發展簡史
1997年底,Gerald Combs需要一個能夠追蹤網路流量的工具軟體作為其工作上的輔助。因此他開始撰寫Ethereal軟體。
Ethereal 在經過幾次中斷開發的事件過後,終於在1998年7月發布其第一個版本 v0.2.0。自此之後,Combs收到了來自全世界的補丁、錯誤回報與鼓勵信件。Ethereal的發展就此開始。不久之後,Gilbert Ramirez 看到了這套軟體的開發潛力並開始參予低級程式的開發。1998年10月,來自 Network Appliance 公司的 Guy Harris 在查找一套比 tcpview(另外一套網路數據包截取程式)更好的軟體。於是他也開始參與Ethereal的開發工作。
1998年底,一位在教授 TCP/IP 課程的講師 Richard Sharpe,看到了這套軟體的發展潛力,而後開始參與開發與加入新協定的功能。在當時,新的通信協定的制定並不複雜,因此他開始在Ethereal上新增的數據包截取功能,幾乎包含了當時所有通信協定。
自此之後,數以千計的人開始參與Ethereal的開發,多半是因為希望能讓Ethereal截取特定的,尚未包含在Ethereal默認的網路協定的數據包而參予新的開發。
2006年6月,因為商目標問題,Ethereal更名為Wireshark。
軟體特徵
Ethereal 主要具有以下特徵:
在實時時間內,從網路連線處捕獲數據,或者從被捕獲檔案處讀取數據;
Ethereal 可以讀取從 tcpdump(libpcap)、網路通用
嗅探器(被壓縮和未被壓縮)、SnifferTM 專業版、NetXrayTM、Sun snoop 和 atmsnoop、Shomiti/Finisar 測試員、AIX 的 iptrace、
Microsoft 的網路
監控器、Novell 的 LANalyzer、RADCOM 的 WAN/LAN 分析器、 ISDN4BSD 項目的 HP-UX nettl 和 i4btrace、Cisco 安全 IDS iplog 和
pppd 日誌( pppdump 格式)、WildPacket 的 EtherPeek/TokenPeek/AiroPeek 或者可視網路的可視 UpTime 處捕獲的檔案。此外 Ethereal 也能從 Lucent/Ascend WAN
路由器和 Toshiba ISDN 路由器中讀取跟蹤報告,還能從 VMS 的 TCPIP 讀取輸出文本和 DBS Etherwatch。
通過 editcap 程式的命令行交換機,有計畫地編輯或修改被捕獲檔案。
當前602協定可被分割。
通過顯示過濾器精確顯示數據。
顯示過濾器也可以選擇性地用於高亮區和顏色包摘要信息。
所有或部分被捕獲的網路跟蹤報告都會保存到磁碟中。
系統介紹
Ethereal是一個開放源碼的
網路分析系統,也是是目前最好的開放源碼的網路協定分析器,支持Linux和
windows平台。Ethereal起初由Gerald Combs開發,隨後由一個鬆散的Etheral團隊組織進行維護開發。它目前所提供的強大的協定分析功能完全可以媲美商業的網路分析系統,自從1998年發布最早的0.2版本至今,大量的志願者為Ethereal添加新的協定解析器,如今Ethereal已經支持五百多種協定解析。很難想像如此多的人開發的代碼可以很好的融入系統中;並且在系統中加入一個新的協定解析器很簡單,一個不了解系統的結構的新手也可以根據留出的接口進行自己的協定開發。這都歸功於Ehereal良好的設計結構。事實上由於網路上各種協定種類繁多,各種新的協定層出不窮。一個好的
協定分析器必需有很好的可擴展性和結構。這樣才能適應
網路發展的需要不斷加入新的協定解析器。
1 Ethereal的捕包平台
網路分析系統首先依賴於一套捕捉
網路數據包的函式館。這套函式館工作在在網路分析系統模組的最底層。作用是從網卡取得數據包或者根據過濾規則取出數據包的子集,再轉交給上層分析模組。從協定上說,這套函式館將一個數據包從
鏈路層接收,至少將其還原至
傳輸層以上,以供上層分析。
