Tshark отображает «florence» и «eforward», а не номера портов источника / назначения

0

Я использую rawcap на Windows7 loopback адаптере. Я бегал

telnet localhost 2181

Сгенерировано 15 пакетов. Для просмотра вывода я запустил

wireshark\tshark -r \shared\pcap.pcap

А вот и вывод

florence   0.000000    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
florence   0.103006    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
eforward   9.458541    127.0.0.1 -> 127.0.0.1    TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435   9.466541    127.0.0.1 -> 127.0.0.1    TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward   9.474542    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence  12.022688    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
florence  12.083691    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
eforward  13.144752    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435  13.146752    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward  14.877851    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435  14.878851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435  14.880851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435  14.882851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward

Так что я не понимаю этого. Я ищу информацию о порте 2181. Вместо этого я вижу .. Флоренцию .. Что это значит? И как я вижу правильный номер порта назначения?

ОБНОВЛЕНИЕ Ответ от Гая Харриса на цели (и будет принят). Я бы хотел дать небольшое уточнение, чтобы запросить здесь: Исправленный вывод (после добавления -n в командную строку tshark):

2181 117.286708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181

Таким образом, теперь порт назначения (2181) отображается правильно. Но, пожалуйста, объясните: что за 40 в этом разделе:

TCP 40 2181 > 60723 
javadba
источник
Я предлагаю ознакомиться с документом: wireshark.org/docs/man-pages/tshark.html . Здесь также есть несколько примеров, некоторые из которых показывают, как отображать порты: chrisbrenton.org/2009/10/analyzing-packets-with-tshark . Вы можете использовать ссылку на фильтр отображения здесь: wiki.wireshark.org/DisplayFilters
MaQleod
Спасибо, но проблема здесь в том, что мы ограничены тем, что является выходом rawcap. tshark в Windows не может собирать трафик адаптера обратной связи. Поэтому изучение возможностей tshark для отслеживания трафика, вероятно, не применимо. Единственный способ, которым tshark вступает в игру, - это настроить способ интерпретации / отображения дампа вывода из rawcap.
Джавадба
«но проблема здесь в том, что мы ограничены каким-либо выходом rawcap». Выходные данные rawcap - это файл pcap, в котором содержится необработанное содержимое пакета, включая номера портов, а НЕ имена, которые вы видите. «Единственный способ, которым tshark вступает в игру, - это настроить способ, которым он интерпретирует / отображает дамп вывода из rawcap». И то, как он интерпретирует дамп, это то, что вы хотите настроить; смотри мой ответ.

Ответы:

1

«florence» и «eforward» соответствуют записям в «служебном» файле Wireshark; «служебный» файл изначально представлял собой файл UN * X с именами для номеров портов - он также в Windows, и теперь Wireshark включает в себя собственный «служебный» файл, который он использует для сопоставления номеров портов и имен.

В документации по справочной странице TShark в списке флагов командной строки написано:

   −n  Disable network object name resolution (such as hostname, TCP and
       UDP port names); the −N flag might override this one.

   −N  <name resolving flags>
       Turn on name resolving only for particular types of addresses and
       port numbers, with name resolving for other types of addresses and
       port numbers turned off.  This flag overrides −n if both −N and −n
       are present.  If both −N and −n flags are not present, all name
       resolutions are turned on.

       The argument is a string that may contain the letters:

       C to enable concurrent (asynchronous) DNS lookups

       m to enable MAC address resolution

       n to enable network address resolution

       N to enable using external resolvers (e.g., DNS) for network
       address resolution

       t to enable transport‐layer port number resolution

поэтому, если вы запустите его с флагом "-n", это отключит разрешение номеров портов транспортного уровня, чтобы он не отображал номера портов на имена. Он также не будет сопоставлять IP-адреса с именами хостов; если вы хотите этого, запустите TShark с «-n» и «-N n».


источник
Это полезная информация, я собираюсь попробовать.
Джавадба
С некоторыми корректировками вышесказанное работает. В частности, только -n работает на окнах (не -N). Я обновил ОП с небольшим дополнительным вопросом, пожалуйста, посмотрите.
Джавадба
-N, вероятно, работает, если TShark пытается разрешить IP-адреса в имена; однако, если эта попытка не удалась, он покажет адрес, поэтому он будет выглядеть так же, как если бы разрешение сетевых адресов не было включено. 127.0.0.1, 10.0.0.22 и 255.255.255.255 могут не преобразовываться в имя хоста, особенно если используется только DNS.
1

"Что за 40 в этом разделе?" это отдельный вопрос, поэтому я дам ему отдельный ответ.

TShark показывает вам столбцы, указанные в файле конфигурации Wireshark; у вас, вероятно, есть стандартные столбцы плюс «настраиваемый» столбец для tcp.dstportполя, показывающий номер порта TCP назначения. Один из стандартных столбцов - это длина пакета канального уровня; это, вероятно, то, что он отображает.


источник
спасибо, я наградил. Просьба рассмотреть upvote.
Джавадба