|
|
发表于 2016-10-14 12:45:06
|
显示全部楼层
omnipeek
wireshark
科来
对比不难看出楼主提供的omnipeek对9号包的识别为http,通过科来网络分析系统可以看出9号包对应的会话是个同步包
也是10.137.71.139 :37776 - 118.85.193.210 :80会话的首包
图4
图5
从图5能看出整个会话的交易时序可以看出这个会话也就是一个简单的握手和会话结束的过程,没有负载任何数据
通过wireshark分析可以看出这段流中携带了大量GTP<TCP>,如下图
但也没有携带数据,查看 解码视图 可以看到结构是 GPRS-管道协议下的TCP也并没有识别为HTTP协议,且GPAS协议属于UDP协议下的层级,所以omnipeek识别为HTTP是错误的
反观科来网络分析系统,在这个包的识别上只是通过不同的会话,UDP的协议在TCP会话中肯定是看不到的,你到UDP会话中就能看到你你想要的协议了,没有识别为如wireshark那样的
GTP<HTTP>,那是因为科来目前还没有对这类管道协议做相关的更新,从协议的解码内容来看,这并不是个BUG,这类协议科来后续应该会有更新吧。希望对你有帮助,如有其它建议可以一起探讨。 |
|
发表于 2016-10-14 13:48:50