在Linux系統中, 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實現,BPF(BSD Packet Filter)。Libpcap是一個基於BPF的開放源碼的捕包函式館。現有的大部分Linux捕包系統都是基於這套函式館或者是在它基礎上做一些針對性的改進。
在window系統中,義大利人Fulvio Risso和Loris Degioanni提出並實現了Winpcap函式館,作者稱之為NPF。由於NPF的主要思想就是來源於BPF,它的設計目標就是為
windows系統提供一個功能強大的開發式數據包捕獲平台,希望在Linux系統中的
網路分析工具經過簡單編譯以後也可以移植到windows中,因此這兩種捕包架構是非常相似的。就實現來說提供的函式調用接口也是一致的。
Ethereal網路分析系統也需要一個底層的
抓包平台,在Linux中是採用Libpcap函式館抓包,在windows系統中採用winpcap函式館抓包。
2 層次化的數據包協定分析方法
取得捕包函式捕回的數據包後就需要進行
協定分析和協定還原工作了。由於OSI的7層協定模型,協定數據是從上到下封裝後傳送的。對於協定分析需要從下至上進行。首先對網路層的協定識別後進行組包還原然後脫去網路層協定頭。將裡面的數據交給
傳輸層分析,這樣一直進行下去直到
套用層。
Ip
| \
Tcp udp
| \
HTTP TFTP
由於網路協定種類很多,就Ethereal所識別的500多種協定來說,為了使協定和協定間層次關係明顯。從而對
數據流里的各個層次的協定能夠逐層處理。Ethereal系統採用了協定樹的方式。上圖就是一個簡單的協定樹。如果協定A的所有數據都是封裝在協定B里的,那么這個協定A就是協定B是另外一個協定的兒子節點。我們將最低層的無結構數據流作為根接點。那么具有相同父節點的協定成為兄弟節點。那么這些擁有同樣父協定兄弟節點協定如何互相區分了?Ethereal系統採用協定的特徵字來識別。每個協定會註冊自己的特徵字。這些特徵字給自己的子
節點協定提供可以互相區分開來的標識。比如tcp協定的port欄位註冊後。 Tcp.port=21就可以認為是ftp協定, 特徵字可以是協定規範定義的任何一個欄位。比如ip協定就可以定義proto欄位為一個特徵字。
在Ethereal中註冊一個協定解析器首先要指出它的父協定是什麼。另外還要指出自己區別於父節點下的兄弟接點協定的特徵。比如ftp協定。在Ethereal中他的父接點是tcp協定,它的特徵就是tcp協定的port欄位為21。
這樣當一個連線埠為21的tcp數據流來到時。首先由tcp協定註冊的解析模組處理,處理完之後通過查找協定樹找到自己協定下面的子協定,判斷應該由那個子協定來執行,找到正確的子協定後,就轉交給ftp註冊的解析模組處理。這樣由根節點開始一層層解析下去。
由於採用了協定樹加特徵字的設計,這個系統在協定解析上由了很強的擴展性,增加一個協定解析器只需要將解析函式掛到協定樹的相應
節點上即可。
所謂外掛程式技術,就是在程式的設計開發過程中,把整個應用程式分成
宿主程式和外掛程式兩個部分,宿主程式與外掛程式能夠相互通信,並且,在宿主程式不變的情況下,可以通過增減外掛程式或修改外掛程式來調整應用程式的功能。運用外掛程式技術可以開發出伸縮性良好、便於維護的應用程式。它著名的套用實例有:
媒體播放器winamp、微軟的網路瀏覽器ie等。
由於現在
網路協定種類繁多,為了可以隨時增加新的協定分析器,一般的協定分析器都採用外掛程式技術,這樣如果需要對一個新的協定分析只需要開發編寫這個協定分析器並調用註冊函式在系統註冊就可以使用了。通過增加
外掛程式使程式有很強的可擴展性,各個功能模組
內聚。
在
協定分析器中新增加一個協定外掛程式一般需要外掛程式安裝或者註冊,外掛程式初始化,外掛程式處理3個步驟,下面以Ethereal為例進行分析如何利用外掛程式技術新增加一個協定分析模組。
Ethereal由於採用外掛程式技術,一個新加入開發的程式設計師開發一種新的
