¿Por qué el filtro de pantalla de Wireshark no muestra paquetes HTTP?

Question

Cuando uso el filtro de visualización para HTTP, solo muestra paquetes HTTP cuando el mensaje HTTP está en el puerto estándar, es decir, en el puerto 80. Pero, cuando el mensaje no usa el puerto estándar, entonces la pantalla de pantalla no funciona para HTTP y necesito filtrar para TCP y luego Necesito averiguar los paquetes HTTP manualmente.

Quiero saber por qué sucede esto. ¿Es un comportamiento estándar o lo estoy haciendo (o espero) por error?

Gracias.

Answer 1

El puerto conocido para HTTP es el puerto 80. Si está mirando el tráfico en un puerto diferente, normalmente esperaría que el tráfico esté en el formulario para cualquier servicio que normalmente use ese puerto (si lo hubiera). No tiene forma de saber que el tráfico en, por ejemplo, el puerto 1080 es en realidad HTTP. Este no es un error, sino una limitación de la forma en que está tratando de usar TCP

Answer 2

Tuve que habilitar el protocolo HTTP haciendo lo siguiente:

"Analizar -> Protocolos habilitados"

Esta solución fue para la versión 1.12.2 (y se deshabilitó de forma predeterminada en la versión 2.0.2) pero debería funcionar para cualquier variante de la versión 1 y 2.

Answer 3

Si tiene HTTP no en su puerto habitual, puede usar la herramienta "Analizar -> Decode como" en Wireshark para decirle que trate todo el tráfico en este puerto como un cierto protocolo.

Answer 4

Estoy usando la versión 1.10.2 y clasificará cualquier puerto como http siempre que vea los datos HTTP en él.