Изменить протокол, связанный с портом в Wireshark

Я пытаюсь контролировать трафик с помощью Wireshark. Наш веб-прокси находится на порту 9191. Как я могу заставить представление wireshark рассматривать порт 9191 точно так же, как порт 80 - то есть как HTTP.

Просто использование Decode_As в меню, кажется, позволяет половину разговора, но только одну сторону.

Любые предложения, как сделать этот вариант постоянным?

Если вы идете в Edit -> Preferences -> Protocols -> HTTP, вы должны найти список портов, которые считаются HTTP. Добавьте порт 9191 в этот список. Я считаю, что вы должны перезапустить Wireshark и заново открыть файл захвата или перезапустить захват, чтобы это вступило в силу.

Это на версии Windows 1.0.3; на других платформах это может немного отличаться. Очевидно, что это не общий способ изменить порт для сопоставления протоколов, но авторы http-декодера, похоже, поняли, что люди запускают его на многих разных портах.

Ответы sysadmin1138 и Джеймса Ф. верны. Вероятно, в этом случае ответ Джеймса «более корректен», поскольку изменения в настройках протокола HTTP не проходят между запусками Wireshark. В версии 1.2.0 и выше вы можете быстро перейти к настройкам протокола, щелкнув правой кнопкой мыши элементы в области сведений о пакете (средняя).

(Раскрытие: я ведущий разработчик)

Это потому, что он настроен на декодирование, только если одна из сторон разговора находится на порте 9191.

_{(источник: sysadmin1138.net )}

Вам нужно установить его так, чтобы он читал «TCP Both». Таким образом, он будет декодировать трафик TCP / 9191 как HTTP, если исходный порт 9191 или порт назначения 9191.

В окне « Декодировать в» используйте « Оба» перед TCP для декодирования пакета, используя номер порта 9191 (порт источника или порт назначения) в качестве HTTP.