Возможно, самый простой способ узнать, что называется полем, - открыть файл захвата в Wireshark, который, как вы знаете, содержит интересующее поле, затем развернуть сведения о пакете, пока не найдете интересующее вас поле, и наконец, выберите поле. Имя поля будет отображаться для вас в строке состояния внизу.
Вы также можете искать поля, используя онлайн-Wireshark Display Filter Reference.
Что касается портов, то они уникальны для каждого протокола, поэтому, если вы хотите видеть исходные и конечные порты TCP, вам необходимо будет специально фильтровать для tcp.srcport
и tcp.dstport
, и если вы хотите видеть исходный и конечный порты UDP, тогда вам придется специально фильтровать для udp.srcport
и udp.dstport
.
Чтобы избежать пустых столбцов порта UDP для трафика TCP или пустых столбцов TCP-порта для трафика UDP, вы можете дважды запустить команду, чтобы сначала сосредоточиться только на трафике TCP, а затем только на трафике UDP. Например:
TCP:
tshark -Y "tcp" -T fields -e tcp.srcport -e tcp.dstport
UDP:
tshark -Y "udp" -T fields -e udp.srcport -e udp.dstport
(я опустил все другие tshark
варианты, чтобы сосредоточиться на только варианты, которые я пытался проиллюстрировать.)
Не все протоколы имеют порты. Адреса TCP и UDP называются портами, но существуют другие протоколы уровня 4, и многие из них не используют порты. Протоколы уровня 3, такие как IPv4 и IPv6, не используют порты, у них есть IP-адреса. –