Appearance
Skip to content
Elasticsearch
Elasticsearch http://www.elasticsearch.org/ 是一个基于 Lucene 的分布式全文搜索引擎。它提供 RESTful HTTP API 以及用于索引和搜索文档的二进制 API。Elasticsearch 提供集群中节点的单播和多播发现。
使用的端口
9200 - TCP HTTP RESTful 接口
9300 - TCP 二进制 API 和集群间通信
54328 - UDP 多播发现
Dissector 状态
| 协议类型 | 解析 | 备注 | HTTP | 完整 | 传递给 HTTP dissector | Discovery | 完整 | | Binary | 部分 | 已解码 actions、request/response type、request IDs、errors 和 packet length。
支持的版本
理论上,该 dissector 应可用于 Elasticsearch >= 0.20.0RC1 的版本。随着二进制协议获得更多解析工作,这一点可能会变化。
示例包捕获
elasticsearch_two_nodes_starting_requesting_data.pcap - Discovery 和二进制协议
elasticsearch_http_query.pcap - RESTful HTTP 接口
过滤
过滤器 elasticsearch 会包括 Discovery、HTTP 和 Binary 协议。
代码审查
待办
- 有约 60 个 action requests 需要解码。
- Request/responses 可以使用 LZ 压缩。目前,Wireshark 不支持 LZ 解压(仅支持 gzip),因此需要先引入这一能力。
Imported from https://wiki.wireshark.org/Elasticsearch on 2020-08-11 23:13:46 UTC
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用