Как узнать протокол прикладного уровня в TCP?

Question

Я наблюдал в wireshark, что нет специального поля для идентификации протокола прикладного уровня, но как это делает wireshark?

Answer 1

Wireshark (libpcap) знает только Ips, транспортный протокол (UDP / TCP) и порты. С помощью этой информации он пытается декодировать кадры с помощью протокола-кандидата «декодер». Обычно это делают ошибки. Если вам нужна более точная идентификация протокола, вы должны использовать анализатор глубокой проверки пакетов. больше информации http://en.wikipedia.org/wiki/Deep_packet_inspection

Answer 2

Эта запись списка рассылки описывает немного об эвристике wireshark.

Короче говоря, wireshark использует номер порта / протокола, а также магические константы, когда они доступны.Эвристика также может использовать специальные свойства полезной нагрузки (в HTTP можно искать строки GET / POST / ... в начале некоторого трафика). диссекторы (как их называют) также могут просматривать другие пакеты в трафике, что полезно, когда некоторые другие приложения используют порт 80, например Skype делает это время от времени .