Mostrar solo el tráfico HTTP en Wireshark

23

¿Cómo puedo filtrar el tráfico que no es HTTP en Wireshark, para que me muestre solo el tráfico HTTP, pero no TCP, DNS, SSDP, etc.

ingrese la descripción de la imagen aquí

wireshark 
sashoalm
fuente
1
El tráfico HTTP generalmente es tráfico TCP; no es como si HTTP y TCP estuvieran en la misma capa de red. La columna Protocolo solo muestra la capa de protocolo superior que entiende Wireshark; si un paquete TCP solo tiene un ACK y no tiene datos, o Wireshark no sabe cómo diseccionar los datos, lo mostrará como TCP, pero si sabe cómo diseccionarlo, mostrará ese protocolo.

Respuestas:

31

En el campo de filtro, escriba http(en minúsculas). Probado con WireShark Portable 1.10.7

ingrese la descripción de la imagen aquí

Algunos filtros básicos

  • !http muestra todo el tráfico que NO es http
  • ip.src != 196.168.1.1 muestra el tráfico que NO proviene de esta fuente IP
  • ip.dst == 196.168.1.1 muestra el tráfico a este destino IP
  • ip.addr == 196.168.1.1 muestra todo el tráfico que tiene la IP específica como origen O destino
nixda
fuente
1
OK, está funcionando, pero muestra los campos http y ssdp, lo cual es extraño. Cuando intenté escribir solo "ssdp", dijo que no existe tal protocolo.
sashoalm
¿Qué versión de wireshark usas? El wiki de wireshark dice que no se puede filtrar por SSDP . La solución esudp.dstport == 1900 && http
nixda
Versión 1.8.2. Además, cuando escribí "tcp" para filtro, mostró los campos TCP, TLSv1.1 y HTTP.
sashoalm
Si escribe "tcp" como filtro, mostrará todo el tráfico TCP, ya sea HTTP que se ejecuta sobre TCP, SSL / TLS que se ejecuta sobre TCP o algo más que se ejecuta sobre TCP.
¿Qué pasa si solo ve el protocolo: 0x0800
SuperUberDuper
1

Si desea filtrar "dirección IP" y, por ejemplo, "protocolo http", debe ingresar: 

ip.src==192.168.109.217&&http

sin espacios entre

Bettelbursche
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.