论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-08-25 09:59 |只看该作者 |倒序浏览

对于某个应用层协议，根据tcp端口来识别有可能不太准，但我看通过wireshark抓到包可以把它识别为某个协议，比如http。是不是wireshark识别协议的时候看tcp的端口，假如是公认的端口比如21 80就把下一层定为ftp或http。假如把端口变了呢，wireshark是怎么识别的。

文库|博客

zwicker

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2010-08-25 10:21 |只看该作者

rawsocket或驱动层

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

davelv

大富大贵

论坛徽章:: 0

3楼 [报告]

发表于 2010-08-25 10:23 |只看该作者

每种协议都有自己的格式，应用层协议本身没有端口号，端口号是运输层的东西。
所以只要分析数据的格式是不是符合自己库里面保存的特征就可以确定是哪种协议。
例如HTTP，无论是好request 还是response,都有版本字段。在这个字段里面可以确认http协议版本，自然也可以得知是http协议，不过为了防止分析错误，这些特征肯定都是精心选择好，不与别的协议冲突的部分。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zhangsuozhu

腰缠万贯

论坛徽章:: 0

4楼 [报告]

发表于 2010-08-25 11:01 |只看该作者

本帖最后由 zhangsuozhu 于 2010-08-25 11:05 编辑

wireshark只用了端口协识别吧。L7层没有作识别。所以你换端口了。它就不能识别了。

不知新版本如何。如果实现了，那就是L7层识别了。比如特征码识别。 HTTP 的 TCP负载数据的开始是三个字节GET 或四个字节的POST 都是ASCII码的。strncmp一下就判断出来了。