Chỉ hiển thị lưu lượng HTTP trong Wireshark

23

Làm cách nào tôi có thể lọc lưu lượng truy cập không phải là HTTP trong Wireshark, để nó chỉ hiển thị cho tôi lưu lượng HTTP, nhưng không phải, TCP, DNS, SSDP, v.v.

nhập mô tả hình ảnh ở đây

wireshark 
sashoalm
nguồn
1
Lưu lượng HTTP thường lưu lượng TCP; không như thể HTTP và TCP ở cùng một lớp mạng. Cột Giao thức chỉ hiển thị lớp giao thức trên cùng mà Wireshark hiểu; nếu gói TCP chỉ có ACK và không có dữ liệu hoặc Wireshark không biết cách phân tích dữ liệu, nó sẽ hiển thị dưới dạng TCP, nhưng nếu biết cách phân tích dữ liệu, nó sẽ hiển thị giao thức đó.

Câu trả lời:

31

Trong trường bộ lọc, nhập http(chữ thường!). Đã thử nghiệm với WireShark Portable 1.10.7

nhập mô tả hình ảnh ở đây

Một số bộ lọc cơ bản

  • !http hiển thị tất cả lưu lượng truy cập KHÔNG http
  • ip.src != 196.168.1.1 hiển thị lưu lượng KHÔNG phải từ nguồn IP này
  • ip.dst == 196.168.1.1 hiển thị lưu lượng truy cập đến đích IP này
  • ip.addr == 196.168.1.1 hiển thị tất cả lưu lượng truy cập có IP cụ thể dưới dạng nguồn HOẶC đích
nixda
nguồn
1
OK, nó hoạt động, nhưng nó hiển thị cả hai trường http và ssdp, thật lạ. Khi tôi thử gõ chỉ "ssdp", nó nói không có giao thức nào như vậy tồn tại.
sashoalm
Bạn sử dụng phiên bản wireshark nào? Wiki wireshark nói rằng bạn không thể lọc SSDP . Cách giải quyết làudp.dstport == 1900 && http
nixda
Phiên bản 1.8.2. Ngoài ra, khi tôi gõ "tcp" cho bộ lọc, nó hiển thị các trường TCP, TLSv1.1 và HTTP.
sashoalm
Nếu bạn nhập "tcp" làm bộ lọc, nó sẽ hiển thị tất cả lưu lượng TCP, cho dù đó là HTTP chạy trên TCP, SSL / TLS chạy trên TCP hay thứ gì khác chạy trên TCP.
nếu bạn chỉ thấy giao thức: 0x0800
SuperUberDuper
1

Nếu bạn muốn lọc "địa chỉ IP" và ví dụ "giao thức http", bạn phải nhập: 

ip.src==192.168.109.217&&http

không có khoảng cách giữa.

Cá betta
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.