Как отфильтровать трафик http в Wireshark?

88

Я подозреваю, что мой сервер имеет огромное количество http-запросов от своих клиентов. Я хочу измерить объем http трафика. Как я могу сделать это с Wireshark? Или, возможно, есть альтернативное решение с использованием другого инструмента?

Вот так выглядит один HTTP-запрос / ответный трафик в Wireshark. Пинг генерируется функцией WinAPI :: InternetCheckConnection () alt text http://yowindow.com/shared/ping.png

Спасибо!

traffic wireshark паритет
источник

Ответы:

72

Пакеты Ping должны использовать тип ICMP 8 (эхо) или 0 (эхо-ответ), чтобы вы могли использовать фильтр захвата:

icmp

и фильтр отображения:

icmp.type == 8 || icmp.type == 0

Для HTTP вы можете использовать фильтр захвата:

tcp port 80

или фильтр отображения:

tcp.port == 80

или же:

http

Обратите внимание, что фильтр httpне эквивалентен двум другим, который будет включать пакеты рукопожатия и завершения.

Если вы хотите измерить количество соединений, а не объем данных, вы можете ограничить фильтры захвата или отображения одной стороной связи. Например, чтобы захватывать только пакеты, отправленные на порт 80, используйте:

dst tcp port 80

Соедините это с httpфильтром отображения или используйте:

tcp.dstport == 80 && http

Подробнее о фильтрах захвата читайте в разделе « Фильтрация во время захвата » в руководстве пользователя Wireshark, на странице фильтров захвата в вики Wireshark или на справочной странице pcap-filter (7) . Для фильтров отображения попробуйте страницу фильтров отображения в вики Wireshark. Диалоговое окно «Filter Expression» может помочь вам построить фильтры отображения.

outis
источник
1
Извините, я забыл упомянуть детали запроса "ping". Это Windows способ пингования. Кажется, icmp не имеет никакого отношения к моему делу.
пар
Смотрите скриншот пинга в Wireshark, который я только что прикрепил
пар.
Я изменил вопрос с «ping» на «http», поэтому ваш ответ не будет иметь смысла в контексте, но я +1, потому что это хороший ответ на пинг.
Симеон Пилигрим
18

Просто используйте DisplayFilter httpследующим образом:

пример фильтра отображения

Р. Остерхолт
источник
Когда я делаю это, я получаю 0 и 45k, и я попадаю на сайты, есть идеи? Я смотрю на Wi-Fi: en0
SuperUberDuper
7

Это не пинг. Пинг , как уже сказал outis, является эхо-запросом ICMP. Ваша трассировка отображает установление и немедленное прекращение HTTP-соединения, и вот что InternetCheckConnection()делает. Рассматриваемый IP-адрес, 77.222.43.228, разрешается по адресу http://repkasoft.com/ , который, я полагаю, является URL-адресом, по которому вы переходите InternetCheckConnection().

Вы можете фильтровать трафик с этим IP с помощью фильтра захвата или отображения host == 77.222.43.228.

atzz
источник
2

Используя Wireshark 1.2+, я бы запустил этот командный файл:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap
djangofan
источник