協定分析模組的時候不需要了解所有的代碼,他只需要寫好這個協定模組的函式後,寫一個格式為proto_reg_handoff_XXX的函式,在函式內調用註冊函式告訴系統在什麼時候需要調用這個協定模組。比如
你事先寫好了一個名為dissect_myprot的協定解析模組,它是用來解析tcp協定連線埠為250的數據。可以利用這些語句來將這個解析器註冊到系統中
proto_reg_handoff_myprot(void)
{
dissector_handle_t myprot_handle;
myprot_handle = create_dissector_handle(dissect_myprot,
proto_myprot);
dissector_add("tcp.port", 250, myprot_handle);
}
這段代碼告訴系統當tcp協定數據流連線埠為250的時候要調用dissect_myprot這個函式模組。
在Ethereal中有一個腳本專門來發現開發者定義的類式proto_reg_handoff_xxx這樣的註冊函式名,然後自動生成調用這些註冊函式的代碼。這樣開發者不需要知道自己的註冊函式如何被調用的。這樣一個新的
協定分析模組就加入到系統中了。
由於採用了
外掛程式方式,Ethereal良好的結構設計讓開發者只需要關係自己開發的協定模組,不需要關心整個系統結構,需要將模組整合進系統只需要寫一個註冊函式即可,連初始化時調用這個註冊函式都由腳本自動完成了。正是因為有很好的體系結構,這個系統才能夠開發出如此多的協定解析器。
儘管Ethereal是目前最好的
開放源碼的
網路分析系統,但Ethereal仍然有一些可以改進的地方,一個優秀的
網路分析器,儘可能的正確分析出數據協定和高效的處理數據是兩個重要的指標。在協定識別方面Ethereal大多採用連線埠識別,有少量協定採用內容識別。這就讓一些非標準連線埠的協定數據沒有正確解析出來。比如ftp協定如果不是21連線埠的話,Ethereal就無法識別出來,只能作為tcp數據處理。另外對於內容識別式。Ethereal是將所以內容識別的函式組成一張入口表。每次協定數據需要內容識別時,按字母順序逐個調用表里的每個識別函式。比如對於識別yahoo massanger協定。主要是看數據前幾個位元組是不是’ymsg’.由於協定名為y開頭。所以當識別出協定時已經把所有內容識別函式調用了一遍。這些都是由於Ethereal沒有實現tcp協定棧,無法做到流級別的識別。導致在協定識別方面有點缺陷。
套用範圍
使用入門
Ethereal 可以用來從網路上
抓包,並能對包進行分析。下面介紹
windows 下Ethereal 的使用方法:
安裝
1)安裝winpcap
2)安裝Ethereal
使用
windows 程式,使用很簡單。
啟動ethereal 以後,選擇選單Capture->Start ,就OK 了。當你不想抓的時候,按一下stop, 抓的包就會顯示在面板中,並且已經分析好了。
Ethereal使用-capture選項
interface: 指定在哪個接口(網卡)上
抓包。一般情況下都是單網卡,所以使用預設的就可以了
Limit each packet: 限制每個包的大小,預設情況不限制
Capture packets in promiscuous mode: 是否打開
混雜模式。如果打開,抓取所有的數據包。一般情況下只需要監聽本機收到或者發出的包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包(可暫時略過)
File:如果需要將抓到的包寫到檔案中,在這裡輸入檔案名稱稱。
use ring buffer: 是否使用循環緩衝。預設情況下不使用,即一直
抓包。注意,循環緩衝只有在寫檔案的時候才有效。如果使用了循環緩衝,還需要設定檔案的數目,檔案多大時回卷
其他的項選擇預設的就可以了
Ethereal的抓包過濾器
抓包過濾器用來抓取感興趣的包,用在抓包過程中。 抓包過濾器使用的是libcap 過濾器語言,在tcpdump 的手冊中有詳細的解釋,基本結構是: [not] primitive [and|or [not] primitive ...]
