Changer le protocole associé au port dans Wireshark

23

J'essaie de surveiller le trafic Web à l'aide de Wireshark. Notre proxy Web se trouve sur le port 9191. Comment puis-je obtenir la vue Wheelshark pour traiter le port 9191 comme le port 80, c'est-à-dire comme HTTP.

Le simple fait d'utiliser Decode_As dans le menu semble autoriser la moitié de la conversation mais un seul côté.

Avez-vous des suggestions pour en faire une option permanente?

Nick Fortescue
la source

Réponses:

28

Si vous allez dans Edition -> Préférences -> Protocoles -> HTTP, vous devriez trouver une liste de ports considérés comme HTTP. Ajoutez le port 9191 à cette liste. Je pense que vous devez redémarrer Wireshark et rouvrir votre fichier de capture ou redémarrer votre capture pour que cela prenne effet.

C'est sur la version 1.0.3 de Windows; il pourrait être légèrement différent sur d'autres plates-formes. Évidemment, ce n'est pas un moyen générique de modifier le mappage de port en protocole, mais les auteurs du décodeur http semblent avoir reconnu que les gens l'exécutent sur de nombreux ports différents.

James F
la source
5

sysadmin1138 et les réponses de James F sont toutes les deux correctes. La réponse de James est probablement "plus correcte" dans ce cas, car les modifications apportées aux préférences du protocole HTTP sont collantes entre les exécutions de Wireshark. Dans les versions 1.2.0 et supérieures, vous pouvez rapidement accéder aux préférences de protocole en cliquant avec le bouton droit sur les éléments dans le volet de détails (au milieu) du paquet.

(Divulgation: je suis le développeur principal)

Gerald Combs
la source
5

En effet, il n'est configuré pour le décoder que si l'un des côtés de la conversation se trouve sur le port 9191.

Wirehark décode le diaglog
(source: sysadmin1138.net )

Vous devez le configurer pour qu'il indique "TCP Both". De cette façon, il décodera le trafic TCP / 9191 en HTTP si le port source est 9191 ou si le port de destination est 9191.

sysadmin1138
la source
2

Dans la fenêtre Décoder à utiliser Les deux devant TCP pour décoder le paquet en utilisant le numéro de port 9191 (port source ou port de destination) comme HTTP.

Sous
la source