Alterar protocolo associado à porta no wireshark

23

Estou tentando monitorar algum tráfego da web usando o wireshark. Nosso proxy da Web está na porta 9191. Como posso obter a visualização do wireshark para tratar a porta 9191 da mesma forma que a porta 80 - como HTTP.

Apenas usar Decode_As no menu parece permitir metade da conversa, mas apenas um lado.

Alguma sugestão de como tornar isso uma opção permanente?

Nick Fortescue
fonte

Respostas:

28

Se você for em Editar -> Preferências -> Protocolos -> HTTP, deverá encontrar uma lista de portas consideradas HTTP. Adicione a porta 9191 a essa lista. Acredito que você precise reiniciar o Wireshark e reabrir seu arquivo de captura ou reinicie sua captura para que isso tenha efeito.

Isso está na versão 1.0.3 do Windows; pode ser um pouco diferente em outras plataformas. Obviamente, essa não é uma maneira genérica de alterar a porta para o mapeamento de protocolos, mas os autores do decodificador http parecem ter reconhecido que as pessoas o executam em muitas portas diferentes.

James F
fonte
5

As respostas sysadmin1138 e James F estão corretas. A resposta de James é provavelmente "mais correta" nesse caso, pois as alterações nas preferências do protocolo HTTP são persistentes entre as execuções do Wireshark. Na versão 1.2.0 e superior, você pode pular rapidamente para prefs de protocolo clicando com o botão direito do mouse nos itens no painel de detalhes do pacote (meio).

(Divulgação: eu sou o desenvolvedor principal)

Gerald Combs
fonte
5

Isso ocorre porque ele só é configurado para decodificá-lo se um dos lados da conversa estiver na porta 9191.

wireshark decode diaglog
(fonte: sysadmin1138.net )

Você precisa configurá-lo para ler "TCP Both". Dessa forma, decodificará o tráfego TCP / 9191 como HTTP se a porta de origem for 9191 ou se a porta de destino for 9191.

sysadmin1138
fonte
2

Em Descodificar No uso janela Tanto na frente de TCP para descodificar pacotes usando 9191 número de porta (porta de origem ou da porta de destino) como HTTP.

Sub
fonte