Biorąc pod uwagę, że używasz Wireshark, twoje numery portów nie są automatycznie przekształcane w nazwę aplikacji, więc musisz zrobić jeszcze więcej, aby zawęzić poszukiwane informacje. Każda aplikacja korzystająca z protokołu TCP / IP do komunikacji w sieci będzie korzystała z portów, dzięki czemu stos sieci będzie wiedział, gdzie dostarczyć segmenty (lubię to nazywać adresem aplikacji).
Klienci łączący się z aplikacją serwera na określonym porcie będą dynamicznie przydzielani numerowi portu z zakresu dynamicznego. Musisz najpierw dowiedzieć się, jakie połączenia TCP / UDP otworzyła twoja aplikacja:
netstat -b
w wierszu polecenia wyświetli listę połączeń z nazwą pliku wykonywalnego, który utworzył połączenie. Każdy plik wykonywalny ma jedno lub więcej połączeń wymienionych jako 127.0.0.1:xxxxx, gdzie X jest numerem portu lokalnego dla połączenia.
Teraz w wireshark musisz powiedzieć mu, aby wyświetlał pakiety, które pochodzą z tego portu lub są przez niego przeznaczone, za pomocą jednego lub więcej z tych filtrów:
tcp.port == xxxxx lub udp.port == xxxxx
Dodaj dodatkowy or tcp.port == xxxxxdla każdego połączenia, które chcesz pokazać.
Pozwoli ci to zobaczyć cały ruch dla połączeń, które twoja aplikacja otworzyła, a Wireshark nie będzie zawierał tylko surowych segmentów TCP / UDP, ale obejmie różne protokoły warstwy aplikacji (np. HTTP), które również używały tych numerów portów.
Jeśli wydaje się, że Twoja aplikacja komunikuje się tylko z jednym serwerem, możesz po prostu użyć adresu IP tego serwera do filtrowania według:
ip.addr == x.x.x.x