Tshark está exibindo “florence” e “eforward” em vez de números de porta de origem / destino

Question

Tshark está exibindo “florence” e “eforward” em vez de números de porta de origem / destino

#1 resposta do (1 votos)
#2 resposta do (1 votos)

0

Estou executando o rawcap no adaptador de loopback windows7. Eu corri

telnet localhost 2181

15 pacotes foram gerados. Para ver a saída eu corri

wireshark\tshark -r \shared\pcap.pcap

E aqui está a saída

florence   0.000000    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
florence   0.103006    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
eforward   9.458541    127.0.0.1 -> 127.0.0.1    TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435   9.466541    127.0.0.1 -> 127.0.0.1    TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward   9.474542    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence  12.022688    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
florence  12.083691    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
eforward  13.144752    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435  13.146752    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward  14.877851    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435  14.878851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435  14.880851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435  14.882851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward

Então eu não entendo isso. Estou procurando a informação da porta 2181. Em vez disso eu vejo .. Florença .. O que isso significa? E como eu vejo o número correto da porta de destino?

UPDATE A resposta de Guy Harris está no alvo (e será aceita). Eu gostaria de um pequeno esclarecimento para solicitar aqui: A saída corrigida (após adicionar -n à linha de comando do tshark) é:

2181 117.286708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181

Portanto, agora a porta de destino (2181) é exibida corretamente. Mas por favor explique: o que é o 40 nesta seção:

TCP 40 2181 > 60723

wireshark telnet loopback

por javadba 25.05.2014 / 06:10

2 respostas

1

"O que são os 40 nesta seção?" é uma questão separada, então vou dar uma resposta separada.

O TShark está mostrando as colunas especificadas no arquivo de configuração do Wireshark; você provavelmente tem as colunas padrão, além de uma coluna "personalizada" para o campo tcp.dstport , mostrando o número da porta TCP de destino. Uma das colunas padrão é o comprimento do pacote da camada de enlace; provavelmente é isso que está sendo exibido.

por 25.05.2014 / 19:06

Tags wireshark telnet loopback

Campo da chave de segurança de rede não visível ao tentar atualizar a senha Conecte o adaptador de energia ao laptop de 19V [duplicado]

score 1 · Accepted Answer

"florence" e "eforward" correspondem a entradas no arquivo "service" do Wireshark; o arquivo "service" era originalmente um arquivo UN * X dando nomes para números de portas - também está no Windows, e o Wireshark agora inclui seu próprio arquivo "service", usado para mapear números de portas para nomes.

A documentação da página de manual do TShark diz, em sua lista de flags de linha de comando:

   −n  Disable network object name resolution (such as hostname, TCP and
       UDP port names); the −N flag might override this one.

   −N  <name resolving flags>
       Turn on name resolving only for particular types of addresses and
       port numbers, with name resolving for other types of addresses and
       port numbers turned off.  This flag overrides −n if both −N and −n
       are present.  If both −N and −n flags are not present, all name
       resolutions are turned on.

       The argument is a string that may contain the letters:

       C to enable concurrent (asynchronous) DNS lookups

       m to enable MAC address resolution

       n to enable network address resolution

       N to enable using external resolvers (e.g., DNS) for network
       address resolution

       t to enable transport‐layer port number resolution

, portanto, se você executá-lo com o sinalizador "-n", isso desativará a resolução do número da porta da camada de transporte, para que não mapeie os números de porta para os nomes. Também não mapeará endereços IP para nomes de host; Se você quiser, execute TShark com "-n" e "-N n".