Как узнать протокол прикладного уровня в TCP?

Question

Как узнать протокол прикладного уровня в TCP?

В wireshark я наблюдал, что нет специального поля для идентификации протокола прикладного уровня, но как это делает wireshark?

2

network-protocols application-layer

Источник

user641151 20 апр '11 в 12:25

2 ответа

Другие вопросы по тегам network-protocols application-layer

user716827 20 апр '11 в 12:34 2011-04-20 12:34 · Answer 1 · 2011-04-20 12:34

Wireshark (libpcap) знает только Ips, транспортный протокол (UDP/TCP) и порты. С помощью этой информации он пытается декодировать кадры с помощью протокола-кандидата "декодер". Обычно это делают ошибки. Если вам нужна более точная идентификация протокола, вы должны использовать анализатор глубокой проверки пакетов. дополнительная информация http://en.wikipedia.org/wiki/Deep_packet_inspection

user410012 03 янв '14 в 05:46 2014-01-03 05:46 · Answer 2 · 2014-01-03 05:46

Эта запись списка рассылки описывает немного об эвристике проволочной акулы.

Короче, wireshark использует номер порта / протокола, а также магические константы, когда они доступны. Эвристика также может использовать специальные свойства полезной нагрузки (в HTTP можно искать строки GET/POST/... в начале некоторого трафика). Диссекторы (как их называют) также могут просматривать другие пакеты в трафике, что полезно, когда порт 80 некоторых других приложений, например Skype, делает это время от времени.