Wireshark resolve incompatibilidade de protocolo
1. Pergunta
O cliente e o servidor TLS/SSL sobre TCP existentes se comunicam entre si. Entre eles, o servidor escuta a porta TCP 6000.
Use tcpdump para capturar pacotes na porta 6000 e gerar o arquivo pcap 6000.pcap:
Use o Wireshark para abrir 6000.pcap, e a exibição é a seguinte:
Espera-se que o Wireshark analise o protocolo TLS, mas na verdade não é o caso, mas o protocolo X11.
por que?
2. Razão
Primeiro, o tcpdump captura pacotes, gera pcaps e os filtra de acordo com as condições, e captura fluxos de dados binários e os armazena como arquivos pcap.
O próprio fluxo de dados binários é uma sequência de 0 ou 1. Se é significativo ou não, depende de como "você"/Wireshark pensa e entende isso.
Na verdade, o Wireshark tentará analisar e apresentar os dados em um pacote pcap.
Por exemplo, o Wireshark analisa 6000.pcap e descobre que o lado da porta de comunicação TCP é 6000. De acordo com as regras predefinidas padrão, 6000 corresponde ao protocolo X11, então o Wireshark tenta usar as regras de decodificação do protocolo X11 para analisar e apresentar o pacote capturado contente.
Diante de uma sequência de texto desconhecido, você (Wireshark) só pode tentar usar inglês/ou francês/ou chinês para tentar decifrá-lo.
Portanto, obtemos o resultado inesperado da análise de erro do protocolo X11:
Se você usar regras gramaticais "francesas" para analisar frases de artigos "chineses", você estará errado e as informações serão anormais.
3. Resolva
Clique com o botão esquerdo para selecionar o pacote que analisa a exceção, clique com o botão direito para selecionar "Decodificar AS...":
Em seguida, modifique o "atual" na regra:
altere (nenhum) para "TLS": (sua comunicação real e real protocolo) clique em
"OK" ou "Salvar":
Neste momento, o Wireshark irá analisar o pcap de acordo com o protocolo que você definiu:
Por exemplo, eu configurei a porta TCP de 59739 para analisar de acordo com o protocolo TLS, e o resultado acima pode ser obtido.
Claro, é mais razoável analisar pacotes com porta TCP 6000 de acordo com o protocolo TLS.
Além disso, você também pode abrir a interface acima através de "Análise" e "Decodificar para..." na barra de menu:
ou pressionar a tecla de atalho Ctrl+Shift+U para abri-la rapidamente.
4, Referência
http://www.kaiyuanba.cn/content/network/wireshark/c9.4.html
https://blog.csdn.net/wu_cai_/article/details/79555488