Wireshark resuelve la discrepancia de protocolo

Enterprise 2023-09-29 22:25:40 views: null

Wireshark resuelve la discrepancia de protocolo

1 pregunta

El cliente y el servidor TLS/SSL sobre TCP existentes se comunican entre sí y el servidor escucha el puerto TCP 6000.
Insertar descripción de la imagen aquí
Use tcpdump para capturar el puerto del paquete 6000 y genere el archivo pcap 6000.pcap:
Insertar descripción de la imagen aquí
use Wireshark para abrir 6000.pcap, la pantalla es la siguiente:
Insertar descripción de la imagen aquí
Se espera que Wireshark analice el protocolo TLS, pero en realidad no es así, pero El protocolo X11.

¿por qué?

2. Razón

Primero, tcpdump captura paquetes, genera pcaps y los filtra según las condiciones, y captura flujos de datos binarios y los almacena como archivos pcap.

El flujo de datos binarios en sí es una cadena de 0 o 1. Si es significativo o no depende de cómo "usted"/Wireshark lo piense y lo entienda.

De hecho, Wireshark intentará analizar y presentar los datos en un paquete pcap.

Por ejemplo, Wireshark analiza 6000.pcap y descubre que el lado del puerto de comunicación TCP es 6000. Según las reglas preestablecidas predeterminadas, 6000 corresponde al protocolo X11, por lo que Wireshark intenta utilizar las reglas de decodificación del protocolo X11 para analizar y presentar el paquete capturado. contenido.

Frente a una cadena de texto desconocido, usted (Wireshark) solo puede intentar usar inglés, francés o chino para intentar descifrarlo.

Entonces obtenemos el resultado inesperado del análisis del error del protocolo X11:

Si utiliza reglas gramaticales "francesas" para analizar oraciones de artículos "chinos", se equivocará y la información será anormal.

3. Resolver

Haga clic izquierdo para seleccionar el paquete que analiza la excepción, haga clic derecho para seleccionar "Decodificar AS...":
Insertar descripción de la imagen aquí
luego modifique "actual" en la regla:
Insertar descripción de la imagen aquí
cambie (ninguno) a "TLS": (su comunicación real protocolo) haga clic en
Insertar descripción de la imagen aquí
"Aceptar" o "Guardar":
Insertar descripción de la imagen aquí
En este momento, Wireshark analizará pcap de acuerdo con el protocolo que configuró:
Insertar descripción de la imagen aquí
por ejemplo, configuré el puerto TCP de 59739 para analizar de acuerdo con el protocolo TLS, y el resultado anterior puede ser obtenido.

Por supuesto, es más razonable analizar paquetes con el puerto TCP 6000 según el protocolo TLS.

Además, también puede abrir la interfaz anterior a través de "Análisis" y "Decodificar a..." en la barra de menú:
Insertar descripción de la imagen aquí
o presione la tecla de acceso directo Ctrl+Shift+U para abrirla rápidamente.

4, referencia

http://www.kaiyuanba.cn/content/network/wireshark/c9.4.html
https://blog.csdn.net/wu_cai_/article/details/79555488

Supongo que te gusta

Origin blog.csdn.net/test1280/article/details/128855578
Recomendado
Clasificación
Diario
Más
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)
2024-04-23(29)
2024-04-22(5)
2024-04-21(0)

Code World

© 2018 codetd.com