Używam rawcap na adapterze pętli zwrotnej Windows7. Uciekłem
telnet localhost 2181
Wygenerowano 15 pakietów. Aby wyświetlić dane wyjściowe, uruchomiłem
wireshark\tshark -r \shared\pcap.pcap
A oto wynik
florence 0.000000 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
florence 0.103006 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
eforward 9.458541 127.0.0.1 -> 127.0.0.1 TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435 9.466541 127.0.0.1 -> 127.0.0.1 TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward 9.474542 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence 12.022688 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
florence 12.083691 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
eforward 13.144752 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435 13.146752 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward 14.877851 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435 14.878851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435 14.880851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435 14.882851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward
Więc NIE rozumiem tego. Szukam informacji o porcie 2181. Zamiast tego widzę… Florence .. Co to znaczy? Jak mogę zobaczyć poprawny numer portu docelowego?
AKTUALIZACJA Odpowiedź Guya Harrisa jest na miejscu (i zostanie zaakceptowana). Chciałbym tutaj uzyskać dodatkowe wyjaśnienie: Poprawione dane wyjściowe (po dodaniu -n do wiersza poleceń tshark) to:
2181 117.286708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181
Port docelowy (2181) jest teraz poprawnie wyświetlany. Ale proszę wyjaśnij: jakie jest 40 w tej sekcji:
TCP 40 2181 > 60723
Odpowiedzi:
„florencja” i „eforward” odpowiadają wpisom w pliku „usługi” Wiresharka; plik „serwisowy” był pierwotnie plikiem UN * X, podając nazwy numerów portów - jest również w systemie Windows, a Wireshark zawiera teraz własny plik „usługowy”, którego używa do mapowania numerów portów na nazwy.
Dokumentacja strony podręcznika TShark mówi na liście flag wiersza poleceń:
więc jeśli uruchomisz go z flagą „-n”, spowoduje to wyłączenie rozpoznawania numerów portów w warstwie transportowej, aby nie mapowało numerów portów na nazwy. Nie będzie również mapować adresów IP na nazwy hostów; jeśli chcesz, uruchom TShark z „-n” i „-N n”.
źródło
„Co to jest 40 w tej sekcji?” to osobne pytanie, więc dam mu osobną odpowiedź.
TShark pokazuje kolumny określone w pliku konfiguracyjnym Wireshark; prawdopodobnie masz standardowe kolumny plus kolumnę „niestandardową” dla
tcp.dstport
pola, pokazującą docelowy numer portu TCP. Jedną ze standardowych kolumn jest długość pakietu warstwy łącza; prawdopodobnie to właśnie wyświetla.źródło