wireshark解析报文一点根据
问题:遇到一个问题,net-snmp发出trap的时候,通过wireshark抓包发现只能发送知名端口162的告警报文。
处理过程如下:
- 检查代码:经过代码排查发现net-snmp没有对端口做任何限制。
- 抓包:经过抓包,发现都发出了UDP报文。对报文进行过滤,过滤条件为 "snmp"。发现只有端口为162时,才有报文报文标记为snmp报文,端口为非162时,过滤后,没有snmp报文。
- 通过对udp报文进行重新解析,发现其中udp报文中的data部分为snmp报文内容。
分析原因:
SNMP协议采用UDP报文进行交互。所以snmp发出的报文为UDP报文。
wireshark解析报文时,会按着知名端口来进行分析。因为162为snmp协议trap告警的知名端口,所以将报文解析为snmp报文。而采用其他自定义端口,wireshark只能将报文解析到udp这一级别。
结论:
wireshark解析报文时,会根据知名端口进行深入的解析。如果不确定这是什么类型的报文,那么解析会降级。
如果需要重新解析报文(decode)。可以通过如下操作来查看报文
选择报文→右键→选择解码为→当前下拉菜单→选择协议SNMP→ok。wireshark就会按照选择的协议进行解析报文。
原文地址:http://blog.51cto.com/qiaopeng688/2169581
时间: 2024-09-28 16:41:47