wireshark正確將tcp&sctp解析爲diameter協議
在現網中經常使用到diameter協議,例如EPC的Gx,Gy,S6a接口,IMS網絡中有更多的是diameter接口,一般與PCRF和HSS交互的接口使用的都是diameter協議。
但是有時候我們wireshark抓到的diameter數據包,打開時沒能正確顯示成diameter協議,所以我們就無法看到裏面承載的信息,我們知道wireshark軟件查看數據包就是識別網絡並解析網絡協議的功能。wireshark之所以沒有解析出diameter協議,就是因爲其沒有識別到此協議,所以我們需要對diameter的協議端口(上層協議識別下層協議的端口)進行手動解碼,就是讓wireshark關聯diameter協議解碼。
例如如下分別是sctp和tcp承載的diameter協議無法協議的情況:
- 1、我們首先看下tcp協議承載diameter協議的解碼問題
光標放在需要解碼的數據包右鍵選擇協議解碼,在如下欄選擇diameter即可,效果如下:
有沒有發現有個問題,4個tcp的diameter包,只解碼了前兩個,後兩個還是tcp協議,這是爲啥呢,我們看#7,9號包的tcp層的序列號都是1,tcp自動做重傳分析時因爲tcp層序列號相同認爲是重傳,所以沒有解碼,下面我們處理一下,關閉tcp層的重傳分析。
編碼》首選項》protocol,找到tcp協議,將如下框裏的勾去掉,就一切OK,如下,不過記得如果以後分析實際tcp協議數據包時候,需要wireshark幫助做重傳分析時記得再勾選上,否則wireshark不會自動給做重傳分析。
- 2、sctp承載diameter的解碼
注意:有點不同吆
同樣光標放到要解碼包,右鍵選中協議解碼,找到用diameter解析,不過有時候可能wireshark沒有識別到sctp協議和端口,需要我們手動去指定,如下:
看下數據包裏實際的sctp端口號
在當前處選擇diameter解析即可。
總結延申:
實際這種方法在wireshark裏可以廣泛使用,不僅僅時diameter不能解析時使用,其他協議也適用,而且如果某個協議解析不如我們意,我們也可以去研究一下協議首選項,找到該協議,看看是不是某些項需要勾選,或者多勾選了。
--------如有問題需要討論可以給我留言哦