個人觀點,如果你想抓取某些特定的數據包時,可以有以下兩種方法,你可以任選一種, 個人比較偏好第二種方式:
1、在
抓包的時候,就先定義好抓包過濾器,這樣結果就是只抓到你設定好的那些類型的數 據包;
2、先不管三七二十一,把本機收到或者發出的包一股腦的抓下來,然後使用下節介紹的顯 示過濾器,只讓Ethereal 顯示那些你想要的那些類型的數據包;
etheral的顯示過濾器(重點內容)
在抓包完成以後,顯示過濾器可以用來找到你感興趣的包,可以根據1)協定2)是否存在某個域3)域值4)域值之間的比較來查找你感興趣的包。
舉個例子,如果你只想查看使用tcp 協定的包,在ethereal 視窗的左下角的Filter 中輸入tcp, 然後回車,Ethereal 就會只顯示tcp 協定的包。
值比較表達式可以使用下面的操作符來構造顯示過濾器自然語言類c 表示舉例eq == ip.addr==10.1.10.20 ne != ip.addr!=10.1.10.20 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10
表達式組合可以使用下面的邏輯操作符將表達式組合起來自然語言類c 表示舉例and && 邏輯與,比如ip.addr=10.1.10.20&&tcp.flag.fin or ||
邏輯或,比如ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 異或,如tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not !
邏輯非,如 !llc
Ethereal 能夠支持許多協定,但有些協定需要安裝外掛程式以後才能解,比如H.323,以H.323 協定為例,首先下載Ethereal 的H.323 外掛程式,
1)啟動Ethereal
2)選單Edit->Preference
3)單擊Protocols 前面的"+"號,展開Protocols 4)找到Q931 ,並單擊
5)確保"Desegment.... TCP segments" 是選中的(即方框被按下去)
6)單擊TCP
7)確保"Allow....TCP streams" 是選中的
8)確保沒有選中"Check....TCP checksum" 和"Use....sequence numbers"
9)單擊TPKT
10)確保"Desegment....TCP segments" 是選中的
11)點擊Save,然後點擊Apply ,然後點擊OK 你也完全可以不斷地重新安裝新版本winpcap 和Ethreal, 這樣就可以不需在舊的ethreal 的版本中安裝新的
外掛程式來支持新的協定外掛程式。這也是懶人的一種做法。
數據包
Ethereal是一個圖形
用戶接口(GUI)的
網路嗅探器,能夠完成與Tcpdump相同的功能,但操作界面要友好很多。Ehtereal和Tcpdump都依賴於pcap庫(
libpcap),因此兩者在許多方面非常相似(如都使用相同的過濾規則和關鍵字)。Ethereal和其它圖形化的網路嗅探器都使用相同的界面模式,如果能熟練地使用Ethereal,那么其它
圖形用戶界面的嗅探器基本都可以操作。
Ethereal的安裝
在網站上可以下載到最新的Ethereal源碼包。
下面以Ethereal 0.9.9為例,講述如何安裝Ethereal,此處使用的作業系統是Red Hat 8.0。
# cd /usr/local/src/
# tar xvf ethereal-0.9.9.tar
同Tcpdump一樣,在編譯Ethereal之前應先確定已經安裝pcap庫(libpcap),這是編譯Ethereal時所必需的。如果該庫已經安裝,就可以執行下面的命令來編譯並安裝Ethereal:
# cd ethereal-0.9.9
# ./configure
# make
# make install
設定Ethereal的過濾規則當編譯並安裝好Ethereal後,就可以執行“ethereal”命令來啟動Ethereal。在用Ethereal截獲數據包之前,應該為其設定相應的過濾規則,可以只捕獲感興趣的數據包。Ethereal使用與Tcpdump相似的過濾規則,並且可以很方便地存儲已經設定好的過濾規則。要為Ethereal配置過濾規則,首先單擊“Edit”選單,然後選擇“Capture Filters...”選單項,打開“Edit Capture Filter List”對話框(如圖1所示)。 因為此時還沒有添加任何過濾規則,因而該對話框右側的列表框是空的。
