В Wireshark применяются различные дешифраторы для обнаружения отдельных протоков и отображения сетевой информации. Но он не всегда делает правильный выбор дешифратора(нестандартная конфигурация в сетевом протоколе, нестандартны порт из соображений безопасности и т.д.).
Решение
В Wireshark для решения этой проблемы можно переопределить применяемый дешифратор.
Для этого:
Щелкните правой кнопкой мыши на избранном пакете и в контекстном меню выберете Decode as... (Декодировать как...).
В появившемся окне для нужного протокола и порта измените значение в столбце Current(Текущий) на нужный протокол.
Щелкните на кнопке ОК , чтобы увидеть изменения.
Пример
Рассмотрим пример обмен данными между двумя компьютерами по сетевому протоколы SSL, который применяется для зашифрованного обмена данными между конечными системами.
При обычных условиях просмотр зашифрован ого трафика не даст полезных данных, но в данном примере, если вы посмотрите на картинку, то увидите сетевой трафик представленный простым текстом.
Если изучить несколько пакетов, то можно обнаружить упоминание программы FileZilla, которая применяется для работы с FTP-сервером.
А где-то даже запрос-ответ имени пользователя и пароля.
Изучив несколько пакетов можно придти к выводу, что это скорее трафик FTP,а не SSL, потому что иначе мы бы не смогли прочитать данные, имена пользователей и пароли. Wireshark интерпретировал этот трафик как SSL, потому что в нем используется стандартный порт 443, который используется в HTTPS.
Устраним проблему, применим принудительную расшифровку в Wireshark:
Кликаем правой кнопкой на пакете SSL и выбираем команду Decode as...(Декодировать как...):
Укажите, чтобы Wireshark расшифровывал весь трафик TCP, проходящий через порт 443, как FTP, выбрав в столбце Current(Текущий) вариант FTP:
После этого щелкните по кнопке ОК , чтобы увидеть изменения:
Данные теперь декодированы как FTP, что позволит легко их анализировать в панели Packet List.