Soru Wireshark'taki http trafiğini nasıl filtreleyebilirim?


Sunucumun istemcilerinden büyük miktarda http isteği aldığından şüpheleniyorum. Http trafiğinin hacmini ölçmek istiyorum. Wireshark ile nasıl yapabilirim? Ya da muhtemelen başka bir araç kullanarak alternatif bir çözüm var mı?

Wireshark'ta tek bir http istek / yanıt trafiği bu şekilde görünüyor. Ping WinAPI funciton :: InternetCheckConnection () tarafından oluşturulur alt metin http://yowindow.com/shared/ping.png

Teşekkürler!


75
2017-12-21 08:22


Menşei




Cevaplar:


Ping paketleri bir ICMP türü 8 (eko) veya 0 (yankı yanıtı) kullanmalıdır, böylece aşağıdakilerin yakalama filtresini kullanabilirsiniz:

icmp

ve bir ekran filtresi:

icmp.type == 8 || icmp.type == 0

HTTP için bir yakalama filtresi kullanabilirsiniz:

tcp port 80

veya bir görüntü filtresi:

tcp.port == 80

veya:

http

Bir filtre olduğunu unutmayın http el sıkışma ve sonlandırma paketlerini içerecek diğer ikisine eşdeğer değildir.

Veri miktarından ziyade bağlantı sayısını ölçmek istiyorsanız, yakalama veya görüntü filtrelerini iletişimin bir tarafına sınırlayabilirsiniz. Örneğin, yalnızca bağlantı noktası 80'e gönderilen paketleri yakalamak için aşağıdakileri kullanın:

dst tcp port 80 

Bunu bir çiftle http filtreyi görüntüle veya kullan:

tcp.dstport == 80 && http

Yakalama filtreleri hakkında daha fazla bilgi için, "okuYakalama sırasında filtreleme"Wireshark kullanım kılavuzundan yakalama filtreleri Wireshark wiki sayfasındaki sayfa veya pcap filtresi (7) adam sayfası. Ekran filtreleri için görüntü filtreleri Wireshark wiki sayfasındaki sayfa. "Filtre İfadesi" iletişim kutusu Görüntü filtresi oluşturmanıza yardımcı olabilir.


63
2017-12-21 08:33



Üzgünüz, "ping" isteğinin ayrıntılarını belirtmeyi unuttum. Bu Windows ping yolu. Sanırım icmp'in davamla bir ilişkisi yok. - par
Ben sadece ekledim Wireshark ping ekran görüntüsü - par
Soruyu 'ping' den 'http' olarak değiştirdim, böylece cevabınız bağlam içinde anlam ifade etmeyecek, ama ben + 1'im çünkü bu iyi bir ping cevabı. - Simeon Pilgrim


Sadece bir DisplayFilter kullanın http bunun gibi:

display filter example


16
2017-11-26 08:42





Bu bir ping değil. Bir ping zaten dedim outis tarafından bir ICMP echo isteği. İzlemeniz bir HTTP bağlantısının kuruluşunu ve anında sonlandırılmasını gösterir ve işte bu nedir? InternetCheckConnection() yapar. Söz konusu IP 77.222.43.228, http://repkasoft.com/, ki, tahmin ettiğin URL’dir InternetCheckConnection().

Bu IP ile trafiği yakalama veya görüntüleme filtresini kullanarak filtreleyebilirsiniz. host == 77.222.43.228.


6
2017-12-21 08:56





Wireshark 1.2+ kullanarak, bu toplu iş dosyasını çalıştırırdım:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap

1
2018-03-24 21:10