Показати лише трафік HTTP у Wireshark


23

Як я можу відфільтрувати трафік, який не є HTTP у Wireshark, щоб він показував мені лише трафік HTTP, але не, TCP, DNS, SSDP тощо.

введіть тут опис зображення


1
HTTP-трафік зазвичай є трафіком TCP; це не так, як якщо HTTP і TCP знаходяться на одному мережевому рівні. У стовпці Протокол відображається найвищий рівень протоколу, який розуміє Wireshark; якщо пакет TCP просто містить ACK і не має даних, або Wireshark не знає, як розсікати дані, він відображатиметься як TCP, але якщо він знає, як їх розсікати, він показує цей протокол.

Відповіді:


31

У полі фільтра введіть http(малі!). Перевірено з WireShark Portable 1.10.7

введіть тут опис зображення

Деякі основні фільтри

  • !http показує весь трафік, який НЕ http
  • ip.src != 196.168.1.1 показує трафік, який НЕ від цього IP-джерела
  • ip.dst == 196.168.1.1 показує трафік до цього IP-адреса
  • ip.addr == 196.168.1.1 показує весь трафік, який має конкретний IP як джерело АБО призначення

1
Гаразд, він працює, але він показує і http, і ssdp поля, що дивно. Коли я спробував набрати просто "ssdp", він сказав, що такого протоколу не існує.
sashoalm

Яку версію проводів ви використовуєте? Вікі-провідник говорить, що ви не можете фільтрувати SSDP . Обхідний udp.dstport == 1900 && http
шлях

Версія 1.8.2. Крім того, коли я набрав "tcp" для фільтра, він показав поля TCP, TLSv1.1 і HTTP.
sashoalm

Якщо ви введете "tcp" як фільтр, він покаже весь трафік TCP, будь то HTTP, що працює над TCP, SSL / TLS, що працює над TCP, або щось інше, що працює над TCP.

що робити, якщо ви бачите лише протокол: 0x0800
SuperUberDuper


1

Якщо ви хочете відфільтрувати "ip-адресу" і, наприклад, "протокол http", потрібно ввести:

ip.src==192.168.109.217&&http

без пробілів між ними.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.