Bagaimana cara memfilter lalu lintas http di Wireshark?

88

Saya menduga server saya memiliki banyak permintaan http dari kliennya. Saya ingin mengukur volume lalu lintas http. Bagaimana saya bisa melakukannya dengan Wireshark? Atau mungkin ada solusi alternatif menggunakan alat lain?

Ini adalah bagaimana satu lalu lintas http permintaan / respons terlihat di Wireshark. Ping dihasilkan oleh WinAPI funciton :: InternetCheckConnection () alt text http://yowindow.com/shared/ping.png

Terima kasih!

traffic wireshark par
sumber

Jawaban:

72

Paket ping harus menggunakan tipe ICMP 8 (echo) atau 0 (echo reply), sehingga Anda dapat menggunakan filter capture dari:

icmp

dan filter tampilan:

icmp.type == 8 || icmp.type == 0

Untuk HTTP, Anda dapat menggunakan filter tangkap dari:

tcp port 80

atau filter tampilan:

tcp.port == 80

atau:

http

Perhatikan bahwa filter httptidak sama dengan dua lainnya, yang akan mencakup paket handshake dan termination.

Jika Anda ingin mengukur jumlah koneksi daripada jumlah data, Anda dapat membatasi filter tangkapan atau tampilan pada satu sisi komunikasi. Misalnya, untuk menangkap hanya paket yang dikirim ke port 80, gunakan:

dst tcp port 80

Berpasangan dengan httpfilter tampilan, atau gunakan:

tcp.dstport == 80 && http

Untuk lebih lanjut tentang filter pengambilan, baca " Memfilter sambil mengambil " dari panduan pengguna Wireshark, halaman filter pengambilan pada wiki Wireshark, atau halaman manual pcap-filter (7) . Untuk filter tampilan, coba halaman filter tampilan pada wiki Wireshark. The "Filter Expression" kotak dialog dapat membantu Anda membangun display filter.

outis
sumber
1
Maaf, saya lupa menyebutkan detail permintaan "ping". Ini adalah cara ping Windows. Tampaknya icmp tidak ada hubungannya dengan kasus saya.
par
Lihat tangkapan layar ping di Wireshark yang baru saja saya lampirkan
par
Saya mengubah pertanyaan dari 'ping' ke 'http' sehingga jawaban Anda tidak masuk akal dalam konteksnya, tetapi saya memberi +1 karena ini adalah jawaban ping yang bagus.
Simeon Pilgrim
18

Cukup gunakan DisplayFilter httpseperti ini:

contoh tampilan filter

R. Oosterholt
sumber
Ketika saya melakukan itu, saya mendapatkan 0 tampilan dan 45r diterima, dan saya mengunjungi situs web, ada ide? Saya melihat Wi-Fi: en0
SuperUberDuper
7

Itu bukan ping. Ping, seperti yang sudah dikatakan oleh outis, adalah permintaan gema ICMP. Jejak Anda menampilkan pembentukan dan pemutusan koneksi HTTP segera, dan itulah yang InternetCheckConnection()dilakukannya. IP yang dimaksud, 77.222.43.228, memutuskan untuk http://repkasoft.com/ , yang, saya kira, adalah URL yang Anda berikan InternetCheckConnection().

Anda dapat memfilter lalu lintas dengan IP ini dengan menggunakan filter tangkap atau tampilan host == 77.222.43.228.

atzz
sumber
2

Menggunakan Wireshark 1.2+, saya akan menjalankan file batch ini:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap
Djangofan
sumber