在Ethereal中添加過濾器時,需要為該過濾器指定名字及規則。例如,要在
主機10.1.197.162間創建過濾器,可以在“Filter name”編輯框內輸入過濾器名字“sohu”,在“Filter string”編輯框內輸入過濾規則“host 10.1.197.162 ”,然後單擊“New”按鈕即可,如圖2所示。
在Ethereal中使用的過濾規則和Tcpdump幾乎完全一致,這是因為兩者都基於pcap庫的緣故。Ethereal能夠同時維護很多個過濾器。
網路管理員可以根據實際需要選用不同的過濾器,這在很多情況下是非常有用的。例如,一個過濾器可能用於截獲兩個主機間的數據包,而另一個則可能用於截獲
ICMP包來診斷
網路故障。
當所有需要的過濾器都創建好後,單擊“Save”按鈕保存創建的過濾器,然後單擊“Close”按鈕來關閉“Edit CaptureFilter List”對話框。要將過濾器套用於
嗅探過程,需要在截獲數據包之前或之後指定過濾器。要為嗅探過程指定過濾器,並開始截獲數據包,可以單擊“Capture”選單,選擇“Start...”選單項,打開“Capture Options”對話框,單擊該對話框中的“Filter:”按鈕,然後選擇要使用的過濾器,如圖3所示。
注意在“Capture Options”對話框中,“Update list of packets in real time”複選框被選中了。這樣可以使每個數據包在被截獲時就實時顯示出來,而不是在嗅探過程結束之後才顯示所有截獲的數據包。
在選擇了所需要的過濾器後,單擊“OK”按鈕,整個嗅探過程就開始了。Ethereal可以實時顯示截獲的數據包,因此能夠幫助
網路管理員及時了解網路的運行狀況,從而使其對網路性能和流量能有一個比較準確的把握。
用Ethereal分析數據包
Ethereal和其它的圖形化
嗅探器使用基本類似的界面,整個視窗被分成三個部分:最上面為數據包列表,用來顯示截獲的每個數據包的總結性信息;中間為協定樹,用來顯示選定的數據包所屬的協定信息;最下邊是以十六進制形式表示的數據包內容,用來顯示數據包在
物理層上傳輸時的最終形式。
使用Ethereal可以很方便地對截獲的數據包進行分析,包括該數據包的源地址、目的地址、所屬協定等。
圖4是在Ethereal中對一個HTTP數據包進行分析時的情形。
在圖4最上邊的數據包列表中,顯示了被截獲的數據包的基本信息。從圖中可以看出,當前選中數據包的源地址是10.1.197.162,目的地址為61.135.150.65,該數據包所屬的協定是
超文本傳輸協定(HTTP)。更詳細的信息表明該數據包中含有一個HTTP的GET命令,要求下載starrtlog.js檔案到客戶端的Web瀏覽器。
圖4中間是協定樹,通過協定樹可以得到被截獲的數據包的更多信息,如
主機的
MAC地址(Ethernet II)、IP位址(Internet Protocol)、
TCP連線埠號(Transmission Control Protocol),以及
HTTP協定的具體內容(Hypertext Trnasfer Protocol)。通過擴展協定樹中的相應
節點,可以得到該數據包中攜帶的更詳盡的信息。
圖4最下邊是以十六制顯示的數據包的具體內容,這是被截獲的數據包在
物理媒體上傳輸時的最終形式,當在協定樹中選中某行時,與其對應的十六進制代碼同樣會被選中,這樣就可以很方便地對各種協定的數據包進行分析。
Ethereal提供的圖形化用戶界面非常友好,管理員可以很方便地查看到每個數據包的詳細信息,協定樹及其對應的十六進制表示對分析每個數據包的目的很有幫助,綜合使用Ethereal和Tcpdump能夠基本滿足網路管理員在Linux系統上的所有嗅探要示。
用EtherApe查看網路流量
EtherApe也是一個圖形化的網路嗅探器。與Ehtereal不同,EtherApe通過驗證主機與主機之間的連結,圖形化地顯示網路目前所處的狀態。EtherApe使用不同顏色的連線來表示位於不同主機之間的連線,而連線的粗細則表明主機間數據流量的大小。這些信息都是實時變化的,因而能夠協助管理員隨時了解到網路中各部分流量的變化情況。
