wiresharkの見方がよく分からない（３ウェイハンドシェイク）。

wiresharkを使って（遊んで？）、ネットワークの勉強をしているのですが（『実践　パケット解析』という本を読んでいます）、いまいち見方がよく分かりません。ネットワークの知識が乏しいせいかもしれませんが。

例えば、TCPの接続で、３ウェイハンドシェイクというものがあると思うのですが、その時のinfoで、

2580>http [syn] seq=0 Len=0 MSS=1460

という、表示があります。多分、一番最初のSYNパケットを送っているところだと思うのですが、なぜ最初にhttpという表示があるのでしょうか？まず、TCPで３ウェイハンドシェイクで行って、セッションを確立してからhttp…だと思っているのですが…。また、2580>の意味もよく分かりません。本には、この部分は触れられていませんでした。

よろしくお願いします。

No.2 ベストアンサー 回答者： jjon-com 回答日時： 2009/04/27 14:47

名前解決 (Name Resolution) のオプションが効いていることで，TCPポート番号80番が 'http' という文字列に変換されています。

「2580 > http」という表記で，次の方向の通信データであることを示しています。
　　Webクライアント側のTCPポート2580番 → Webサーバ側のTCPポート80番

No.1 回答者： koi1234 回答日時： 2009/04/27 09:50

wireshark 自体を知らないので適当に書いてます

おそらく通信内容モニタリングできる部類のソフトではないかと推察します

本当の意味はマニュアル（ヘルプ）などに書いていない限り
正確にわかるのはそのソフトの作成者だけでしょう

おそらく解析ソフト側でhttpアクセスのためにSYNパケット送信を
行ったということを認識してオペレータに
わかりやすく表示しているだけではないでしょうか？
本当にパケット内容順次表示してるだけなら解析してないし
オペレータには相当な負荷になります

最初の2580>は 単純にログ（解析内容表示の）通し番号の様な気がしますが違いますでしょうか？

この回答へのお礼

回答ありがとうございます。

＞最初の2580>は 単純にログ（解析内容表示の）通し番号の様な気がしますが違いますでしょうか？

そうかもしれません…。が、ちょっと私には分からないです。

お礼日時：2009/04/27 13:52