Cambiar el protocolo asociado con el puerto en wireshark

23

Estoy tratando de monitorear un poco de tráfico web usando wireshark. Nuestro proxy web está en el puerto 9191. ¿Cómo puedo obtener la vista de Wirehark para tratar el puerto 9191 como el puerto 80, es decir, como HTTP?

Solo usar Decode_As en el menú parece permitir la mitad de la conversación pero solo un lado.

¿Alguna sugerencia de cómo hacer de esto una opción permanente?

Nick Fortescue
fuente

Respuestas:

28

Si va a Editar -> Preferencias -> Protocolos -> HTTP, debería encontrar una lista de puertos que se consideran HTTP. Agregue el puerto 9191 a esa lista. Creo que debe reiniciar Wireshark y volver a abrir su archivo de captura o reiniciar su captura para que esto surta efecto.

Esto está en la versión de Windows 1.0.3; Puede ser ligeramente diferente en otras plataformas. Obviamente, esta no es una forma genérica de alterar las asignaciones de puerto a protocolo, pero los autores del decodificador http parecen haber reconocido que las personas lo ejecutan en muchos puertos diferentes.

James F
fuente
5

Las respuestas de sysadmin1138 y James F son correctas. La respuesta de James es probablemente "más correcta" en este caso, ya que los cambios en las preferencias del protocolo HTTP son fijos entre las ejecuciones de Wireshark. En la versión 1.2.0 y superior, puede saltar rápidamente a las preferencias de protocolo haciendo clic derecho en los elementos en el panel de detalles del paquete (centro).

(Divulgación: soy el desarrollador principal)

Gerald Peines
fuente
5

Esto se debe a que solo está configurado para decodificarlo si uno de los lados de la conversación está en el puerto 9191.

hilos de decodificación diaghar
(fuente: sysadmin1138.net )

Debe configurarlo para que se lea, "TCP Both". De esa manera, decodificará el tráfico TCP / 9191 como HTTP si el puerto de origen es 9191 o si el puerto de destino es 9191.

sysadmin1138
fuente
2

En la ventana Decode At ( Usar decodificar en) utilice ambos delante de TCP para decodificar el paquete utilizando el número de puerto 9191 (puerto de origen o puerto de destino) como HTTP.

Sub
fuente