|
|
|
|
移动端

5.4.1 更换解析器

《Wireshark数据包分析实战(第2版)》第5章Wireshark高级特性,本章我们将会从这些强大的功能特性中挑选一些进行介绍,其中包括端点和会话窗口、名字解析的细节、协议解析、数据流跟踪、IO图形化等。本节为大家介绍更换解析器。

作者:诸葛建伟 等译来源:人民邮电出版社|2013-03-21 13:41

技术沙龙 | 邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

5.4.1  更换解析器

Wireshark在给一个数据包选择解析器时也并不是每次都能选对的,尤其是当网络上的一个协议使用了不同于标准的配置,比如一个非默认端口(网络管理员通常会出于安全考虑,或者员工想要避开访问控制时进行设置)。这时我们可以更改Wireshark使用特定解析器的方式。

举例来说,打开wrongdissector.pcap这个捕获文件,可以注意到这个文件中包含了大量两台计算机之间的SSL通信。SSL是安全套接层协议(Secure Socket Layer protocol),用来在主机之间进行安全加密的传输。由于其保密性,所以大多数的正常情况下,在Wireshark中查看SSL流量不会产生有用的信息,但这里一定存在着一些问题。如果你单击其中的几个数据包,然后在Packet Bytes面板中仔细查看这几个数据包的内容,你会很快发现一些明文流量。事实上,如果你看第4个数据包,你会发现其中提到了FileZilla FTP服务器程序(FileZilla FTP server application),并且之后的几个数据包清晰地显示了对用户名和密码的请求与响应。

如果这真是SSL流量,你应该不会读到数据包中的任何数据,并且你也不会看到以明文传输的所有用户名和密码(如图5-8所示)。根据这些信息,我们可以推测出这应该是一个FTP流量而不是SSL流量,而导致错误选择解析器的原因应该是这个FTP流量使用了原本用作HTTPS(基于SSL的HTTP)标准端口的443端口。

为了解决这个问题,你可以强制Wireshark对这个数据包使用FTP协议解析器。这个过程被称为强制解码,需要按如下步骤操作。

1.右键单击其中一个SSL数据包,并选择Decode As。这时会弹出一个对话框,你便可以从中选择你想要使用的解析器。

2.在下拉菜单中选择destination(443),并在Transport选项卡中选择FTP,以便让Wireshark使用FTP解析器对所有端口号为443的TCP流量进行解码(如图5-9所示)。

3.在你选好之后单击OK,就可以立刻将所做修改应用到捕获文件中去。

你应该可以看到数据已经被很好地解码,这时你就可以从Packet List面板中对它进行分析,而不是对每一个字节下工夫。

警告 你进行强制解码时产生的更改,并不会在你保存捕获文件并关闭Wireshark后保存。在你每次打开捕获文件时,你都要重新进行强制解码的设置。

你可以在同一个捕获文件中多次使用强制解码功能。当你进行了多次解码之后可能会忘了进行过的操作,但Wireshark不会。在Decode As对话框中单击Show Current按钮,可以显示到目前为止你所有进行过的强制解码操作(如图5-10所示)。你可通过单击Clear按钮把它们清除。

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员必读—网络基础

本书共分两篇,15章。其中前6章为网络理论基础篇,介绍的是基本的网络技术,包括计算机网络分类、网络通信协议、IP地址和网线制作等。在第...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