Sto cercando di monitorare un po 'di traffico web usando WireShark. Il nostro proxy Web si trova sulla porta 9191. Come posso ottenere la vista WireShark per trattare la porta 9191 proprio come la porta 80, ovvero come HTTP.
L'uso di Decode_As nel menu sembra consentire metà della conversazione ma solo un lato.
Qualche suggerimento su come renderlo un'opzione permanente?
Risposte:
Se vai su Modifica -> Preferenze -> Protocolli -> HTTP, dovresti trovare un elenco di porte considerate HTTP. Aggiungi la porta 9191 a quell'elenco. Credo che sia necessario riavviare Wireshark e riaprire il file di acquisizione o riavviare l'acquisizione affinché questo abbia effetto.
Questo è su Windows versione 1.0.3; potrebbe essere leggermente diverso su altre piattaforme. Ovviamente questo non è un modo generico per modificare la porta in mappature di protocollo, ma gli autori del decodificatore http sembrano aver riconosciuto che le persone lo eseguono su molte porte diverse.
Le risposte di sysadmin1138 e James F sono entrambe corrette. La risposta di James è probabilmente "più corretta" in questo caso poiché le modifiche alle preferenze del protocollo HTTP sono appiccicose tra le esecuzioni di Wireshark. Nella versione 1.2.0 e successive, è possibile passare rapidamente alle preferenze del protocollo facendo clic con il pulsante destro del mouse sugli elementi nel riquadro dei dettagli del pacchetto (al centro).
(Divulgazione: sono lo sviluppatore principale)
Questo perché è impostato per decodificarlo solo se uno dei lati della conversazione si trova sulla porta 9191.
(fonte: sysadmin1138.net )
Devi impostarlo in modo che sia "TCP Both". In questo modo decodificherà il traffico TCP / 9191 come HTTP se la porta di origine è 9191 o se la porta di destinazione è 9191.