修改wireshark协议解析规则

Posted 2021-01-27 qiumingcheng

不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。

1.使用了其它协议的标准端口，被错误解码，使用udp的80端口发送数据被当作QUIC协议解析。
wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框，可以解析的协议列表。

“Enabled Protocols”对话框中取消勾选QUIC，Save按钮保存设置即可。

2.不使用协议的默认端口，导致不能识别解码，如：HTTP协议使用800端口而不是标准80端口，可以强制将那些包按照指定协议解析。

选中包，然后右键菜单中选择”Decode As”，打开Decode As对话框

或者wireshark菜单“Analyze”–>Decode As…、User Specified Decodes… 用户自定义的解码规则列表

Decode As对话框可以临时设置解码器，退出Wireshark以后，这些设置会丢失

Decode 使用选择的方式解码
Do not decode 不使用选定方式解码
Show Current 打开”Decode As: Show” 对话框，显示已经指定的解码器列表