EtherApe的安裝
EhterApe支持Ethernet、FDDI和Token Ring等多種網路,能夠實時地從網路或檔案中讀取網路流量的變化情況。此外它還可以將網路流量信息保存下來,以便在之後需要時再顯示出來。
在網站上可以下載到最新的EtherApe源碼包。
下面以Ethereal 0.8.2為例,講述如何安裝EtherApe(使用的作業系統是RedHat 8.0)。
首先下載最新的源碼包並將其解壓縮,代碼如下:
# cp etherape-0.8.2.tar.gz /usr/local/src/
# cd /usr/local/src/
# tar xzvf etherape-0.8.2.tar.gz
EtherApe使用的是GNOME這一圖形
用戶接口庫。與Ethereal和Tcpdump一樣,它也使用pcap庫(libpcap)對網路上傳輸的數據包進行截獲和過濾。在編譯EtherApe之前,應先確定所需的這些庫已經安裝好,因為這是編譯EtherApe時所必需的。如果這些庫已經安裝,就可以執行下面的命令來編譯並安裝EtherApe:
# cd etherape-0.8.2
# ./configure
# make
# make install
用EtherApe分析網路流量
當編譯並安裝好EtherApe後,就可以執行“etherape”命令來啟動EtherApe。當用EtherApe截獲在網路上傳輸的數據包時,也需要先為其指定過濾規則,否則EthreApe將捕獲網路中的所有數據包。單擊
工具列上的“Pref.”按鈕,打開“Preferences”對話框,在該對話框中的“Capture”屬性頁中,可以找到用於設定過濾規則的“Capture filter”下拉框。由於採用的都是pcap庫,因此EtherApe過濾規則的設定與Tcpdump和Ethereal是相同的。
設定好過濾規則後,單擊工具列上的“Start”按鈕,就可以開始對網路中感興趣的數據包進行嗅探。EhterApe圖形化地顯
示網路流量,圖5是當EtherApe處於Ethernet模式下時的網路流量圖。
EtherApe提供了
Token Ring、FDDI、Ethernet、IP和
TCP五種監聽模式。當處於Ethernet模式下時,EtherApe會截獲所有符合過濾規則的
乙太網數據包,但有時網路管理員可能只對IP數據包感興趣,這時可以將EtherApe切換到IP模式。
單擊“Capture”選單,選擇“Mode”選單項,然後再選擇相應的模式,就可以完成模式之間的切換。
圖6是當EhterApe處於IP模式下時的網路流量圖。
EtherApe能夠以圖形的方式顯示網路流量。用戶看到的是一個很直觀的用於表示網路上各
主機間流量大小的圖,而不是單個的數據包,因而更容易從整體上把握整個網路的運行狀況,在定位網路故障時相對來說也變得更加容易。
連線埠號
TCP協定支持
ACAP 674
AIM 5190
BEEP 10288
CAST 4224
CMP 829
COPS 3288
PKTCABLE_COPS 2126
PKTCABLE_MM_COPS 3918
DAAP 3689
DHCPFO 519
DIAMETER 3868
DISTCC 3632
NP 20000
NS 53
DNS 5353
DSI 548
FTPDATA 20
FTP 21
GIFT 1213
CS 1720
HTTP 80
PROXY_HTTP 3128
PROXY_ADMIN_HTTP 3132
HKP 11371
DAAP 3689
SSDP 1900
IB 3050
IMAP 143
IRC 6667
ISAKMP 500
JABBER 5222
KERBEROS 88
LAPLINK 1547
LDAP 389
GLOBALCAT_LDAP 3268
LDP 646
PRINTER 515
MBTCP 502
MSNMS 1863
MSRP 0
MySQL 3306
NBSS 139
CIFS 445
NCP 524
NDMP 10000
PA 0x0d44
BROKER 0x0bc6
SRS 0x0bca
ENS 0x0bc8
RMS 0x0bcb
NOTIFY_LISTENER 0x0bc9
