Por que o filtro de exibição do Wireshark não mostra pacotes HTTP?

Question

Quando uso o filtro de exibição para HTTP, ele mostra apenas pacotes HTTP quando a mensagem HTTP está na porta padrão IE na porta 80. Mas, quando a mensagem não está usando a porta padrão, o filtro de exibição não funciona para HTTP e eu preciso filtrar para TCP e, em seguida, Precisa descobrir pacotes HTTP manualmente.

Eu quero saber por que isso acontece? É um comportamento padrão ou estou fazendo (ou esperando) isso erroneamente.

Obrigado.

Answer 1

A porta bem conhecida para HTTP é a porta 80. Se você está olhando para o tráfego em um port wireshark diferente, normalmente esperaria que o tráfego estivesse no formulário para qualquer serviço que normalmente use essa porta (se houver). Não tem como saber que o tráfego, digamos, a porta 1080 é na verdade http. Isso não é um bug, mas uma limitação da maneira como você está tentando usar o TCP

Answer 2

Eu tive que ativar o protocolo HTTP fazendo o seguinte:

"Analise -> protocolos ativados"

Esta solução foi para a versão 1.12.2 (e desativada por padrão na versão 2.0.2), mas deve funcionar para qualquer variante da versão 1 e 2.

Answer 3

Se você não tiver HTTP em sua porta usual, pode usar a ferramenta "Analisar -> decodificar como" no Wireshark para dizer para tratar todo o tráfego nesta porta como um determinado protocolo.

Answer 4

Estou usando a versão 1.10.2 e classificará qualquer porta como HTTP, desde que veja dados HTTP nela.