Làm cách nào để lọc lưu lượng http trong Wireshark?

88

Tôi nghi ngờ máy chủ của tôi có một lượng lớn yêu cầu http từ khách hàng của nó. Tôi muốn đo lưu lượng truy cập http. Làm thế nào tôi có thể làm điều đó với Wireshark? Hoặc có lẽ có một giải pháp thay thế bằng cách sử dụng một công cụ khác?

Đây là cách lưu lượng truy cập yêu cầu / phản hồi http duy nhất trong Wireshark. Ping được tạo bởi văn bản thay thế WinAPI funciton :: InternetCheckConnection () http://yowindow.com/ Shared / sp.png

Cảm ơn!

traffic  wireshark 
mệnh
nguồn

Câu trả lời:

72

Các gói Ping nên sử dụng loại ICMP là 8 (echo) hoặc 0 (echo reply), vì vậy bạn có thể sử dụng bộ lọc chụp:

icmp

và một bộ lọc hiển thị của:

icmp.type == 8 || icmp.type == 0

Đối với HTTP, bạn có thể sử dụng bộ lọc chụp:

tcp port 80

hoặc bộ lọc hiển thị của:

tcp.port == 80

hoặc là:

http

Lưu ý rằng bộ lọc httpkhông tương đương với hai bộ lọc còn lại, sẽ bao gồm các gói bắt tay và kết thúc.

Nếu bạn muốn đo số lượng kết nối thay vì lượng dữ liệu, bạn có thể giới hạn các bộ lọc chụp hoặc hiển thị ở một bên của giao tiếp. Ví dụ: để chỉ chụp các gói được gửi đến cổng 80, hãy sử dụng:

dst tcp port 80

Kết hợp với httpbộ lọc hiển thị hoặc sử dụng:

tcp.dstport == 80 && http

Để biết thêm về các bộ lọc chụp, hãy đọc " Lọc trong khi chụp " từ hướng dẫn sử dụng Wireshark, trang bộ lọc chụp trên wiki Wireshark hoặc trang man pc-bộ lọc (7) . Đối với các bộ lọc hiển thị, hãy thử trang bộ lọc hiển thị trên wiki Wireshark. Các "Filter Expression" hộp thoại có thể giúp bạn xây dựng bộ lọc hiển thị.

ra ngoài
nguồn
1
Xin lỗi, tôi đã quên đề cập đến các chi tiết của yêu cầu "ping". Đây là cách ping của Windows. Có vẻ như icmp không liên quan đến trường hợp của tôi.
mệnh
Xem ảnh chụp màn hình của ping trong Wireshark mà tôi vừa đính kèm
par
Tôi đã thay đổi câu hỏi từ 'ping' thành 'http' để bạn trả lời sẽ không có ý nghĩa trong ngữ cảnh, nhưng tôi +1 vì đó là một câu trả lời ping tốt.
Simeon Pilgrim
18

Chỉ cần sử dụng DisplayFilter httpnhư thế này:

ví dụ bộ lọc hiển thị

R. Oosterholt
nguồn
Khi tôi làm điều đó tôi nhận được 0 hiển thị và 45k nhận được, và tôi nhấn trang web, có ý tưởng nào không? Tôi đang xem Wi-Fi: en0
SuperUberDuper
7

Đây không phải là một quả bóng bàn. Một ping, như đã được nói bởi outis, là một yêu cầu tiếng vang ICMP. Dấu vết của bạn hiển thị việc thiết lập và chấm dứt ngay lập tức kết nối HTTP và đó là những gì InternetCheckConnection()hiện có. IP trong câu hỏi, 77.222.43.228, phân giải thành http://repkasoft.com/ , mà theo tôi đoán là URL bạn chuyển đến InternetCheckConnection().

Bạn có thể lọc lưu lượng với IP này bằng cách sử dụng bộ lọc chụp hoặc hiển thị host == 77.222.43.228.

atzz
nguồn
2

Sử dụng Wireshark 1.2+, tôi sẽ chạy tệp bó này:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap
djangofan
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.