Mostrar apenas tráfego HTTP no Wireshark

23

Como posso filtrar o tráfego que não é HTTP no Wireshark, para que ele me mostre apenas o tráfego HTTP, mas não TCP, DNS, SSDP, etc.

insira a descrição da imagem aqui

sashoalm
fonte
11
O tráfego HTTP geralmente é tráfego TCP; não é como se HTTP e TCP estivessem na mesma camada de rede. A coluna Protocolo mostra apenas a camada superior do protocolo que o Wireshark entende; se um pacote TCP tiver apenas um ACK e nenhum dado, ou o Wireshark não souber dissecá-lo, ele será mostrado como TCP, mas se souber dissecá-lo, mostrará esse protocolo.

Respostas:

31

No campo de filtro, digite http(minúsculas!). Testado com o WireShark Portable 1.10.7

insira a descrição da imagem aqui

Alguns filtros básicos

  • !http mostra todo o tráfego que NÃO é http
  • ip.src != 196.168.1.1 mostra o tráfego que NÃO é desta fonte IP
  • ip.dst == 196.168.1.1 mostra o tráfego para este destino IP
  • ip.addr == 196.168.1.1 mostra todo o tráfego que tem o IP específico como origem OU destino
nixda
fonte
11
OK, está funcionando, mas mostra os campos http e ssdp, o que é estranho. Quando tentei digitar apenas "ssdp", ele disse que não existe esse protocolo.
Sashoalm
Qual versão do wireshark você usa? O wiki do wireshark diz que você não pode filtrar por SSDP . A solução alternativa éudp.dstport == 1900 && http
nixda
Versão 1.8.2. Além disso, quando eu digitei "tcp" para filtro, ele mostrou os campos TCP, TLSv1.1 e HTTP.
Sashoalm
Se você digitar "tcp" como filtro, ele mostrará todo o tráfego TCP, seja HTTP executando sobre TCP, SSL / TLS executando sobre TCP ou algo mais executando sobre TCP.
e se você vir apenas o protocolo: 0x0800
SuperUberDuper
1

Se você deseja filtrar "endereço IP" e, por exemplo, "protocolo http", é necessário inserir:

ip.src==192.168.109.217&&http

sem espaços no meio.

Bettelbursche
fonte