我使用以下显示过滤器squid3通过 Wireshark 分析客户端和服务器之间的流量,但什么也没有显示。
http && tcp
http && tcp && tcp.port == 3888
如果我将 squid 端口改回来,3128我就可以看到HTTP数据包了。
这是 Wireshark 漏洞还是设计使然?我使用的是 Wireshark 1.6.7。
谢谢。
答案1
首先,这个显示过滤规则是无效且多余的:
http && tcp http && tcp && tcp.port == 3888
使用以下方法就足够了:
tcp.port == 3888 && http
其次,1.6.7 确实是一个旧的、不受支持的版本。尝试升级到较新的版本,例如 2.0。从 1.8 开始,有一个启发式功能,可以尝试自动检测 TCP 端口上的 HTTP/1.1 流量。
答案2
Wireshark能抓住他们。
除非有人要求它这样做或者它已经知道要这样做,否则它不会将它们识别为 HTTP。
在 1.8 之前,为了告诉它这样做,您必须编辑 HTTP 的首选项并将 3888 添加到 HTTP 端口列表中。
在 1.8 及更高版本中,启发式解析器可能会自动将数据包识别为 HTTP;如果没有,您仍然可以编辑首选项并将 3888 添加到端口列表中。