Почему фильтр отображения Wireshark не показывает http-пакеты?

Question

Когда я использую фильтр отображения для HTTP, он показывает только HTTP-пакеты, когда HTTP-сообщение находится на стандартном порту, т.е. на порту 80. Но, когда сообщение не использует стандартный порт, фильтр отображения не работает для HTTP, и мне нужно фильтровать для TCP а затем необходимо выяснить HTTP-пакеты вручную.

Я хочу знать, почему это происходит? Является ли это стандартным поведением, или я ошибаюсь (или ожидаю).

Спасибо.

Answer 1

Известный порт для HTTP - это порт 80. Если вы смотрите на трафик на другом порту, Wireshark обычно ожидает, что трафик будет в форме для любого сервиса, который обычно использует этот порт (если есть). У него нет способа узнать, что трафик, скажем, порт 1080, фактически является HTTP. Это не ошибка, но ограничение на то, как вы пытаетесь использовать TCP

Answer 2

Я использую версию 1.10.2, и он будет классифицировать любой порт как HTTP, пока он видит в нем данные HTTP.

Answer 3

Если у вас есть HTTP не на его обычном порту, вы можете использовать инструмент «Анализировать -> Декодировать как» в Wireshark, чтобы сообщить ему обрабатывать весь трафик на этом порту как определенный протокол.

Answer 4

я должен был включить протокол HTTP, выполнив следующие действия:

"Analyze -> Enabled протоколов"

Это решение было для версии 1.12.2 (и по умолчанию отключена в версии 2.0 .2), но должен работать для любого варианта версий 1 и 2.