Ubah protokol yang terkait dengan port di wireshark

23

Saya mencoba memonitor beberapa lalu lintas web menggunakan wireshark. Proxy web kami ada di port 9191. Bagaimana saya bisa mendapatkan tampilan wireshark untuk memperlakukan port 9191 seperti port 80 - yaitu sebagai HTTP.

Hanya menggunakan Decode_As pada menu tampaknya memungkinkan setengah percakapan tetapi hanya satu sisi.

Adakah saran bagaimana menjadikan ini opsi permanen?

Nick Fortescue
sumber

Jawaban:

28

Jika Anda pergi ke Edit -> Preferences -> Protokol -> HTTP, Anda harus menemukan daftar port yang dianggap sebagai HTTP. Tambahkan port 9191 ke daftar itu. Saya yakin Anda harus memulai kembali Wireshark dan membuka kembali file tangkapan Anda atau memulai kembali tangkapan Anda agar hal ini berlaku.

Ini ada di Windows versi 1.0.3; mungkin sedikit berbeda pada platform lain. Jelas ini bukan cara umum untuk mengubah port ke protokol pemetaan, tetapi penulis decoder http tampaknya telah mengakui bahwa orang menjalankannya di banyak port berbeda.

James F
sumber
5

Tanggapan sysadmin1138 dan James F keduanya benar. Respons James mungkin "lebih benar" dalam kasus ini karena perubahan pada preferensi protokol HTTP bersifat kaku di antara proses Wireshark. Di versi 1.2.0 dan di atas, Anda dapat dengan cepat melompat ke prefs protokol dengan mengklik kanan item di panel detail paket (tengah).

(Pengungkapan: Saya adalah pengembang utama)

Gerald Combs
sumber
5

Itu karena itu hanya diatur untuk memecahkan kode jika salah satu sisi percakapan ada di port 9191.

wireshark decode diaglog
(sumber: sysadmin1138.net )

Anda perlu mengaturnya agar terbaca, "TCP Both". Dengan begitu ia akan mendekode lalu lintas TCP / 9191 sebagai HTTP jika port sumbernya adalah 9191 atau jika port tujuan adalah 9191.

sysadmin1138
sumber
2

Dalam Dekode Pada jendela gunakan Keduanya di depan TCP untuk mendekode paket menggunakan nomor port 9191 (port sumber atau port tujuan) sebagai HTTP.

Sub
sumber