Un puerto no-estándar utiliza un número no convencional para representar a un protocolo.
Ejemplo: TCP 137 para FTP (FTP Utiliza los puertos 20 y 21).
Existen 3 métodos que se aplicaran en el siguiente orden, hasta conseguir asociar al puerto no-estándar con el protocolo de la capa de aplicación:
1. Método estático
Wireshark valida el número de puerto destino (puerto conocido o estándar) dentro de la cabecera del protocolo de la capa de transporte. Si encuentra una coincidencia, aplica el disector adecuado de la capa de aplicación. Si no ecuentra una coincidencia, se continúa con el método heurístico.
2. Método Heurístico
Dado que el protocolo de la capa de aplicación utiliza un número de puerto no-estándar, Wireshark compara la data dentro del segmento (cabecera de la capa de transporte) con todos los disectores de la capa de aplicación, intentando encontrar una coincidencia con la que pueda procesar los datos. Si no la encuentra, se continúa con el método manual.
3. Método manual
Luego de Wireshark ha fracasado en la identificación del protocolo de la capa de aplicación. Si el analista cuenta con información privilegiada sobre el número de puerto no-estándar, o si desea evaluar algunas posibilidades, es posible asociar el puerto no-estándar con cualquier protocolo.
El procedimiento es el siguiente:
En el Panel de Lista, click derecho sobre el paquete (TCP o UDP) que tenga el puerto no-estándar, en la ventana que se abre a continuación, escoger la opción Decode As...
En la nueva ventana, seleccionar el puerto no-estándar en la columna Value, y luego seleccionar el protocolo que se desea asociar en la columna Current.