Pourquoi le filtre d'affichage Wireshark n'affiche pas les paquets HTTP?

Question

Lorsque j'utilise un filtre d'affichage pour HTTP, il affiche uniquement les paquets HTTP lorsque le message HTTP est sur le port standard, c'est-à-dire sur le port 80. Mais, lorsque le message n'utilise pas le port standard, le filtre d'affichage ne fonctionne pas pour HTTP et que je dois filtrer pour TCP, puis Besoin de découvrir manuellement les paquets HTTP.

Je veux savoir pourquoi cela se produit? Est-ce un comportement standard ou je le fais (ou je l'attends) à tort.

Merci.

Answer 1

Le port bien connu pour HTTP est le port 80. Si vous envisagez le trafic sur un autre port, Wireshark s'attendrait normalement à ce que le trafic se présente dans le formulaire pour tout service qui utilise normalement ce port (le cas échéant). Il n'a aucun moyen de savoir que le trafic, disons, le port 1080 est en fait HTTP. Ce n'est pas un bug, mais une limitation de la façon dont vous essayez d'utiliser TCP

Answer 2

J'ai dû activer le protocole HTTP en faisant ce qui suit:

"Analyser -> Protocoles activés"

Cette solution était pour la version 1.12.2 (et désactivée par défaut dans la version 2.0.2) mais devrait fonctionner pour toute variante des version 1 et 2.

Answer 3

Si vous n'avez pas HTTP sur son port habituel, vous pouvez utiliser l'outil "Analyze -> Decode as" dans Wireshark pour lui dire de traiter tout le trafic sur ce port comme un certain protocole.

Answer 4

J'utilise la version 1.10.2 et il classera n'importe quel port comme HTTP tant qu'il y aura des données HTTP.