как wireshark идентифицирует трафик DNS, если он также использует порт Radius в порту UDP? И как я могу сказать?

Wireshark использует различные методы для идентификации протоколов. Для DNS и RADIUS это делается на основе номера порта. Код, который делает это, сначала ищет меньший в числовом отношении номер порта и, если он не находит анализатора для этого номера порта, ищет в числовом отношении больший номер порта, поэтому пакет, проходящий между портами 53 и 1812, будет идентифицирован как DNS. а не RADIUS, потому что 53, порт для DNS, численно меньше, чем 1812, порт для RADIUS.

Если между портами 1812 и 53 возникнет RADIUS-трафик, Wireshark запутается.

Единственный способ обойти это — заставить диссектор DNS попытаться просмотреть данные пакета и угадать, является ли это DNS, или заставить диссектор RADIUS попытаться просмотреть пакет и угадать, является ли он RADIUS и, если это не пакет для этого диссектора вернуть индикацию «это не для меня», чтобы можно было попробовать другой диссектор.

Не существует никакого волшебного решения, которое гарантировало бы правильную идентификацию всех протоколов, работающих через TCP или UDP. Есть только эвристики, основанные на номерах портов и содержимом пакетов; они могут получить правильный ответ в 99 44/100% случаев, но все равно будут те 56/100% времени, когда это не сработает, и вам придется вмешиваться вручную (например, с помощью «Декодировать Как..." в Wireshark или эквивалент командной строки -d в TShark).

И нет, как указал Штеффен Ульрих, libpcap не делает этого за вас; разные приложения, использующие libpcap (tcpdump, Wireshark и т. д.), могут делать это по-разному.

libpcap не предоставляет такой функциональности. Во-первых, wireshark просматривает пакеты и определяет их структуру, но ограничивает поиск используемыми портами/протоколами. Другое дело, что обычно вы не найдете пакет на радиус-сервер, исходящий из порта 53, или пакет на DNS-сервер из порта 1812, потому что клиенты обычно неявно используют эфемерный порт, который намного выше.