Wie kann ich in Wireshark Datenverkehr herausfiltern, der nicht HTTP ist, sodass nur HTTP-Datenverkehr angezeigt wird, nicht jedoch TCP, DNS, SSDP usw.
HTTP - Datenverkehr in der Regel IST TCP - Datenverkehr; Es ist nicht so, dass sich HTTP und TCP auf derselben Netzwerkebene befinden. Die Spalte Protokoll zeigt nur die oberste Protokollebene, die Wireshark versteht. Wenn ein TCP-Paket nur ein ACK und keine Daten enthält oder Wireshark nicht weiß, wie die Daten zu zerlegen sind, wird es als TCP angezeigt. Wenn es jedoch weiß, wie es zu zerlegen ist, wird dieses Protokoll angezeigt.
OK, es funktioniert, aber es zeigt sowohl http- als auch ssdp-Felder, was seltsam ist. Als ich versuchte, nur "ssdp" einzugeben, sagte es, dass kein solches Protokoll existiert.
Sashoalm
Welche Wireshark-Version benutzt du? Das Wireshark-Wiki sagt, dass Sie nicht nach SSDP filtern können . Problemumgehung istudp.dstport == 1900 && http
Nixda
Version 1.8.2. Außerdem wurden bei der Eingabe von "tcp" als Filter die Felder "TCP", "TLSv1.1" und "HTTP" angezeigt.
Sashoalm
Wenn Sie "tcp" als Filter eingeben, wird der gesamte TCP-Verkehr angezeigt, unabhängig davon, ob HTTP über TCP, SSL / TLS über TCP oder etwas anderes über TCP ausgeführt wird.
Antworten:
Geben Sie im Filterfeld
http
(Kleinbuchstaben!) Ein. Getestet mit WireShark Portable 1.10.7Einige grundlegende Filter
!http
Zeigt den gesamten Datenverkehr an, der NICHT http istip.src != 196.168.1.1
zeigt Verkehr, der NICHT von dieser IP-Quelle stammtip.dst == 196.168.1.1
Zeigt den Verkehr zu diesem IP-Ziel anip.addr == 196.168.1.1
Zeigt den gesamten Verkehr an, der die spezifische IP als Quelle ODER Ziel hatquelle
udp.dstport == 1900 && http
So schließen Sie SSDP / UDP aus:
http && tcp
Bildnachweis: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/
quelle
Wenn Sie "IP-Adresse" und zB "http-Protokoll" filtern möchten, müssen Sie Folgendes eingeben:
ohne Leerzeichen dazwischen.
quelle