Я использую rawcap на Windows7 loopback адаптере. Я бегал
telnet localhost 2181
Сгенерировано 15 пакетов. Для просмотра вывода я запустил
wireshark\tshark -r \shared\pcap.pcap
А вот и вывод
florence 0.000000 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
florence 0.103006 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
eforward 9.458541 127.0.0.1 -> 127.0.0.1 TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435 9.466541 127.0.0.1 -> 127.0.0.1 TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward 9.474542 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence 12.022688 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
florence 12.083691 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
eforward 13.144752 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435 13.146752 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward 14.877851 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435 14.878851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435 14.880851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435 14.882851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward
Так что я не понимаю этого. Я ищу информацию о порте 2181. Вместо этого я вижу .. Флоренцию .. Что это значит? И как я вижу правильный номер порта назначения?
ОБНОВЛЕНИЕ Ответ от Гая Харриса на цели (и будет принят). Я бы хотел дать небольшое уточнение, чтобы запросить здесь: Исправленный вывод (после добавления -n в командную строку tshark):
2181 117.286708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181
Таким образом, теперь порт назначения (2181) отображается правильно. Но, пожалуйста, объясните: что за 40 в этом разделе:
TCP 40 2181 > 60723
Ответы:
«florence» и «eforward» соответствуют записям в «служебном» файле Wireshark; «служебный» файл изначально представлял собой файл UN * X с именами для номеров портов - он также в Windows, и теперь Wireshark включает в себя собственный «служебный» файл, который он использует для сопоставления номеров портов и имен.
В документации по справочной странице TShark в списке флагов командной строки написано:
поэтому, если вы запустите его с флагом "-n", это отключит разрешение номеров портов транспортного уровня, чтобы он не отображал номера портов на имена. Он также не будет сопоставлять IP-адреса с именами хостов; если вы хотите этого, запустите TShark с «-n» и «-N n».
источник
"Что за 40 в этом разделе?" это отдельный вопрос, поэтому я дам ему отдельный ответ.
TShark показывает вам столбцы, указанные в файле конфигурации Wireshark; у вас, вероятно, есть стандартные столбцы плюс «настраиваемый» столбец для
tcp.dstport
поля, показывающий номер порта TCP назначения. Один из стандартных столбцов - это длина пакета канального уровня; это, вероятно, то, что он отображает.источник