求助： wireshark 协议端口解码

hycl5410

貌似没有。decode as选择both稍微好一些。

hycl5410

edit->preference->protocols->GPRS-NS->UDP ports 0-19999

慎用吧。。。建议用完了改回到初始值去，否则可能会对其他一些知名端口解析造成错误。。。

hycl5410

不知道。。。反正我的wireshark是永久配置。改完了之后，GTP就解不出来了。
既然是临时修改，那么上限再大点也无妨

hycl5410

我用自己的wireshark测试了一下，edit->preference->protocols->GPRS-NS->UDP ports很好用啊，点了apply之后，几乎所有的UDP上层都会被识别成GPRS-NS。跟是否应用到DS里没有关系。打个不恰当的比方，DS就像静态路由，而edit->preference-> 就像default 路由。。。不知道楼上为啥会出现这种情况。。。

再说一下我测试的情况，又做了一点简单的优化UDP ports 3000-59999,2157,2158
这样可以避免某些知名端口（53,123，2123,2152等）的误判。

另外一些意料外情况，那就只能手动去用DS了，或者设置合适的端口范围。

hycl5410

“包含在这一范围内的UDP包都能被解析。而在这个范围外的UDP包仍无法解析.”

就应该是这样的啊。。。。否则我们设置端口范围的目的是什么呢？设置的目的是为了尽可能把大部分的gbip包识别出来而已。
wireshark做的再智能，也判断不出来某一个随机的udp端口是否承载了GPRS-NS吧？
我拿default路由做例子确实是有一个问题：default路由会保证cover所有情况，而edit->preference则不是。判断条件应该为
1. DS
2. edit->preference
3. well-known
4. none
测试过，2 比3 的优先级高。也就是说，如果我设置UDP 0-65535解析成GPRS-NS，那么DNS (53)是不会被解析成DNS的，而是GPRS-NS
这就是为什么我设置的条件要尽量避开一些知名端口。补充一下，楼上给的我的包里有WTP的，所以还可以继续优化一下UDP端口设置条件，把9200~9202也剔除出去。

或者说，2是1的批量处理，1指定的是某一个/一对端口，而2可以指定一个端口范围。

none就是我们什么都不配置的初始状态，也就是什么也解不出来。所有不满足1-3条件的，都按4处理。