Pokaż tylko ruch HTTP w Wireshark


23

Jak mogę odfiltrować ruch inny niż HTTP w Wireshark, aby pokazywał mi tylko ruch HTTP, ale nie TCP, DNS, SSDP itp.

wprowadź opis zdjęcia tutaj


1
Ruch HTTP zwykle jest ruchem TCP; to nie tak, że HTTP i TCP znajdują się w tej samej warstwie sieci. Kolumna protokołu pokazuje po prostu najwyższą warstwę protokołu, którą Wireshark rozumie; jeśli pakiet TCP ma po prostu ACK i nie ma danych, lub Wireshark nie wie, jak rozdzielić dane, pokaże je jako TCP, ale jeśli wie, jak je rozdzielić, pokaże ten protokół.

Odpowiedzi:


31

W polu filtru wpisz http(małe litery!). Testowane z WireShark Portable 1.10.7

wprowadź opis zdjęcia tutaj

Niektóre podstawowe filtry

  • !http pokazuje cały ruch, który NIE jest http
  • ip.src != 196.168.1.1 pokazuje ruch NIE pochodzący z tego źródła IP
  • ip.dst == 196.168.1.1 pokazuje ruch do tego miejsca docelowego IP
  • ip.addr == 196.168.1.1 pokazuje cały ruch, który ma określony adres IP jako źródło LUB miejsce docelowe

1
OK, działa, ale pokazuje zarówno pola http, jak i ssdp, co jest dziwne. Kiedy próbowałem wpisać po prostu „ssdp”, powiedziałem, że taki protokół nie istnieje.
sashoalm

Jakiej wersji Wireshark używasz? Wiki wireshark mówi, że nie można filtrować pod kątem SSDP . Obejściem problemu jestudp.dstport == 1900 && http
nixda

Wersja 1.8.2. Ponadto, gdy wpisałem „tcp” dla filtru, pokazałem pola TCP, TLSv1.1 i HTTP.
sashoalm

Jeśli wpiszesz „tcp” jako filtr, wyświetli cały ruch TCP, czy to HTTP działający przez TCP, SSL / TLS działający przez TCP, czy coś innego działającego przez TCP.

co jeśli zobaczysz tylko protokół:
0x0800


1

Jeśli chcesz filtrować „adres IP” i np. „Protokół HTTP”, musisz wpisać:

ip.src==192.168.109.217&&http

bez spacji między.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.