Ruch HTTP zwykle jest ruchem TCP; to nie tak, że HTTP i TCP znajdują się w tej samej warstwie sieci. Kolumna protokołu pokazuje po prostu najwyższą warstwę protokołu, którą Wireshark rozumie; jeśli pakiet TCP ma po prostu ACK i nie ma danych, lub Wireshark nie wie, jak rozdzielić dane, pokaże je jako TCP, ale jeśli wie, jak je rozdzielić, pokaże ten protokół.
OK, działa, ale pokazuje zarówno pola http, jak i ssdp, co jest dziwne. Kiedy próbowałem wpisać po prostu „ssdp”, powiedziałem, że taki protokół nie istnieje.
sashoalm
Jakiej wersji Wireshark używasz? Wiki wireshark mówi, że nie można filtrować pod kątem SSDP . Obejściem problemu jestudp.dstport == 1900 && http
nixda
Wersja 1.8.2. Ponadto, gdy wpisałem „tcp” dla filtru, pokazałem pola TCP, TLSv1.1 i HTTP.
sashoalm
Jeśli wpiszesz „tcp” jako filtr, wyświetli cały ruch TCP, czy to HTTP działający przez TCP, SSL / TLS działający przez TCP, czy coś innego działającego przez TCP.
Odpowiedzi:
W polu filtru wpisz
http(małe litery!). Testowane z WireShark Portable 1.10.7Niektóre podstawowe filtry
!httppokazuje cały ruch, który NIE jest httpip.src != 196.168.1.1pokazuje ruch NIE pochodzący z tego źródła IPip.dst == 196.168.1.1pokazuje ruch do tego miejsca docelowego IPip.addr == 196.168.1.1pokazuje cały ruch, który ma określony adres IP jako źródło LUB miejsce doceloweźródło
udp.dstport == 1900 && httpAby wykluczyć SSDP / UDP:
http && tcpŹródło: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/
źródło
Jeśli chcesz filtrować „adres IP” i np. „Protokół HTTP”, musisz wpisać:
bez spacji między.
źródło