NETSYNC 5253
NNTP 119
NTP 123
POP 110
PPTP 1723
PVFS2 3334
RMI 1099
RSH 514
RSYNC 873
RTSP 554
SIP 5060
SKINNY 2000
SLSK_1 2234
SLSK_2 5534
SLSK_3 2240
SMRSE 4321
SMTP 25
SNMP 161
SNMP_TRAP 162
SMUX 199
SOCKS 1080
SRVLOC 427
SSH 22
SSL 443
SSL_LDAP 636
SSL_IMAP 993
SSL_POP 995
STUN 3478
TACACS 49
TELNET 23
TNS 1521
TPKT 102
X11 6000
X11_2 6001
X11_3 6002
XOT 1998
YHOO 5050
YMSG 23
YMSG_2 25
YMSG_3 5050
ZEBRA 2600
NINEPORT 564
ax4000 3357
BGP 179
COPS 3288
DCM 104
DHCPFO 519 desegmentation of DHCP failover over TCP
distcc 3632
ECHO 7
edonkey 4661/4662/4663
ENIP_ENCAP_PORT 44818
EtherNet/IP located on port 44818
etheric 1806/10002
giop 0
GNUTELLA 6346
http_alternate_tcp_port 未知
Ipdc 6668
ISNS 3205
MSMMS 1755
msdp 639
MSNMS 1863
msrp 0
Pgsq
Rlogin 513
Rpc 111
rtsp 未知
Sigcomp 5555/6666
synergy 24800
tds 1433/2433
uma 0
vnc 5901
一共129=94+35種
協定名稱 UDP連線埠號 協定名稱解釋
3GA11 699 3com Network Jack
5264:Packets to Managementstation
5265:Packets to Switch
ACTRACE 2428 Port used for Mobile IP based Tunneling Protocol (A11)
T_AODV 654
ARMAGETRONAD 4534
MASTER 4533
ADP 8200
PIM_RP_DISC 496
BFD_CONTROL 3784
BOOTPS 67
BOOTPC 68
PHA 8116
CUPS 631
DDTP 1052
DHCPV6_DOWNSTREAM 546
DHCPV6_UPSTREAM 547
DLSW 2067
DNP 20000
DNS 53
MDNS 5353
RAS1 1718
RAS2 1719
HSRP 1985
SSDP 1900
IAPP 2313
ICP 3130
ICQ 4000
IPX 213
ISAKMP 500
KERBEROS 88
KRB4 750
KPASSWD 464
L2TP 1701
LAPLINK 1547
CLDAP 389
LDP 646
LLC1 12000
LLC2 12001
LLC3 12002
LLC4 12003
LLC5 12004
LMP_DEFAULT 701
MIP 434
MPLS_ECHO 3503
MSPROXY 1745
NBNS 137
NBDGM 138
NCP 524
NETFLOW 2055
TPCP 3121
NTP 123
RADIUS 1645
RADIUS_NEW 1812
RADACCT 1646
RADACCT_NEW 1813
RIP 520
RIPNG 521
RMCP_SECURE 664
RX_LOW 7000
RX_HIGH 7009
RX_AFS_BACKUPS 7021
SAP 9875
SEBEK 1101
SFLOW 6343
SIP 5060
SLIMP3_V1 1069
SLIMP3_V2 3483
SNMP 161
SNMP_TRAP 162
SRVLOC 427
STUN 3478
SYSLOG 514
TACACS 49
TEREDO 3544
TFTP 69
