Tshark отображает "florence" и "eforward", а не номера портов источника / назначения

Question

Я использую rawcap на Windows7 loopback адаптере. Я бегал

telnet localhost 2181

Сгенерировано 15 пакетов. Для просмотра вывода я запустил

wireshark\tshark -r \shared\pcap.pcap

А вот и вывод

florence   0.000000    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
florence   0.103006    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 56748  Destination port: florence 56748
eforward   9.458541    127.0.0.1 -> 127.0.0.1    TCP 52 49435 > eforward [SYN] Seq=0 Win=8192 Len=0 MSS=65495 WS=256 SACK_PE
49435   9.466541    127.0.0.1 -> 127.0.0.1    TCP 52 eforward > 49435 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=65495 WS=256
eforward   9.474542    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=1 Ack=1 Win=8192 Len=0 49435
florence  12.022688    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
florence  12.083691    10.0.0.22 -> 255.255.255.255 UDP 138 Source port: 60846  Destination port: florence 60846
eforward  13.144752    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=1 Ack=1 Win=8192 Len=2 49435
49435  13.146752    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=3 Win=7936 Len=0 eforward
eforward  14.877851    127.0.0.1 -> 127.0.0.1    TCP 42 49435 > eforward [PSH, ACK] Seq=3 Ack=1 Win=8192 Len=2 49435
49435  14.878851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
49435  14.880851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [FIN, ACK] Seq=1 Ack=5 Win=7936 Len=0 eforward
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
eforward  14.881851    127.0.0.1 -> 127.0.0.1    TCP 40 49435 > eforward [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 49435
49435  14.882851    127.0.0.1 -> 127.0.0.1    TCP 40 eforward > 49435 [ACK] Seq=2 Ack=6 Win=7936 Len=0 eforward

Так что я не понимаю этого. Я ищу информацию о порте 2181. Вместо этого я вижу .. Флоренцию .. Что это значит? И как я вижу правильный номер порта назначения?

ОБНОВЛЕНИЕ Ответ от Гая Харриса на цели (и будет принят). Я бы хотел дать небольшое уточнение, чтобы запросить здесь: Исправленный вывод (после добавления -n в командную строку tshark):

2181 117.286708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
2181 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 60723 > 2181 [FIN, ACK] Seq=5 Ack=2 Win=8192 Len=0 60723
60723 117.287708    127.0.0.1 -> 127.0.0.1    TCP 40 2181 > 60723 [ACK] Seq=2 Ack=6 Win=7936 Len=0 2181

Таким образом, теперь порт назначения (2181) отображается правильно. Но, пожалуйста, объясните: что за 40 в этом разделе:

TCP 40 2181 > 60723 

Answer 1

"florence" и "eforward" соответствуют записям в "служебном" файле Wireshark; "служебный" файл изначально представлял собой файл UN * X с именами для номеров портов - он также используется в Windows, и теперь Wireshark включает собственный "служебный" файл, который он использует для сопоставления номеров портов и имен.

В документации по справочной странице TShark в списке флагов командной строки написано:

   −n  Disable network object name resolution (such as hostname, TCP and
       UDP port names); the −N flag might override this one.

   −N  <name resolving flags>
       Turn on name resolving only for particular types of addresses and
       port numbers, with name resolving for other types of addresses and
       port numbers turned off.  This flag overrides −n if both −N and −n
       are present.  If both −N and −n flags are not present, all name
       resolutions are turned on.

       The argument is a string that may contain the letters:

       C to enable concurrent (asynchronous) DNS lookups

       m to enable MAC address resolution

       n to enable network address resolution

       N to enable using external resolvers (e.g., DNS) for network
       address resolution

       t to enable transport‐layer port number resolution

поэтому, если вы запустите его с флагом «-n», это отключит разрешение номеров портов транспортного уровня, так что он не будет сопоставлять номера портов с именами. Он также не будет сопоставлять IP-адреса с именами хостов; если вы хотите, запустите TShark с «-n» и «-N n».

Answer 2

Что такое 40 в этом разделе?«Это отдельный вопрос, поэтому я дам ему отдельный ответ.

TShark показывает вам столбцы, указанные в файле конфигурации Wireshark; у вас, вероятно, есть стандартные столбцы плюс "настраиваемый" столбец для поля tcp.dstport , показывающий номер TCP-порта назначения. Одним из стандартных столбцов является длина пакета канального уровня; это, вероятно, то, что он показывает.