Ich versuche, etwas Webverkehr mit Wireshark zu überwachen. Unser Web-Proxy befindet sich auf Port 9191. Wie kann ich erreichen, dass die Wireshark-Ansicht Port 9191 genau wie Port 80 behandelt - also als HTTP.
Die einfache Verwendung von Decode_As im Menü scheint die Hälfte der Konversation zu ermöglichen, jedoch nur eine Seite.
Irgendwelche Vorschläge, wie man dies zu einer dauerhaften Option macht?
Antworten:
Wenn Sie zu Bearbeiten -> Einstellungen -> Protokolle -> HTTP gehen, sollten Sie eine Liste der Ports finden, die als HTTP gelten. Fügen Sie dieser Liste Port 9191 hinzu. Ich glaube, Sie müssen Wireshark neu starten und Ihre Erfassungsdatei erneut öffnen oder Ihre Erfassung neu starten, damit dies wirksam wird.
Dies ist auf der Windows-Version 1.0.3; Auf anderen Plattformen kann es etwas anders sein. Natürlich ist dies keine generische Methode, um den Port an Protokollzuordnungen anzupassen, aber die Autoren des http-Decoders scheinen erkannt zu haben, dass er auf vielen verschiedenen Ports ausgeführt wird.
Die Antworten von sysadmin1138 und James F sind beide korrekt. James 'Antwort ist in diesem Fall wahrscheinlich "korrekter", da Änderungen an den HTTP-Protokolleinstellungen zwischen den Wireshark-Läufen nur schwer möglich sind. In Version 1.2.0 und höher können Sie schnell zu den Protokolleinstellungen springen, indem Sie mit der rechten Maustaste auf Elemente im Paketdetailbereich (Mitte) klicken.
(Offenlegung: Ich bin der Hauptentwickler)
Das liegt daran, dass es nur zum Dekodieren eingerichtet ist, wenn sich eine der Seiten der Konversation auf Port 9191 befindet.
(Quelle: sysadmin1138.net )
Sie müssen festlegen, dass "TCP Both" angezeigt wird. Auf diese Weise wird der TCP / 9191-Verkehr als HTTP dekodiert, wenn der Quellport 9191 oder der Zielport 9191 ist.