具栏中依次选择Edit|Preferences|Protocols|HTTP,将显示如图2.23所示的界面。
图2.23 HTTP协议首选项
(2)在该界面右侧,可以看到默认设置的端口号。在TCP Ports对应的文本框中,添加81端口号。添加完后,单击OK按钮本文选自WireShark数据包分析实战详解清华大学出版社。
Wireshark分析非标准端口号流量的更多相关文章
- 使用caddy实现非标准端口https
近来使用Halo搭建博客,并顺便把WeHalo小程序也把玩了起来,但是发现几个非常棘手的问题: 根据访问日志发现有三方在刷取关键接口的请求,http请求在部分情况下会暴露出很显著的安全问题: 小程序强 ...
- TMG 2010 为HTTPS协议添加非标准端口(443)
1.添加加密端口时,编辑脚本addsslports.vbs addsslports.vbs 脚本内容如下: Dim root Dim tpRanges Dim newRange Set root = ...
- SSAS更改默认端口号,使用非默认端口号的时候Olap连接字符串的格式
Sql server的Analysis Service服务默认使用的是2382或2383端口,但是实际上我们可以通过配置文件手动更改SSAS使用其它端口号. 修改SSAS使用端口号的方法如下,找到你的 ...
- gitlab的docker安装,非标准端口,如何处理?
这个问题的定义是: 如果我们不是用的80端口对外提供服务, 但gitlab的docker容器里的nginx却是80端口, 那么,在我们clone代码时,带的Http地址也会是80端口,这显然会出现问题 ...
- Chrom Firefox 非安全端口访问
使用Chrom Firefox 访问非安全端口 问题描述 Firefox 此网址已被限制 此网址使用了一个通常用于网络浏览以外目的的端口.出于安全原因,Firefox 取消了该请求. Chrome 无 ...
- 登录MySQL非默认3306端口号的语句
这里登陆的是mysql3308端口号的数据库 mysql -P3308 -p用户名 -u密码
- 从零开始学安全(四十二)●利用Wireshark分析ARP协议数据包
wireshark:是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,是目前 ...
- Linux使用tcpdump命令抓包并使用wireshark分析
Linux使用tcpdump命令抓包并使用wireshark分析 介绍 有时分析客户端和服务器网络交互的问题时,为了查找问题,需要分别在客户端和服务器上抓包,我们的客户端一般是windows上的,抓包 ...
- Android 抓包并通过 Wireshark 分析
分析 Android 中 app 的网络数据交互,需要在 Android 上抓包,常用工具为 tcpdump ,用 tcpdump 生成 Wireshark 识别的 pcap 文件,把 pcap 文件 ...
随机推荐
- Spell checker(暴力)
Spell checker Time Limit: 2000MS Memory Limit: 65536K Total Submissions: 20188 Accepted: 7404 De ...
- 第9章 使用ssh服务管理远程主机。
章节简述: 学习使用nmtui命令配置网卡参数.手工将多块网卡做绑定.使用nmcli命令查看网卡信息和使用ss命令查看网络及端口状态. 完整演示sshd服务配置方法并详细讲述每个参数的作用,实战基于密 ...
- ruby实现简易计算器
(这些文章都是从我的个人主页上粘贴过来的,大家也可以访问我的主页 www.iwangzheng.com) 回到家里,用的还是windows系统,ruby的编辑器换成了Aptana Studio 3 p ...
- 三款SDR平台对比:HackRF,bladeRF和USRP
这篇文章是Taylor Killian今年8月发表在自己的博客上的.他对比了三款平价的SDR平台,认为这三款产品将是未来一年中最受欢迎的SDR平台.我觉得这篇文章很有参考价值,简单翻译一份转过来.原文 ...
- 1-2+3-4+5-6+7......+n的几种实现
本文的内容本身来自一个名校计算机生的一次面试经历,呵呵,没错,你猜对了,肯定 不是我 个人很喜欢这两道题,可能题目原本不止两道,当然,我这里这分析我很喜欢的两道. 1.写一个函数计算当参数为n(n很大 ...
- 《ASP.NET1200例》统计网站访问量源代码
void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 int count=0; ...
- HTTP认证相关
Java HTTPBasicAuth http://blog.csdn.net/kkdelta/article/details/28419625Python HTTPBasicAuth http:// ...
- 安装完mysql后用root不能su成mysql
现象: debian的机器用aptitude install mysql-server-5.1 后,用id mysql 可看出已经建了mysql用户,但是用root来su mysql 不成功,/var ...
- Windows下配置Apache服务器并支持php
php环境的配置相对来说比较繁琐,网上教程大部分都是放一起说,总体感觉比较乱,其实Apache是一款通用的服务器软件,可以用来配置支持静态页面,php.Python.Java甚至asp等服务端语言,要 ...
- 队列——解密QQ号
队列——解密QQ号 --转自啊哈磊[坐在马桶上看算法]算法4:队列——解密QQ号 新学期开始了,小哈是小哼的新同桌(小哈是个小美女哦~),小哼向小哈询问QQ号,小哈当然不会直接告诉小哼啦,原因嘛你懂的 ...