Wireshark resuelve la discrepancia de protocolo
1 pregunta
El cliente y el servidor TLS/SSL sobre TCP existentes se comunican entre sí y el servidor escucha el puerto TCP 6000.
Use tcpdump para capturar el puerto del paquete 6000 y genere el archivo pcap 6000.pcap:
use Wireshark para abrir 6000.pcap, la pantalla es la siguiente:
Se espera que Wireshark analice el protocolo TLS, pero en realidad no es así, pero El protocolo X11.
¿por qué?
2. Razón
Primero, tcpdump captura paquetes, genera pcaps y los filtra según las condiciones, y captura flujos de datos binarios y los almacena como archivos pcap.
El flujo de datos binarios en sí es una cadena de 0 o 1. Si es significativo o no depende de cómo "usted"/Wireshark lo piense y lo entienda.
De hecho, Wireshark intentará analizar y presentar los datos en un paquete pcap.
Por ejemplo, Wireshark analiza 6000.pcap y descubre que el lado del puerto de comunicación TCP es 6000. Según las reglas preestablecidas predeterminadas, 6000 corresponde al protocolo X11, por lo que Wireshark intenta utilizar las reglas de decodificación del protocolo X11 para analizar y presentar el paquete capturado. contenido.
Frente a una cadena de texto desconocido, usted (Wireshark) solo puede intentar usar inglés, francés o chino para intentar descifrarlo.
Entonces obtenemos el resultado inesperado del análisis del error del protocolo X11:
Si utiliza reglas gramaticales "francesas" para analizar oraciones de artículos "chinos", se equivocará y la información será anormal.
3. Resolver
Haga clic izquierdo para seleccionar el paquete que analiza la excepción, haga clic derecho para seleccionar "Decodificar AS...":
luego modifique "actual" en la regla:
cambie (ninguno) a "TLS": (su comunicación real protocolo) haga clic en
"Aceptar" o "Guardar":
En este momento, Wireshark analizará pcap de acuerdo con el protocolo que configuró:
por ejemplo, configuré el puerto TCP de 59739 para analizar de acuerdo con el protocolo TLS, y el resultado anterior puede ser obtenido.
Por supuesto, es más razonable analizar paquetes con el puerto TCP 6000 según el protocolo TLS.
Además, también puede abrir la interfaz anterior a través de "Análisis" y "Decodificar a..." en la barra de menú:
o presione la tecla de acceso directo Ctrl+Shift+U para abrirla rápidamente.
4, referencia
http://www.kaiyuanba.cn/content/network/wireshark/c9.4.html
https://blog.csdn.net/wu_cai_/article/details/79555488