パケットアナライザ：プロトコル識別の仕組みとは

ネットワーク初学者の学生です。
Wireshark等のスニッファー（Wiresharkしか使ったことないですが…）について疑問に思った事がありましたので質問します。

パケットをキャプチャしてユーザに表示してくれるアナライザには、プロトコルを自動判別して対応したパラメータをハイライト表示してくれる機能が付いていると思うのですが、あれはどういった仕組みで判別しているのでしょうか。

プロトコルの特徴をデータベース化し、パケット毎にデータベースと照合しているのかな、と想像してみたのですが、調べ方が悪いのかWireshark等の使い方を教えてくれるページしか探し当てることができないため、正解が分からずモヤモヤしています。
ご存知の方がいらっしゃいましたら教えて欲しいです。
よろしくお願いします。

ベストアンサー weavaest 回答No.1

データベースかどうかは分かりませんが、通信データを解析して、該当するプロトコルに割り付けて表示しています。

ユーザー独自で機能追加が可能ですので、一度ご自分で試してみたら、理解しやすいと思います。
luaという言語で書かれています。wireshark luaで検索すれば、いろいろ情報は出てきます。
実際に試さなくても、これらのサイトも見ればイメージが湧くかもしれないですね。

お礼 2015/03/20 20:44

お礼が遅くなってしまってすいません。
ご回答ありがとうございました。

luaで書かれてるんですね、貴重な情報ありがとうございます。
詳しく調べてみたいと思います。

SRLeonard 回答No.2

標準化されたプロトコルでの通信であれば、ヘッダのプロトコル番号を見れば、どんなプロトコルなのか分かります。
プロトコルが分かれば、データ部のどこの情報がどんなパラメータを表現していて、そのパラメータの意味を解釈することもできます。

細かい工夫は色々されているのだろうと思いますが、プロトコル番号でプロトコルを判別して、データ部のbit列を意味のある情報として解釈しているのだと思います。

お礼 2015/03/20 20:47

お礼が遅れてしまい申し訳ないです。
回答ありがとうございました。

なるほど、よくわかりました。
教えていただいた点を踏まえてもっと勉強してみます。