wireshark解析報文一點根據
問題:遇到一個問題,net-snmp發出trap的時候,通過wireshark抓包發現只能發送知名端口162的告警報文。
處理過程如下:
- 檢查代碼:經過代碼排查發現net-snmp沒有對端口做任何限制。
- 抓包:經過抓包,發現都發出了UDP報文。對報文進行過濾,過濾條件爲 "snmp"。發現只有端口爲162時,纔有報文報文標記爲snmp報文,端口爲非162時,過濾後,沒有snmp報文。
- 通過對udp報文進行重新解析,發現其中udp報文中的data部分爲snmp報文內容。
分析原因:
SNMP協議採用UDP報文進行交互。所以snmp發出的報文爲UDP報文。
wireshark解析報文時,會按着知名端口來進行分析。因爲162爲snmp協議trap告警的知名端口,所以將報文解析爲snmp報文。而採用其他自定義端口,wireshark只能將報文解析到udp這一級別。
結論:
wireshark解析報文時,會根據知名端口進行深入的解析。如果不確定這是什麼類型的報文,那麼解析會降級。
如果需要重新解析報文(decode)。可以通過如下操作來查看報文
選擇報文→右鍵→選擇解碼爲→當前下拉菜單→選擇協議SNMP→ok。wireshark就會按照選擇的協議進行解析報文。