Mostrar solo el tráfico HTTP en Wireshark


23

¿Cómo puedo filtrar el tráfico que no es HTTP en Wireshark, para que me muestre solo el tráfico HTTP, pero no TCP, DNS, SSDP, etc.

ingrese la descripción de la imagen aquí


1
El tráfico HTTP generalmente es tráfico TCP; no es como si HTTP y TCP estuvieran en la misma capa de red. La columna Protocolo solo muestra la capa de protocolo superior que entiende Wireshark; si un paquete TCP solo tiene un ACK y no tiene datos, o Wireshark no sabe cómo diseccionar los datos, lo mostrará como TCP, pero si sabe cómo diseccionarlo, mostrará ese protocolo.

Respuestas:


31

En el campo de filtro, escriba http(en minúsculas). Probado con WireShark Portable 1.10.7

ingrese la descripción de la imagen aquí

Algunos filtros básicos

  • !http muestra todo el tráfico que NO es http
  • ip.src != 196.168.1.1 muestra el tráfico que NO proviene de esta fuente IP
  • ip.dst == 196.168.1.1 muestra el tráfico a este destino IP
  • ip.addr == 196.168.1.1 muestra todo el tráfico que tiene la IP específica como origen O destino

1
OK, está funcionando, pero muestra los campos http y ssdp, lo cual es extraño. Cuando intenté escribir solo "ssdp", dijo que no existe tal protocolo.
sashoalm

¿Qué versión de wireshark usas? El wiki de wireshark dice que no se puede filtrar por SSDP . La solución esudp.dstport == 1900 && http
nixda

Versión 1.8.2. Además, cuando escribí "tcp" para filtro, mostró los campos TCP, TLSv1.1 y HTTP.
sashoalm

Si escribe "tcp" como filtro, mostrará todo el tráfico TCP, ya sea HTTP que se ejecuta sobre TCP, SSL / TLS que se ejecuta sobre TCP o algo más que se ejecuta sobre TCP.

¿Qué pasa si solo ve el protocolo: 0x0800
SuperUberDuper


1

Si desea filtrar "dirección IP" y, por ejemplo, "protocolo http", debe ingresar:

ip.src==192.168.109.217&&http

sin espacios entre

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.