Nur HTTP-Verkehr in Wireshark anzeigen

Wie kann ich in Wireshark Datenverkehr herausfiltern, der nicht HTTP ist, sodass nur HTTP-Datenverkehr angezeigt wird, nicht jedoch TCP, DNS, SSDP usw.

Bildbeschreibung hier eingeben

wireshark

— Sashoalm
quelle

HTTP - Datenverkehr in der Regel IST TCP - Datenverkehr; Es ist nicht so, dass sich HTTP und TCP auf derselben Netzwerkebene befinden. Die Spalte Protokoll zeigt nur die oberste Protokollebene, die Wireshark versteht. Wenn ein TCP-Paket nur ein ACK und keine Daten enthält oder Wireshark nicht weiß, wie die Daten zu zerlegen sind, wird es als TCP angezeigt. Wenn es jedoch weiß, wie es zu zerlegen ist, wird dieses Protokoll angezeigt.

Antworten:

Geben Sie im Filterfeld http(Kleinbuchstaben!) Ein. Getestet mit WireShark Portable 1.10.7

Bildbeschreibung hier eingeben

Einige grundlegende Filter

!http Zeigt den gesamten Datenverkehr an, der NICHT http ist
ip.src != 196.168.1.1 zeigt Verkehr, der NICHT von dieser IP-Quelle stammt
ip.dst == 196.168.1.1 Zeigt den Verkehr zu diesem IP-Ziel an
ip.addr == 196.168.1.1 Zeigt den gesamten Verkehr an, der die spezifische IP als Quelle ODER Ziel hat

— Nixda
quelle

OK, es funktioniert, aber es zeigt sowohl http- als auch ssdp-Felder, was seltsam ist. Als ich versuchte, nur "ssdp" einzugeben, sagte es, dass kein solches Protokoll existiert.

— Sashoalm

Welche Wireshark-Version benutzt du? Das Wireshark-Wiki sagt, dass Sie nicht nach SSDP filtern können . Problemumgehung istudp.dstport == 1900 && http

— Nixda

Version 1.8.2. Außerdem wurden bei der Eingabe von "tcp" als Filter die Felder "TCP", "TLSv1.1" und "HTTP" angezeigt.

— Sashoalm

Wenn Sie "tcp" als Filter eingeben, wird der gesamte TCP-Verkehr angezeigt, unabhängig davon, ob HTTP über TCP, SSL / TLS über TCP oder etwas anderes über TCP ausgeführt wird.

Was ist, wenn Sie nur Protokoll sehen: 0x0800

— SuperUberDuper

So schließen Sie SSDP / UDP aus: http && tcp

Bildnachweis: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/

— Johann
quelle

Ich habe seit Ewigkeiten versucht, das herauszufinden. Vielen Dank!

— Arnoud Buzing

Wenn Sie "IP-Adresse" und zB "http-Protokoll" filtern möchten, müssen Sie Folgendes eingeben:

ip.src==192.168.109.217&&http

ohne Leerzeichen dazwischen.

— Bettelbursche
quelle