Ich lasse rawcap auf Windows7-Loopbackadapter laufen. ich bin gerannt
telnet localhost 2181
Es wurden 15 Pakete generiert. Um die Ausgabe anzusehen, lief ich
wireshark\tshark -r \shared\pcap.pcap
Und hier ist die Ausgabe
florence 0.000000 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
florence 0.103006 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748 Destination port: florence 56748
eforward 9.458541 127.0.0.1 -> 127.0.0.1 TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435 9.466541 127.0.0.1 -> 127.0.0.1 TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward 9.474542 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence 12.022688 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
florence 12.083691 10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846 Destination port: florence 60846
eforward 13.144752 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435 13.146752 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward 14.877851 127.0.0.1 -> 127.0.0.1 TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435 14.878851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435 14.880851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward 14.881851 127.0.0.1 -> 127.0.0.1 TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435 14.882851 127.0.0.1 -> 127.0.0.1 TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward
Ich verstehe das also NICHT. Ich suche nach Informationen zu Port 2181. Stattdessen sehe ich .. Florenz .. Was bedeutet das? Und wie sehe ich die richtige Zielportnummer?
UPDATE Die Antwort von Guy Harris ist korrekt (und wird akzeptiert). Ich hätte hier eine kleine weitere Klarstellung anzufordern: Die korrigierte Ausgabe (nach dem Hinzufügen von -n zur tshark-Befehlszeile) ist:
2181 117.286708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708 127.0.0.1 -> 127.0.0.1 TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181
Der Zielport (2181) wird nun korrekt angezeigt. Aber bitte erklären Sie: Was ist die 40 in diesem Abschnitt:
TCP 40 2181 > 60723
Antworten:
"florence" und "eforward" entsprechen Einträgen in der "service" -Datei von Wireshark; Die "Service" -Datei war ursprünglich eine UN * X-Datei, die Namen für Portnummern enthält. Sie läuft auch unter Windows. Wireshark enthält jetzt eine eigene "Service" -Datei, mit der Portnummern Namen zugeordnet werden.
In der Dokumentation der TShark-Manpage heißt es in der Liste der Befehlszeilenflags:
Wenn Sie es also mit dem Flag "-n" ausführen, wird die Auflösung der Transportschicht-Portnummern deaktiviert, sodass Portnummern keinen Namen zugeordnet werden. Es werden auch keine IP-Adressen zu Hostnamen zugeordnet. Wenn Sie das wollen, führen Sie TShark mit "-n" und "-N n" aus.
quelle
"Was ist die 40 in diesem Abschnitt?" ist eine separate Frage, daher gebe ich eine separate Antwort.
TShark zeigt Ihnen die in der Wireshark-Konfigurationsdatei angegebenen Spalten an. Sie haben wahrscheinlich die Standardspalten sowie eine "benutzerdefinierte" Spalte für das
tcp.dstport
Feld, in der die TCP-Zielportnummer angegeben ist. Eine der Standardspalten ist die Paketlänge der Verbindungsschicht. Das ist wahrscheinlich, was es anzeigt.quelle