Zmień protokół związany z portem w wireshark

23

Próbuję monitorować ruch w sieci za pomocą Wireshark. Nasz internetowy serwer proxy znajduje się na porcie 9191. Jak uzyskać widok Wireshark, aby traktował port 9191 tak jak port 80 - tj. HTTP.

Samo użycie Decode_As w menu pozwala na połowę rozmowy, ale tylko jedną stronę.

Jakieś sugestie, jak uczynić to stałą opcją?

Nick Fortescue
źródło

Odpowiedzi:

28

Jeśli przejdziesz do Edycja -> Preferencje -> Protokoły -> HTTP, powinieneś znaleźć listę portów uważanych za HTTP. Dodaj port 9191 do tej listy. Uważam, że musisz ponownie uruchomić Wireshark i ponownie otworzyć plik przechwytywania lub ponownie uruchomić przechwytywanie, aby to zadziałało.

Dotyczy to wersji Windows 1.0.3; może się nieco różnić na innych platformach. Oczywiście nie jest to ogólny sposób na zmianę portu na mapowanie protokołu, ale autorzy dekodera http zdają się wiedzieć, że ludzie obsługują go na wielu różnych portach.

James F.
źródło
5

Odpowiedzi sysadmin1138 i Jamesa F. są poprawne. Odpowiedź Jamesa jest prawdopodobnie „bardziej poprawna” w tym przypadku, ponieważ zmiany preferencji protokołu HTTP są przyklejone między uruchomieniami Wiresharka. W wersji 1.2.0 i nowszych możesz szybko przejść do ustawień protokołu, klikając prawym przyciskiem myszy elementy w okienku szczegółów (środkowym) pakietu.

(Ujawnienie: Jestem głównym programistą)

Gerald Combs
źródło
5

To dlatego, że jest skonfigurowany do dekodowania go tylko wtedy, gdy jedna ze stron rozmowy znajduje się na porcie 9191.

wireshark dekoduje diaglog
(źródło: sysadmin1138.net )

Musisz ustawić go tak, by brzmiał: „TCP Both”. W ten sposób dekoduje ruch TCP / 9191 jako HTTP, jeśli port źródłowy to 9191 lub jeśli port docelowy to 9191.

sysadmin1138
źródło
2

W oknie Dekoduj w użyj Oba przed TCP do dekodowania pakietu przy użyciu numeru portu 9191 (port źródłowy lub docelowy) jako HTTP.

Pod
źródło