协议的分用以及wireshark对协议的识别

    在TCP/IP详解一书中谈到了协议的分用，书中的图1-8如上。图1-8能够很好地解释在互联网的分层结构中，底层的协议头是如何承载上层的不一样的协议的。对于链路层而言，以太网首部中有不一样帧类型用于表示以太网帧内的数据。在IP数据包的首部，也有专门的8位协议类型，用于表示IP包中的上层协议类型，网址http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml中给出了IETF规定的详细的协议类型号，其中TCP是6，UDP是17，ICMP是1。不过在传输层的两个经常使用协议TCP和UDP首部中，并无协议类型的字段，TCP和UDP包内的应用程协议的类型依靠的是TCP和UDP包首部的端口号来进行区分。对于一些经常使用的应用层协议IETF都规定了相应的熟知端口号，在网址http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml中有一份详细的列表。TCP和UDP报头的16比特端口号给应用层协议的设计提供了足够的设计空间（65535个）和足够的灵活度。

   理解了协议的分用以后，就比较容易理解wireshark是如何将数据包识别和展现出来的了。wireshark的工做原理的简单介绍能够参见http://gaia.cs.umass.edu/wireshark-labs/Wireshark_Intro_v6.0.pdf。归纳地说，就是wireshark是一款创建在已有的包捕捉工具上的一款数据包分析软件。常见的抓包的库有libpcap、jpcap、winpcap等等，这些抓包工具将主机的网卡设置为混杂模式，从而能够捕捉到目的MAC不是主机网卡的数据包。而wireshark基于这些库捕捉到的包进行识别和分析，将包中内容按照协议类型和层次展现出来。

  不过对于那些不采用熟知端口传输的应用层协议而言，wireshark就有可能出现没法识别的状况，这也是我最近遇到的一个场景。我在抓包的时候碰见了wireshark protocol一栏显示enttec，Info 一栏显示 unknown的状况。通过一段时间的分析，能够肯定wireshark显示enttec和unknown的缘由是TCP采用了非熟知端口发送HTTP报文。不过wireshark在设计中已经考虑到这样一种状况的出现，能够针对非熟知端口的已知应用层协议设置相应的解码方式。具体的方法是：选中没法识别的报文->右键单击->Decode As->选择相应的应用层协议。