Analizando tráfico con Wireshark en un puerto cambiado

Siguiendo con el análisis de tráfico con Wireshark, me ha surgido que tenía que analizar tráfico del protocolo DIAMETER que tenía el puerto por defecto cambiado. DIAMETER por defecto utiliza comunicación TCP por el puerto 3868.

En el caso que estaba analizando, el tráfico iba por el puerto 3879, con lo que cuando filtras por dicho puerto y quieres ver el contenido del tráfico, Wireshark no te lo reconoce como tráfico DIAMETER.

Como vemos, tenemos los datos, pero Wireshark solo nos muestra los datos en formato hexadecimal, sin un formato.

Lo que tenemos que hacer es indicarle a Wireshark que queremos que el tráfico en ese puerto lo decodifique como tráfico DIAMETER. Esto es tan sencillo como ir a la opción de Analyze -> Decode As… y ahí indicarle el protocolo y puerto que queremos decodificar, así como a qué lo queremos decodificar (campo Current).

Una vez aceptemos, ahora Wireshark nos mostrará los datos del tráfico bien estructurados, ya que ahora sí es capaz de identificar el protocolo.

Por supuesto, no hace falta comentar que esto vale para cualquier otro protocolo donde tengamos el tráfico en un puerto distinto de un puerto well-known.

Categorías