Як відфільтрувати http-трафік у Wireshark?


88

Я підозрюю, що мій сервер має величезну кількість запитів http від своїх клієнтів. Я хочу виміряти об'єм трафіку http. Як я можу це зробити з Wireshark? Або, можливо, є альтернативне рішення з використанням іншого інструменту?

Ось так виглядає єдиний трафік запиту / відповіді в Wireshark. Пінг створюється програмою WinAPI funciton :: InternetCheckConnection () alt тексту http://yowindow.com/shared/ping.png

Дякую!

Відповіді:


72

Пакети Ping повинні використовувати ICMP типу 8 (ехо) або 0 (відповідь ехо), щоб ви могли використовувати фільтр захоплення:

icmp

і фільтр дисплея:

icmp.type == 8 || icmp.type == 0

Для HTTP можна використовувати фільтр захоплення:

tcp port 80

або фільтр відображення:

tcp.port == 80

або:

http

Зауважте, що фільтр httpне еквівалентний двом іншим, які включатимуть пакети рукостискання та завершення.

Якщо ви хочете виміряти кількість з'єднань, а не кількість даних, ви можете обмежити фільтри зйомки або відображення однією стороною зв'язку. Наприклад, щоб захопити лише пакети, надіслані на порт 80, використовуйте:

dst tcp port 80 

З'єднайте його з httpдисплейним фільтром або використовуйте:

tcp.dstport == 80 && http

Докладніше про фільтри захоплення читайте у розділі " Фільтрування під час захоплення " у посібнику користувача Wireshark, на сторінці фільтрів захоплення на вікі Wireshark або на головній сторінці pcap-filter (7) . Для дисплейних фільтрів спробуйте сторінку фільтрів відображення на вікі Wireshark. Діалогове вікно «Filter Expression» може допомогти вам побудувати фільтри відображення.


1
Вибачте, я забув згадати деталі запиту "ping". Це спосіб Windows pinging. Здається, icmp не має відношення до мого випадку.
пар

Дивіться скріншот пінг у Wireshark, який я щойно додав
пар

Я змінив питання з "ping" на "http", щоб відповісти не було б сенсу в контексті, але я поставив +1, тому що це хороша відповідь ping.
Симеон Пілігрим

18

Просто використовуйте DisplayFilter httpтак:

приклад фільтра відображення


Коли я це роблю, я отримую 0 показів і отримую 45 к., І я потрапляю на веб-сайти, будь-які ідеї? Я дивлюся на Wi-Fi: en0
SuperUberDuper

7

Це не пінг. Пінг, як уже було сказано в аутсісі, - це ехо-запит ICMP. Ваш слід відображає встановлення та негайне припинення HTTP-з'єднання, і саме це InternetCheckConnection()робить. IP, про який йдеться, 77.222.43.228, вирішує сторінку http://repkasoft.com/ , що, напевно, є URL-адресою, до якої ви переходите InternetCheckConnection().

Ви можете фільтрувати трафік за допомогою цього IP, використовуючи фільтр захоплення або відображення host == 77.222.43.228.


2

За допомогою Wireshark 1.2+ я б запустив цей пакетний файл:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.