TIME 37
TIMED 525
TZSP 0x9090
VINES 573
WSP 9200
WTP_WSP 9201
WTLS_WSP 9202
WTLS_WTP_WSP 9203
WSP_PUSH 2948
WTLS_WSP_PUSH 2949
WHO 513
XDMCP 177
XYPLEX 173
NJACK1 5264
NJACK2 5265
ASAP 3863
AX4000 3357
bvlc 0xBAC0
CPFI 5000
cpfi_ttot 5001
dis 3000
ECHO 7
edonkey 4665
edonkey 4672
ENIP_ENCAP 44818
ENIP_IO 2222
IAX2 4569
udpencap 4500
IPVS_SYNCD 8848
ISNS 3205
KINK 57203
manolito 41170
MSMMS 1755
udp_encap_ucast_port 3055 Udp port for UDP encapsulation
udp_encap_mcast_port 3056
PKTC_PORT 1293
PKTC_MTAFQDN_PORT 2246
EVENT_PORT_PTP 319
GENERAL_PORT_PTP 320
radius 1645/1646/1812/1813
Rpc 111
SigCompUDPPort1 5555
SigCompUDPPort2 6666
Rdt 6970
rmt-alc 未知 從配置檔案中讀取
SSCOP 未知 從配置檔案中讀取
T38 6004
quakeworldServerPort 27500
quakeServerPort 26000
quake2ServerPort 27910
quake3_server_port 27960-27963
quake3_master_port 27965-27968
一共137=90+47種
IP協定支持
協定名稱 IP連線埠號 協定名稱解釋
AX4000 173 AX/4000 Testblock - non IANA
TP 29 ISO Transport Protocol Class 4
DCCP 33 Sequential Exchange Protocol(和標準的不一樣)
EIGRP 88
EtherIP 97 Ethernet-within-IP Encapsulation
GRE 47 General Routing Encapsulation
ICMPV6 58 ICMP for IPv6
IGMP 2
IGRP 9 any private interior gateway(used by Cisco for their IGRP)
IPIP 4 IP in IP (encapsulation)
ICMP 1
AH 51 Authentication Header
ESP 50 Encap Security Payload
IPCOMP 108 IP Payload Compression Protocol
IPV6 41
L2TP 115 Layer Two Tunneling Protocol
MIPV6_OLD 62 CFTP 這個和標準不一致――Mobile IPv6
MIPV6 135 Mobility Header ―― Mobile IPv6
NCS_HEARTBEAT 224 Novell NCS Heartbeat -
http://support.
novell.com/cgi-bin/search/searchtid.cgi?/10071158.htm
NARP 54 NBMA Address resolution protocol - RFC1735
OSPF 89
PGM 113 PGM Reliable Transport Protocol
PIM 103 Protocol Independent Multicast
RSVP 46
SCTP 132 Stream Control Transmission Protocol
TCP 6
UDP 17
UDPLITE 136 UDPLite
VINES 83 Vines over raw IP
VRRP 112 Virtual Router Redundancy Protocol
一共30種