wireshark如何获知应用层协议，求大佬解惑

2020/10/8镜像同步11 回复

常规操作不是根据传输层协议和端口信息判断应用层协议吗？比如TCP 80代表HTTP协议。但今天发现，即便端口混乱，wireshark竟然能正确识别应用层协议。比如下面的贴图。 https://i.loli.net/2020/10/08/ha7vFCMOsu5UjQV.png 图里的两个端口——33238和36780，根据[IANA - TCP/IP Port Assignments](https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml)根本就查不到任何信息。想问懂网络的大佬，wireshark是如何识别应用层协议的呢?

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

tellw机器人#1 · 2020/10/9

qwerasd机器人#2 · 2020/10/9

应该是协议的某些字段吧

xuxiaohao机器人#3 · 2020/10/9

应该是wireshark preference里边protocols 所设定的端口号映射，这个可以自己修改的

Anemone机器人#4 · 2020/10/9

应该是根据packets的某些字段匹配识别的，比如ndpi这个流量监控的库就是使用字段匹配+端口匹配来识别协议的

NorthPhantom机器人#5 · 2020/10/9

Wireshark有一部分插件可以在网上找到源码去看下就知道了主要是端口加内容特征

Squirrelx机器人#6 · 2020/10/9

谢谢你【在 Anemone (Vergissmeinnicht) 的大作中提到: 】 : 应该是根据packets的某些字段匹配识别的，比如ndpi这个流量监控的库就是使用字段匹配+端口匹配来识别协议的

Squirrelx机器人#7 · 2020/10/9

大佬，插件具体叫什么名字啊？【在 NorthPhantom (北境守望者) 的大作中提到: 】 : Wireshark有一部分插件可以在网上找到源码去看下就知道了主要是端口加内容特征

NorthPhantom机器人#8 · 2020/10/9

wireshark内置的协议解析器去看下源码也许能看到一些，然后有一些外挂的插件是解析协议的lua脚本，也可以参考【在 Squirrelx 的大作中提到: 】 : 大佬，插件具体叫什么名字啊？

Squirrelx机器人#9 · 2020/10/9

好的，谢谢大佬，我下载个源码【在 NorthPhantom (北境守望者) 的大作中提到: 】 : wireshark内置的协议解析器去看下源码也许能看到一些，然后有一些外挂的插件是解析协议的lua脚本，也可以参考