Pcap报文是一系列的16进制数字,wireshark将其解析之后为了使用者分析方便,将很多的数字直接显示成一些英文的名称,比如物理MAC地址显示成公司名称,IP层的protocol type显示成TCP或者UDP等。这也是wireshark非常方便的地方,分析人员不需要去记住这些数字所代表含义,通过wireshark的解析即可获取。那么本文就来聊一聊wiresark提供了哪些名字的解析以及其依据,作为我的专栏《wireshark从入门到精通》中的其中一篇。
在wireshark解析报文的时候,会显示物理地址的名称。我们知道物理地址是按段分配给各个硬件公司的,显示的名称就是该地址所在段所属的公司名。其实不仅仅可以显示物理地址的名称,给予分析人员直观上的指导,还可以显示IP以及端口对应的名称。IP的名称指的就是IP对应的域名,端口的名称指的就是使用该端口的服务名。如图1即可设置对于物理地址,网络层地址,传输层地址进行名称解析:
图1
通常来说物理地址名称是默解析认,如果勾选了三种解析,在显示物理层,网络层,传输层地址的地方则会有相应的名称替代对应的数字地址,如图2:
图2
图2中的目的和源物理层地址是分配给LiteonTe以及Tp-LinkT的。59.