ПО:Wireshark/Рецепты/Wireshark неверно выбрал дешифратор протокола

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Проверка/Оформление/Редактирование: Мякишев Е.А.


Wireshark неверно выбрал дешифратор протокола

Проблема

В Wireshark применяются различные дешифраторы для обнаружения отдельных протоков и отображения сетевой информации. Но он не всегда делает правильный выбор дешифратора(нестандартная конфигурация в сетевом протоколе, нестандартны порт из соображений безопасности и т.д.).

Решение

В Wireshark для решения этой проблемы можно переопределить применяемый дешифратор.

Для этого:

  • Щелкните правой кнопкой мыши на избранном пакете и в контекстном меню выберете Decode as... (Декодировать как...).
  • В появившемся окне для нужного протокола и порта измените значение в столбце "Текущий" на нужный протокол.
  • Щелкните на кнопке  ОК , чтобы увидеть изменения.

Пример

Рассмотрим пример обмен данными между двумя компьютерами по сетевому протоколы SSL, который применяется для зашифрованного обмена данными между конечными системами.

При обычных условиях просмотр зашифрован ого трафика не даст полезных данных, но в данном примере, если вы посмотрите на картинку, то увидите сетевой трафик представленный простым текстом.

Если изучить несколько пакетов, то можно обнаружить упоминание программы FileZilla, которая применяется для работы с FTP-сервером.

А где-то даже запрос-ответ имени пользователя и пароля.

Изучив несколько пакетов можно придти к выводу, что это скорее трафик FTP,а не SSL, потому что иначе мы бы не смогли прочитать данные, имена пользователей и пароли. Wireshark интерпретировал этот трафик как SSL, потому что в нем используется стандартный порт 443, который используется в HTTPS.

Устраним проблему, применим принудительную расшифровку в Wireshark:

  • Кликаем правой кнопкой на пакете SSL и выбираем команду Decode as...(Декодировать как...).

См.также

Внешние ссылки