我正在尝试使用 wireshark 监控一些网络流量。我们的网络代理在端口 9191 上。如何让 wireshark 视图将端口 9191 视为端口 80(即 HTTP)。
仅使用菜单上的 Decode_As 似乎可以进行一半的对话,但只能进行一侧。
有什么建议可以使其成为永久选项吗?
答案1
如果您转到“编辑”->“首选项”->“协议”->“HTTP”,您应该会找到一个被视为 HTTP 的端口列表。将端口 9191 添加到该列表中。我认为您必须重新启动 Wireshark 并重新打开捕获文件或重新启动捕获才能使此操作生效。
这是 Windows 1.0.3 版本;在其他平台上可能会略有不同。显然,这不是改变端口到协议映射的通用方法,但 http 解码器的作者似乎已经意识到人们在许多不同的端口上运行它。
答案2
sysadmin1138 和 James F 的回答都是正确的。James 的回答在这种情况下可能“更正确”,因为对 HTTP 协议首选项的更改在 Wireshark 运行之间是固定的。在 1.2.0 及更高版本中,您可以通过右键单击数据包详细信息(中间)窗格中的项目快速跳转到协议首选项。
(披露:我是首席开发人员)
答案3
这是因为只有当对话一方在端口 9191 上时,才会对其进行解码。
(来源:系统管理员1138.net)
您需要将其设置为“TCP Both”。这样,如果源端口为 9191 或目标端口为 9191,它将把 TCP/9191 流量解码为 HTTP。
答案4
在解码于窗口使用两个都在...前面TCP使用 9191 端口号(源端口或目标端口)作为 HTTP 解码数据包。