Zmień protokół związany z portem w wireshark


23

Próbuję monitorować ruch w sieci za pomocą Wireshark. Nasz internetowy serwer proxy znajduje się na porcie 9191. Jak uzyskać widok Wireshark, aby traktował port 9191 tak jak port 80 - tj. HTTP.

Samo użycie Decode_As w menu pozwala na połowę rozmowy, ale tylko jedną stronę.

Jakieś sugestie, jak uczynić to stałą opcją?

Odpowiedzi:


28

Jeśli przejdziesz do Edycja -> Preferencje -> Protokoły -> HTTP, powinieneś znaleźć listę portów uważanych za HTTP. Dodaj port 9191 do tej listy. Uważam, że musisz ponownie uruchomić Wireshark i ponownie otworzyć plik przechwytywania lub ponownie uruchomić przechwytywanie, aby to zadziałało.

Dotyczy to wersji Windows 1.0.3; może się nieco różnić na innych platformach. Oczywiście nie jest to ogólny sposób na zmianę portu na mapowanie protokołu, ale autorzy dekodera http zdają się wiedzieć, że ludzie obsługują go na wielu różnych portach.


5

Odpowiedzi sysadmin1138 i Jamesa F. są poprawne. Odpowiedź Jamesa jest prawdopodobnie „bardziej poprawna” w tym przypadku, ponieważ zmiany preferencji protokołu HTTP są przyklejone między uruchomieniami Wiresharka. W wersji 1.2.0 i nowszych możesz szybko przejść do ustawień protokołu, klikając prawym przyciskiem myszy elementy w okienku szczegółów (środkowym) pakietu.

(Ujawnienie: Jestem głównym programistą)


5

To dlatego, że jest skonfigurowany do dekodowania go tylko wtedy, gdy jedna ze stron rozmowy znajduje się na porcie 9191.

wireshark dekoduje diaglog
(źródło: sysadmin1138.net )

Musisz ustawić go tak, by brzmiał: „TCP Both”. W ten sposób dekoduje ruch TCP / 9191 jako HTTP, jeśli port źródłowy to 9191 lub jeśli port docelowy to 9191.


2

W oknie Dekoduj w użyj Oba przed TCP do dekodowania pakietu przy użyciu numeru portu 9191 (port źródłowy lub docelowy) jako HTTP.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.