Tshark zeigt "florence" und "eforward" anstelle von Quell- / Zielportnummern an

0

Ich lasse rawcap auf Windows7-Loopbackadapter laufen. ich bin gerannt

telnet localhost 2181

Es wurden 15 Pakete generiert. Um die Ausgabe anzusehen, lief ich

wireshark\tshark -r \shared\pcap.pcap

Und hier ist die Ausgabe

florence   0.000000    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
florence   0.103006    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
eforward   9.458541    127.0.0.1 -> 127.0.0.1    TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435   9.466541    127.0.0.1 -> 127.0.0.1    TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward   9.474542    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence  12.022688    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
florence  12.083691    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
eforward  13.144752    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435  13.146752    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward  14.877851    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435  14.878851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435  14.880851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435  14.882851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward

Ich verstehe das also NICHT. Ich suche nach Informationen zu Port 2181. Stattdessen sehe ich .. Florenz .. Was bedeutet das? Und wie sehe ich die richtige Zielportnummer?

UPDATE Die Antwort von Guy Harris ist korrekt (und wird akzeptiert). Ich hätte hier eine kleine weitere Klarstellung anzufordern: Die korrigierte Ausgabe (nach dem Hinzufügen von -n zur tshark-Befehlszeile) ist:

2181 117.286708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181

Der Zielport (2181) wird nun korrekt angezeigt. Aber bitte erklären Sie: Was ist die 40 in diesem Abschnitt:

TCP 40 2181 > 60723 
Javadba
quelle
Ich schlage vor, das Dokument durchzulesen : wireshark.org/docs/man-pages/tshark.html . Es gibt auch einige Beispiele, von denen einige zeigen, wie Ports angezeigt werden: chrisbrenton.org/2009/10/analyzing-packets-with-tshark . Sie können die Anzeigefilterreferenz hier verwenden: wiki.wireshark.org/DisplayFilters
MaQleod
Vielen Dank, aber das Problem ist, dass wir uns auf die Ausgabe von rawcap beschränken. tshark unter Windows kann keinen Loopback-Adapter-Datenverkehr erfassen. Daher ist das Erlernen der Traffic Sniffing-Funktionen von tshark wahrscheinlich nicht anwendbar. Der einzige Weg, wie tshark ins Spiel kommt, besteht darin, die Interpretation / Anzeige des Ausgabedumps von rawcap zu optimieren.
Javadba
"Das Problem hierbei ist jedoch, dass wir uns auf die Ausgabe von rawcap beschränken". Die Ausgabe von rawcap ist eine pcap-Datei, die den Inhalt des Rohpakets einschließlich der Portnummern enthält - NICHT die Namen, die Sie sehen. "Der einzige Weg, wie tshark ins Spiel kommt, besteht darin, die Interpretation / Anzeige des Ausgabedumps von rawcap zu optimieren." Und die Art und Weise, wie der Dump interpretiert wird, ist das, was Sie optimieren möchten. Siehe meine Antwort.

Antworten:

1

"florence" und "eforward" entsprechen Einträgen in der "service" -Datei von Wireshark; Die "Service" -Datei war ursprünglich eine UN * X-Datei, die Namen für Portnummern enthält. Sie läuft auch unter Windows. Wireshark enthält jetzt eine eigene "Service" -Datei, mit der Portnummern Namen zugeordnet werden.

In der Dokumentation der TShark-Manpage heißt es in der Liste der Befehlszeilenflags:

   −n  Disable network object name resolution (such as hostname, TCP and
       UDP port names); the −N flag might override this one.

   −N  <name resolving flags>
       Turn on name resolving only for particular types of addresses and
       port numbers, with name resolving for other types of addresses and
       port numbers turned off.  This flag overrides −n if both −N and −n
       are present.  If both −N and −n flags are not present, all name
       resolutions are turned on.

       The argument is a string that may contain the letters:

       C to enable concurrent (asynchronous) DNS lookups

       m to enable MAC address resolution

       n to enable network address resolution

       N to enable using external resolvers (e.g., DNS) for network
       address resolution

       t to enable transport‐layer port number resolution

Wenn Sie es also mit dem Flag "-n" ausführen, wird die Auflösung der Transportschicht-Portnummern deaktiviert, sodass Portnummern keinen Namen zugeordnet werden. Es werden auch keine IP-Adressen zu Hostnamen zugeordnet. Wenn Sie das wollen, führen Sie TShark mit "-n" und "-N n" aus.


quelle
Das ist eine nützliche Information, ich werde es gleich versuchen.
Javadba
Mit einigen Anpassungen funktioniert das oben Genannte. Insbesondere funktioniert nur -n unter Windows (nicht -N). Ich habe OP mit kleinen zusätzlichen Fragen aktualisiert, bitte schauen Sie.
Javadba
-N funktioniert wahrscheinlich in dem Maße, in dem TShark versucht, die IP-Adressen in Namen aufzulösen. Wenn dieser Versuch jedoch fehlschlägt, wird die Adresse angezeigt, sodass er genauso aussieht, als wäre die Netzwerkadressauflösung nicht aktiviert. 127.0.0.1, 10.0.0.22 und 255.255.255.255 werden möglicherweise nicht in einen Hostnamen aufgelöst, insbesondere wenn nur DNS verwendet wird.
1

"Was ist die 40 in diesem Abschnitt?" ist eine separate Frage, daher gebe ich eine separate Antwort.

TShark zeigt Ihnen die in der Wireshark-Konfigurationsdatei angegebenen Spalten an. Sie haben wahrscheinlich die Standardspalten sowie eine "benutzerdefinierte" Spalte für das tcp.dstportFeld, in der die TCP-Zielportnummer angegeben ist. Eine der Standardspalten ist die Paketlänge der Verbindungsschicht. Das ist wahrscheinlich, was es anzeigt.


quelle
Danke, ich habe vergeben. pls betrachten upvote.
Javadba