Bagaimana saya bisa menyaring lalu lintas yang bukan HTTP di Wireshark, sehingga hanya menunjukkan lalu lintas HTTP, tetapi tidak, TCP, DNS, SSDP, dll.
Lalu lintas HTTP biasanya IS lalu lintas TCP; bukan seolah-olah HTTP dan TCP berada pada lapisan jaringan yang sama. Kolom Protokol hanya memperlihatkan lapisan protokol paling atas yang dipahami Wireshark; jika paket TCP hanya memiliki ACK dan tidak ada data, atau Wireshark tidak tahu bagaimana membedah data, itu akan menunjukkannya sebagai TCP, tetapi jika ia tahu bagaimana membedahnya, itu akan menunjukkan protokol itu.
OK, ini berfungsi, tetapi menunjukkan bidang http dan ssdp, yang aneh. Ketika saya mencoba mengetik hanya "ssdp", katanya tidak ada protokol seperti itu.
sashoalm
Versi wireshark apa yang Anda gunakan? Wireshark wiki mengatakan, bahwa Anda tidak dapat memfilter untuk SSDP . Penanganan masalah adalahudp.dstport == 1900 && http
nixda
Versi 1.8.2. Juga, ketika saya mengetik "tcp" untuk filter, itu menunjukkan bidang TCP, TLSv1.1 dan HTTP.
sashoalm
Jika Anda mengetik "tcp" sebagai filter, itu akan menampilkan semua lalu lintas TCP, apakah itu HTTP yang berjalan di atas TCP, SSL / TLS yang berjalan di atas TCP, atau yang lain yang berjalan di atas TCP.
bagaimana jika Anda hanya melihat protokol: 0x0800
Jawaban:
Di bidang filter, ketik
http
(huruf kecil!). Diuji dengan WireShark Portable 1.10.7Beberapa filter dasar
!http
menunjukkan semua lalu lintas yang BUKAN httpip.src != 196.168.1.1
menunjukkan traffic yang BUKAN dari sumber IP iniip.dst == 196.168.1.1
menunjukkan lalu lintas ke tujuan IP iniip.addr == 196.168.1.1
menunjukkan semua lalu lintas yang memiliki IP spesifik sebagai sumber ATAU tujuansumber
udp.dstport == 1900 && http
Untuk mengecualikan SSDP / UDP:
http && tcp
Kredit: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/
sumber
Jika Anda ingin memfilter "alamat ip" dan misalnya "protokol http" Anda harus memasukkan:
tanpa spasi di antara keduanya.
sumber