Pcap報文是一系列的16進制數字,wireshark將其解析之後爲了使用者分析方便,將很多的數字直接顯示成一些英文的名稱,比如物理MAC地址顯示成公司名稱,IP層的protocol type顯示成TCP或者UDP等。這也是wireshark非常方便的地方,分析人員不需要去記住這些數字所代表含義,通過wireshark的解析即可獲取。那麼本文就來聊一聊wiresark提供了哪些名字的解析以及其依據,作爲我的專欄《wireshark從入門到精通》中的其中一篇。
在wireshark解析報文的時候,會顯示物理地址的名稱。我們知道物理地址是按段分配給各個硬件公司的,顯示的名稱就是該地址所在段所屬的公司名。其實不僅僅可以顯示物理地址的名稱,給予分析人員直觀上的指導,還可以顯示IP以及端口對應的名稱。IP的名稱指的就是IP對應的域名,端口的名稱指的就是使用該端口的服務名。如圖1即可設置對於物理地址,網絡層地址,傳輸層地址進行名稱解析:
圖1
通常來說物理地址名稱是默解析認,如果勾選了三種解析,在顯示物理層,網絡層,傳輸層地址的地方則會有相應的名稱替代對應的數字地址,如圖2:
圖2
圖2中的目的和源物理層地址是分配給LiteonTe以及Tp-LinkT的。59.