Wireshark分析非标准端口号流量

2.2.2  分析非标准端口号流量Wireshark分析非标准端口号流量

应用程序运行使用非标准端口号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准端口,或暗中想要尝试通过防火墙本文选自WireShark数据包分析实战详解清华大学出版社。

1.分配给另一个程序的端口号

当某数据包使用非标准端口上,如果被Wireshark识别出是使用另一个程序,则说明Wireshark可能使用了错误的分析器,如图2.19所示本文选自WireShark数据包分析实战详解清华大学出版社。

图2.19  使用非标准端口

从该界面Packet List面板中的Info列,可以看到显示了NetBIOS的信息。但正常的NetBIOS流量看起来不是这样的。当Info列的端口区域显示netbios-ns时,Protocol列显示的都使用的是TCP协议。此时查看该文件,发现Info列不包含正常的NetBIOS名称服务细节。

2.手动强制解析数据Wireshark分析非标准端口号流量

手动强制解析数据有两个原因,分别如下:

q  Wireshark使用了错误的解析器,因为非标准端口已经关联了一个分析器。

q  Wireshark不能为数据类型启动解析器。

强制解析器解析数据,右键单击在Packet List面板中的不能解析的/解析错误的包,并选择Decode AS。如图2.19所示,通常TCP建立连接使用三次握手。客户端与服务器端之间共三个TCP包,建立成功后应该是HTTP协议。但是该界面都是TCP协议,说明有未正确解析的数据。这里选择第4个包,右键单击选择Decode AS,将弹出如图2.20所示的界面。

图2.20  选择解码器

在该界面选择正确的解码协议(这里选择HTTP),然后单击OK按钮。这时,正确解码后显示界面如图2.21所示。

 

图2.21  使用HTTP解码器

从该界面可以看到Protocol和Info列的信息都发生了变化。

3.怎样启动解析器Wireshark分析非标准端口号流量

启动解析器的过程如图2.22所示。

 

图2.22  启动解析器过程

启动解析器过程如下所示:

(1)Wireshark将数据传递给第一个可用的启动器。如果该解析器中没有解析器端口,则传递给下一个匹配的解析器。

(2)如果该解析器能解析发生来数据的端口,则使用该解析器。如果不能解析,则再传递给下一个匹配的解析器。

(3)如果该解析器匹配,则使用并结束解析。如果仍然不能解析,再次将数据传递。依次类推,指定结束。

(4)如果直到结束仍不匹配,则需要自定义数据。

4.调整解析器Wireshark分析非标准端口号流量

如果确定在网络中运行了非标准端口的数据,此时可以在HTTP协议的首选项设置中添加该端口。例如,用户想要Wireshark解析来自81端口号的HTTP数据。添加过程如下:

(1)在工具栏中依次选择Edit|Preferences|Protocols|HTTP,将显示如图2.23所示的界面。

 

图2.23  HTTP协议首选项

(2)在该界面右侧,可以看到默认设置的端口号。在TCP Ports对应的文本框中,添加81端口号。添加完后,单击OK按钮本文选自WireShark数据包分析实战详解清华大学出版社。

Wireshark分析非标准端口号流量的更多相关文章

  1. 使用caddy实现非标准端口https

    近来使用Halo搭建博客,并顺便把WeHalo小程序也把玩了起来,但是发现几个非常棘手的问题: 根据访问日志发现有三方在刷取关键接口的请求,http请求在部分情况下会暴露出很显著的安全问题: 小程序强 ...

  2. TMG 2010 为HTTPS协议添加非标准端口(443)

    1.添加加密端口时,编辑脚本addsslports.vbs  addsslports.vbs 脚本内容如下: Dim root Dim tpRanges Dim newRange Set root = ...

  3. SSAS更改默认端口号,使用非默认端口号的时候Olap连接字符串的格式

    Sql server的Analysis Service服务默认使用的是2382或2383端口,但是实际上我们可以通过配置文件手动更改SSAS使用其它端口号. 修改SSAS使用端口号的方法如下,找到你的 ...

