J'essaie de surveiller le trafic Web à l'aide de Wireshark. Notre proxy Web se trouve sur le port 9191. Comment puis-je obtenir la vue Wheelshark pour traiter le port 9191 comme le port 80, c'est-à-dire comme HTTP.
Le simple fait d'utiliser Decode_As dans le menu semble autoriser la moitié de la conversation mais un seul côté.
Avez-vous des suggestions pour en faire une option permanente?
Réponses:
Si vous allez dans Edition -> Préférences -> Protocoles -> HTTP, vous devriez trouver une liste de ports considérés comme HTTP. Ajoutez le port 9191 à cette liste. Je pense que vous devez redémarrer Wireshark et rouvrir votre fichier de capture ou redémarrer votre capture pour que cela prenne effet.
C'est sur la version 1.0.3 de Windows; il pourrait être légèrement différent sur d'autres plates-formes. Évidemment, ce n'est pas un moyen générique de modifier le mappage de port en protocole, mais les auteurs du décodeur http semblent avoir reconnu que les gens l'exécutent sur de nombreux ports différents.
sysadmin1138 et les réponses de James F sont toutes les deux correctes. La réponse de James est probablement "plus correcte" dans ce cas, car les modifications apportées aux préférences du protocole HTTP sont collantes entre les exécutions de Wireshark. Dans les versions 1.2.0 et supérieures, vous pouvez rapidement accéder aux préférences de protocole en cliquant avec le bouton droit sur les éléments dans le volet de détails (au milieu) du paquet.
(Divulgation: je suis le développeur principal)
En effet, il n'est configuré pour le décoder que si l'un des côtés de la conversation se trouve sur le port 9191.
(source: sysadmin1138.net )
Vous devez le configurer pour qu'il indique "TCP Both". De cette façon, il décodera le trafic TCP / 9191 en HTTP si le port source est 9191 ou si le port de destination est 9191.