Warum zeigt der Wireshark -Display -Filter keine HTTP -Pakete an?

Question

Wenn ich Anzeigefilter für HTTP verwende, wird nur HTTP -Pakete angezeigt, wenn die HTTP -Nachricht auf dem Standardport auf Port 80 liegt. Wenn die Nachricht jedoch keinen Standardport verwendet, funktioniert der Filter nicht für HTTP und ich muss für TCP filtern und dann dann filtern und dann filtern Müssen HTTP -Pakete manuell herausfinden.

Ich möchte wissen, warum das passiert? Ist es Standardverhalten oder ich mache es falsch (oder erwarte) es falsch.

Vielen Dank.

Answer 1

Der bekannte Port für HTTP ist Port 80. Wenn Sie den Datenverkehr in einem anderen Port Wireshark suchen, erwarten Sie normalerweise den Datenverkehr in der Form, für den Sie diesen Port normalerweise nutzen (falls vorhanden). Es ist nicht möglich zu wissen, dass der Datenverkehr beispielsweise Port 1080 tatsächlich HTTP ist. Dies ist kein Fehler, sondern eine Einschränkung der Art und Weise, wie Sie TCP verwenden möchten

Answer 2

Ich musste das HTTP -Protokoll aktivieren, indem ich Folgendes ausführte:

"Analyze -> aktivierte Protokolle"

Diese Lösung war für Version 1.12.2 (und standardmäßig in Version 2.0.2 deaktiviert), sollte jedoch für jede Variante von Version 1 und 2 funktionieren.

Answer 3

Wenn Sie HTTP nicht in seinem üblichen Port haben, können Sie das Decodieren von "Analyse -> Decodes als" Werkzeug in Wireshark verwenden, um ihm mitzuteilen, dass er den gesamten Datenverkehr an diesem Port als bestimmtes Protokoll behandelt.

Answer 4

Ich verwende Version 1.10.2 und es klassifiziert jeden Port als HTTP, solange er HTTP -Daten darin sieht.