  4. gitlab的docker安装,非标准端口,如何处理?

    这个问题的定义是: 如果我们不是用的80端口对外提供服务, 但gitlab的docker容器里的nginx却是80端口, 那么,在我们clone代码时,带的Http地址也会是80端口,这显然会出现问题 ...

  5. Chrom Firefox 非安全端口访问

    使用Chrom Firefox 访问非安全端口 问题描述 Firefox 此网址已被限制 此网址使用了一个通常用于网络浏览以外目的的端口.出于安全原因,Firefox 取消了该请求. Chrome 无 ...

  6. 登录MySQL非默认3306端口号的语句

    这里登陆的是mysql3308端口号的数据库 mysql -P3308 -p用户名 -u密码

  7. 从零开始学安全(四十二)●利用Wireshark分析ARP协议数据包

    wireshark:是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,是目前 ...

  8. Linux使用tcpdump命令抓包并使用wireshark分析

    Linux使用tcpdump命令抓包并使用wireshark分析 介绍 有时分析客户端和服务器网络交互的问题时,为了查找问题,需要分别在客户端和服务器上抓包,我们的客户端一般是windows上的,抓包 ...

  9. Android 抓包并通过 Wireshark 分析

    分析 Android 中 app 的网络数据交互,需要在 Android 上抓包,常用工具为 tcpdump ,用 tcpdump 生成 Wireshark 识别的 pcap 文件,把 pcap 文件 ...

随机推荐

  1. Swift Tour 随笔总结 (3)

    关于Optional的Control Flow if let constantName = someOptional { statements } 如果该Optional为nil,则不进入if,否则执 ...

  2. java笔记--使用线程池优化多线程编程

    使用线程池优化多线程编程 认识线程池 在Java中,所有的对象都是需要通过new操作符来创建的,如果创建大量短生命周期的对象,将会使得整个程序的性能非常的低下.这种时候就需要用到了池的技术,比如数据库 ...

  3. 如何实现在已有代码之后添加逻辑之java动态代理

    在上篇博客中讨论到java的静态代理, 就是通过组合的方法,前提是委托类需要实现一个接口,代理类也实现这个这个 接口,从何组合两个类,让代理类给委托类添加功能! 知道java的静态代理,我们又遇到一个 ...

  4. Unity3D如何制作透贴和使用透贴模型

    http://momowing.diandian.com/post/2012-10-25/40040842845 Unity3D如何制作透贴和使用透贴模型??解决办法!!! 问题: 同事通过3DMAX ...

  5. ajax页面排序的序号问题

    文章是从我的个人博客上粘贴过来的, 大家也可以访问我的主页 www.iwangzheng.com 目前使用的ajax排序是这样的. 每个table , 都要这样声明 ( table 中必须有2个属性: ...

  6. [codeforces 293]A. Weird Game

    [codeforces 293]A. Weird Game 试题描述 Yaroslav, Andrey and Roman can play cubes for hours and hours. Bu ...

  7. [ruby on rails] 跟我学之(7)创建数据

    通过form来创建数据,本章节将会涉及内容:创建form,用户重导向,渲染views 和 flash消息. 1. views初步 编辑 app/views/posts/index.html.erb这个 ...

  8. 【转】INSTALL_FAILED_NO_MATCHING_ABIS 的解决办法

    在Android模拟器上安装apk的时候出现   INSTALL_FAILED_NO_MATCHING_ABIS 这个错误提示的解决办法. 是由于使用了native libraries .该nativ ...

  9. Linux下PS1、PS2、PS3、PS4使用详解

    参考印象笔记:

  10. 【JavaScript】SVG vs Canvas vs WebGL

    参考资料: http://blog.csdn.net/lufy_legend/article/details/38292125 http://zhidao.baidu.com/link?url=e4n ...