Perché il filtro display Wireshark non mostra i pacchetti HTTP?

Question

Quando utilizzo il filtro di visualizzazione per HTTP, mostra solo i pacchetti HTTP quando il messaggio HTTP è sulla porta standard, cioè sulla porta 80. ma, quando il messaggio non utilizza la porta standard, quindi il filtro di visualizzazione non funziona per HTTP e devo filtrare per TCP e quindi È necessario scoprire manualmente i pacchetti HTTP.

Voglio sapere perché questo accade? È un comportamento standard o lo sto facendo (o mi aspetto) a torto.

Grazie.

Answer 1

La porta ben nota per HTTP è la porta 80. Se stai guardando il traffico su una porta diversa, normalmente si aspetterebbe che il traffico sia nel modulo per qualunque servizio usi normalmente quella porta (se presente). Non ha modo di sapere che il traffico, diciamo, la porta 1080 è in realtà HTTP. Questo non è un bug, ma una limitazione del modo in cui stai cercando di usare TCP

Answer 2

Ho dovuto abilitare il protocollo HTTP facendo quanto segue:

"Analizza -> Protocolli abilitati"

Questa soluzione era per la versione 1.12.2 (e disabilitata per impostazione predefinita nella versione 2.0.2) ma dovrebbe funzionare per qualsiasi variante della versione 1 e 2.

Answer 3

Se hai HTTP non sulla sua solita porta, è possibile utilizzare lo strumento "Analyze -> decodifica come" in Wireshark per dirgli di trattare tutto il traffico su questa porta come un determinato protocollo.

Answer 4

Sto usando la versione 1.10.2 e classificherà qualsiasi porta come HTTP purché vede i dati HTTP.