El tráfico HTTP generalmente es tráfico TCP; no es como si HTTP y TCP estuvieran en la misma capa de red. La columna Protocolo solo muestra la capa de protocolo superior que entiende Wireshark; si un paquete TCP solo tiene un ACK y no tiene datos, o Wireshark no sabe cómo diseccionar los datos, lo mostrará como TCP, pero si sabe cómo diseccionarlo, mostrará ese protocolo.
OK, está funcionando, pero muestra los campos http y ssdp, lo cual es extraño. Cuando intenté escribir solo "ssdp", dijo que no existe tal protocolo.
sashoalm
¿Qué versión de wireshark usas? El wiki de wireshark dice que no se puede filtrar por SSDP . La solución esudp.dstport == 1900 && http
nixda
Versión 1.8.2. Además, cuando escribí "tcp" para filtro, mostró los campos TCP, TLSv1.1 y HTTP.
sashoalm
Si escribe "tcp" como filtro, mostrará todo el tráfico TCP, ya sea HTTP que se ejecuta sobre TCP, SSL / TLS que se ejecuta sobre TCP o algo más que se ejecuta sobre TCP.
Respuestas:
En el campo de filtro, escriba
http(en minúsculas). Probado con WireShark Portable 1.10.7Algunos filtros básicos
!httpmuestra todo el tráfico que NO es httpip.src != 196.168.1.1muestra el tráfico que NO proviene de esta fuente IPip.dst == 196.168.1.1muestra el tráfico a este destino IPip.addr == 196.168.1.1muestra todo el tráfico que tiene la IP específica como origen O destinofuente
udp.dstport == 1900 && httpPara excluir SSDP / UDP:
http && tcpCrédito: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/
fuente
Si desea filtrar "dirección IP" y, por ejemplo, "protocolo http", debe ingresar:
sin espacios entre
fuente