แสดงปริมาณการใช้ HTTP เท่านั้นใน Wireshark

ฉันจะกรองทราฟฟิกที่ไม่ใช่ HTTP ใน Wireshark ได้อย่างไรเพื่อที่จะแสดงทราฟฟิก HTTP เท่านั้น แต่ไม่ใช่ TCP, DNS, SSDP และอื่น ๆ

ป้อนคำอธิบายรูปภาพที่นี่

wireshark

— sashoalm
แหล่งที่มา

การรับส่งข้อมูล HTTP มักจะเป็นปริมาณการใช้ TCP ไม่ใช่ว่า HTTP และ TCP อยู่ที่เลเยอร์เครือข่ายเดียวกัน คอลัมน์โปรโตคอลเพียงแสดงให้เห็นถึงชั้นโปรโตคอลสูงสุด Wireshark เข้าใจ; ถ้าแพ็คเก็ต TCP มี ACK และไม่มีข้อมูลหรือ Wireshark ไม่รู้วิธีแยกข้อมูลมันจะแสดงเป็น TCP แต่ถ้ารู้วิธีแยกมันจะแสดงโปรโตคอลนั้น

คำตอบ:

ในฟิลด์ตัวกรองพิมพ์http(ตัวพิมพ์เล็ก!) ทดสอบกับWireShark Portable 1.10.7

ป้อนคำอธิบายรูปภาพที่นี่

ตัวกรองพื้นฐานบางอย่าง

!http แสดงปริมาณการใช้งานทั้งหมดซึ่งไม่ใช่ http
ip.src != 196.168.1.1 แสดงทราฟฟิกซึ่งไม่ได้มาจากแหล่งที่มา IP นี้
ip.dst == 196.168.1.1 แสดงการรับส่งข้อมูลไปยังปลายทาง IP นี้
ip.addr == 196.168.1.1 แสดงทราฟฟิกทั้งหมดที่มี IP เฉพาะเป็นต้นทางหรือปลายทาง

— nixda
แหล่งที่มา

ตกลงมันใช้งานได้ แต่มันแสดงทั้งฟิลด์ http และ ssdp ซึ่งแปลก เมื่อฉันพยายามพิมพ์เพียง "ssdp" มันบอกว่าไม่มีโปรโตคอลดังกล่าวอยู่

— sashoalm

คุณใช้ wireshark เวอร์ชั่นใด wireshark wiki กล่าวว่าคุณไม่สามารถกรอง SSDPได้ วิธีแก้ปัญหาคือudp.dstport == 1900 && http

— nixda

รุ่น 1.8.2 นอกจากนี้เมื่อฉันพิมพ์ "tcp" สำหรับตัวกรองก็แสดงฟิลด์ TCP, TLSv1.1 และ HTTP

— sashoalm

หากคุณพิมพ์ "tcp" เป็นตัวกรองจะแสดงทราฟฟิก TCP ทั้งหมดไม่ว่าจะเป็น HTTP ที่ทำงานบน TCP, SSL / TLS ที่ทำงานบน TCP หรืออย่างอื่นที่ทำงานบน TCP

จะทำอย่างไรถ้าคุณเห็นโปรโตคอล: 0x0800

— SuperUberDuper

หากต้องการยกเว้น SSDP / UDP: http && tcp

เครดิต: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/

— โยฮันน์
แหล่งที่มา

ฉันพยายามคิดออกมานานแล้ว ขอบคุณ!

— Arnoud Buzing

หากคุณต้องการกรอง "ที่อยู่ IP" และเช่น "โปรโตคอล http" คุณต้องป้อนข้อมูล:

ip.src==192.168.109.217&&http

ไม่มีช่องว่างระหว่าง

— Bettelbursche
แหล่งที่มา