Показывать только HTTP трафик в Wireshark

23

Как я могу отфильтровать трафик, который не является HTTP в Wireshark, чтобы он показывал мне только трафик HTTP, но не TCP, DNS, SSDP и т. Д.

введите описание изображения здесь

sashoalm
источник
1
HTTP трафик обычно IS TCP трафика; это не так, как будто HTTP и TCP находятся на одном сетевом уровне. Столбец Protocol показывает только самый верхний уровень протокола, который понимает Wireshark; если в пакете TCP просто есть ACK и нет данных, или Wireshark не знает, как анализировать данные, он будет показывать его как TCP, но если он знает, как его анализировать, он покажет этот протокол.

Ответы:

31

В поле фильтра введите http(строчными!). Протестировано с WireShark Portable 1.10.7

введите описание изображения здесь

Некоторые основные фильтры

  • !http показывает весь трафик, который не http
  • ip.src != 196.168.1.1 показывает трафик, который НЕ из этого источника IP
  • ip.dst == 196.168.1.1 показывает трафик к этому IP-адресу назначения
  • ip.addr == 196.168.1.1 показывает весь трафик, который имеет определенный IP в качестве источника или назначения
nixda
источник
1
Хорошо, это работает, но показывает поля http и ssdp, что странно. Когда я попытался ввести просто «ssdp», он сказал, что такого протокола не существует.
sashoalm
Какую версию Wireshark вы используете? Вики из Wireshark говорят, что вы не можете фильтровать SSDP . Обходной путь являетсяudp.dstport == 1900 && http
nixda
Версия 1.8.2. Кроме того, когда я набрал «tcp» для фильтра, он показал поля TCP, TLSv1.1 и HTTP.
sashoalm
Если вы введете «tcp» в качестве фильтра, он покажет весь трафик TCP, будь то HTTP, работающий по TCP, SSL / TLS, работающий по TCP, или что-то еще, работающее по TCP.
Что
делать,
1

Если вы хотите отфильтровать «IP-адрес» и, например, «протокол HTTP», вы должны ввести:

ip.src==192.168.109.217&&http

без пробелов между.

Bettelbursche
источник