لماذا لا يعرض مرشح عرض Wireshark حزم HTTP؟

Question

عندما أستخدم مرشح العرض لـ HTTP ، فإنه يعرض فقط حزم HTTP عندما تكون رسالة HTTP على المنفذ القياسي IE على المنفذ 80. ولكن عندما لا تستخدم الرسالة منفذًا قياسيًا ، فإن مرشح العرض لا يعمل لـ HTTP وأحتاج إلى تصفية TCP ثم تحتاج إلى معرفة حزم HTTP يدويًا.

أريد أن أعرف لماذا يحدث هذا؟ هل هو سلوك قياسي أم أقوم (أو أتوقع) خطأ.

شكرًا.

Answer 1

المنفذ المعروف لـ HTTP هو المنفذ 80. إذا كنت تبحث عن حركة المرور على Wireshark في منفذ مختلف ، تتوقع عادة أن تكون حركة المرور في شكل أي خدمة تستخدم عادة هذا المنفذ (إن وجدت). ليس لديها طريقة لمعرفة أن حركة المرور على ، على سبيل المثال ، المنفذ 1080 هو في الواقع http. هذا ليس خطأ ، ولكنه قيود على الطريقة التي تحاول استخدامها TCP

Answer 2

اضطررت إلى تمكين بروتوكول HTTP عن طريق القيام بما يلي:

"تحليل -> بروتوكولات ممكّنة"

كان هذا الحل للإصدار 1.12.2 (والتعطيل بشكل افتراضي في الإصدار 2.0.2) ولكن يجب أن يعمل مع أي متغير من الإصدار 1 و 2.

Answer 3

إذا لم يكن لديك HTTP على منفذه المعتاد ، فيمكنك استخدام أداة "تحليل -> فك تشفير" في Wireshark لإخبارها بمعالجة كل حركة المرور على هذا المنفذ كبروتوكول معين.

Answer 4

أنا أستخدم الإصدار 1.10.2 وسيقوم بتصنيف أي منفذ على أنه HTTP طالما يرى بيانات HTTP فيه.