Pokaż tylko ruch HTTP w Wireshark

Jak mogę odfiltrować ruch inny niż HTTP w Wireshark, aby pokazywał mi tylko ruch HTTP, ale nie TCP, DNS, SSDP itp.

wprowadź opis zdjęcia tutaj

wireshark

— sashoalm
źródło

Ruch HTTP zwykle jest ruchem TCP; to nie tak, że HTTP i TCP znajdują się w tej samej warstwie sieci. Kolumna protokołu pokazuje po prostu najwyższą warstwę protokołu, którą Wireshark rozumie; jeśli pakiet TCP ma po prostu ACK i nie ma danych, lub Wireshark nie wie, jak rozdzielić dane, pokaże je jako TCP, ale jeśli wie, jak je rozdzielić, pokaże ten protokół.

Odpowiedzi:

W polu filtru wpisz http(małe litery!). Testowane z WireShark Portable 1.10.7

wprowadź opis zdjęcia tutaj

Niektóre podstawowe filtry

!http pokazuje cały ruch, który NIE jest http
ip.src != 196.168.1.1 pokazuje ruch NIE pochodzący z tego źródła IP
ip.dst == 196.168.1.1 pokazuje ruch do tego miejsca docelowego IP
ip.addr == 196.168.1.1 pokazuje cały ruch, który ma określony adres IP jako źródło LUB miejsce docelowe

— nixda
źródło

OK, działa, ale pokazuje zarówno pola http, jak i ssdp, co jest dziwne. Kiedy próbowałem wpisać po prostu „ssdp”, powiedziałem, że taki protokół nie istnieje.

— sashoalm

Jakiej wersji Wireshark używasz? Wiki wireshark mówi, że nie można filtrować pod kątem SSDP . Obejściem problemu jestudp.dstport == 1900 && http

— nixda

Wersja 1.8.2. Ponadto, gdy wpisałem „tcp” dla filtru, pokazałem pola TCP, TLSv1.1 i HTTP.

— sashoalm

Jeśli wpiszesz „tcp” jako filtr, wyświetli cały ruch TCP, czy to HTTP działający przez TCP, SSL / TLS działający przez TCP, czy coś innego działającego przez TCP.

co jeśli zobaczysz tylko protokół:

— 0x0800

Aby wykluczyć SSDP / UDP: http && tcp

Źródło: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/

— Johann
źródło

Próbowałem to rozgryźć od wieków. Dzięki!

— Arnoud Buzing,

Jeśli chcesz filtrować „adres IP” i np. „Protokół HTTP”, musisz wpisać:

ip.src==192.168.109.217&&http

bez spacji między.

— Bettelbursche
źródło