4 votos

cómo filtrar por protocolo en wireshark 2.2.7

Estoy tratando de mostrar sólo el tráfico HTTP en la ventana de captura en la última versión de Wireshark, pero no puedo averiguar cuál es la sintaxis en el filtro de captura.

He intentado sugerencias para viejas versiones de Wireshark pero sin éxito.

Tengo este filtro actual:

ip host 192.168.0.201

Lo que significa que quiero capturar paquetes desde y hacia esa dirección IP. Necesito añadir la condición del protocolo HTTP. He intentado "ip host 192.168.0.201 http", "ip host 192.168.0.201 y ip.proto == 'http', y muchas otras combinaciones pero ninguna funcionó.

EDITAR:

Esta es la sesión de captura real, para que puedas averiguar cuál es el problema:

Capture session

Saludos Jaime

0 votos

¿Has probado a introducir el número de puerto real de HTTP (puerto 80) en lugar de 'http'?

0 votos

El puerto es 8080.... pero no quiero filtrar por puerto sino por protocolo... protocolo http significa métodos Get o Post.. cuando no filtro por protocolo, me salen entradas con protocolos http y tcp, ambos usando el puerto de venta 8080. Como las entradas tcp son las más, necesito filtrarlas.

0 votos

Si sólo quieres controlar las peticiones GET y POST de un sitio web, las herramientas para desarrolladores de Chrome te permiten hacerlo. Sólo tienes que pulsar F12 e ir a "Red"

1voto

mtak Puntos 5023

En base a tus comentarios, si sólo quieres filtrar los mensajes HTTP POST o GET podrías usar el siguiente filtro:

http.request.method == GET or http.request.method == POST and ip.host == 192.168.0.201

Probado con 2.2.6

wireshark screenshot

0 votos

Esto no cumple el requisito. Puedo hacerlo, pero sólo puedo ver las peticiones GET y POST realizadas por 192.168.0.201. También necesito capturar la respuesta del servidor. Por ejemplo, cuando el dispositivo envía una solicitud GET o POST, el servidor responde con un OK o dependiendo del comando solicitado, por eso necesito capturar el protocolo HTTP. Por favor, vea mi pregunta editar. Usted puede ver allí la solicitud y el OK enviado por el servidor. También verás un montón de entradas TCP que pertenecen al mecanismo de reconocimiento del protocolo de transporte.

0 votos

Oh, lo siento. Acabo de leer "protocolo http significa métodos Get o Post...". Realmente no estoy de acuerdo con esa afirmación, pero es lo que pediste... Siento haberte hecho perder el tiempo con mi respuesta, obviamente errónea.

0voto

moonpoint Puntos 1857

Puedes filtro en la dirección IP y el puerto con ip.addr==192.168.0.201 and tcp.port==8080 para mostrar sólo paquetes a TCP puerto 8080. Si, quieres ser más específico con respecto al tráfico HTTP, es decir, sólo quieres ver los paquetes donde el método es GET o POST podrías usar http.request.method == method por ejemplo.., http.request.method == GET en lugar de tcp.port==8080 .

0 votos

Utilicé este filtro de captura "host 192.168.0.201 y (puerto 8080 o puerto 80)" pero también captura las entradas TCP porque ocurren también en el puerto 8080. Por favor, vea mi pregunta editar.

0 votos

Por fin he utilizado este filtro de visualización: "http"... y funciona. Sin embargo, también captura paquetes de error, que se muestran en rojo en Wireshark. ¿Hay alguna manera de filtrar eso?

0 votos

@jstuardo, para eliminar los que tienen errores, prueba a añadir and not _ws.expert.severity==error al filtro que está utilizando - expert.severity==error me funciona con Wireshark 1.10.14 en un sistema Linux, pero es posible que tenga que utilizar _ws.expert.severity==error para su versión. Tengo que utilizar la última versión con Wireshark 2.2.5 en mi portátil MacBook Pro.

-2voto

Victor Choy Puntos 97

Prueba esto, funciona.

ip.addr == 192.168.2.11 y tcp

Pon el estilo en el filtro de wireshark, filtrará el protocolo tcp. Muy sencillo.

0 votos

¡Bienvenido a Super User! ¿Puede usted editar su respuesta para explicar lo que sugiere y por qué ¿funciona? Saludos

0 votos

Poner el formulario en wireshark, filtrará el protocolo tcp. Muy sencillo. No entiendo por qué votas a la baja mi respuesta. @bertieb

0 votos

Yo no he votado a la baja tu respuesta, y no puedo hablar por quien lo haya hecho. Sin embargo, podrías mejorar esta respuesta pero editar y añadir una explicación, en particular por qué alguien debería utilizar esta variante en lugar de las otras sugeridas. Saludos

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: