Вопрос: Как фильтровать http-трафик в Wireshark?


Я подозреваю, что у моего сервера огромная загрузка HTTP-запросов от его клиентов. Я хочу измерить объем трафика http. Как я могу это сделать с Wireshark? Или, возможно, есть альтернативное решение с использованием другого инструмента?

Вот как выглядит один HTTP-запрос / ответный трафик в Wireshark. Пинг генерируется с помощью WinAPI funciton :: InternetCheckConnection () alt text http://yowindow.com/shared/ping.png

Благодаря!


73
2017-12-21 08:22


Источник




Ответы:


Ping-пакеты должны использовать ICMP-тип 8 (эхо) или 0 (эхо-ответ), поэтому вы можете использовать фильтр захвата:

icmp

и фильтр отображения:

icmp.type == 8 || icmp.type == 0

Для HTTP вы можете использовать фильтр захвата:

tcp port 80

или фильтр отображения:

tcp.port == 80

или:

http

Обратите внимание, что фильтр http не эквивалентен двум другим, которые будут включать пакеты установления связи и завершения.

Если вы хотите измерить количество подключений, а не количество данных, вы можете ограничить фильтры захвата или отображения на одну сторону связи. Например, для захвата только пакетов, отправленных на порт 80, используйте:

dst tcp port 80 

Соедините это с http отображать фильтр или использовать:

tcp.dstport == 80 && http

Подробнее о фильтрах захвата читайте в разделе "Фильтрация при захвате"из руководства пользователя Wireshark, фильтры захвата на вики Wireshark или pcap-filter (7) справочная страница. Для фильтров отображения попробуйте фильтры отображения на вики Wireshark. Диалоговое окно «Выражение фильтра» может помочь вам создать фильтры отображения.


62
2017-12-21 08:33



Извините, я забыл упомянуть подробности запроса «ping». Это способ Windows pinging. Кажется, что icmp не имеет отношения к моему делу. - par
Смотрите скриншот пинга в Wireshark. Я просто прикрепил - par
Я изменил вопрос с «ping» на «http», поэтому вы отвечаете не будет смысла в контексте, но я +1, потому что это хороший ответ ping. - Simeon Pilgrim


Просто используйте DisplayFilter http как это:

display filter example


16
2017-11-26 08:42





Это не пинг. Пинг, как уже сказал by outis, является ICMP-эхо-запросом. В вашей трассе отображается установление и немедленное завершение HTTP-соединения, и это то, что InternetCheckConnection() делает. Соответствующий IP, 77.222.43.228, решает http://repkasoft.com/, который, я думаю, является URL, который вы передаете InternetCheckConnection(),

Вы можете фильтровать трафик с помощью этого IP-адреса, используя фильтр захвата или отображения host == 77.222.43.228,


6
2017-12-21 08:56





Используя Wireshark 1.2+, я бы запустил этот командный файл:

:: Script to save a wireshark trace
:: tshark -D to get interface id
@echo off
C:
cd C:\Temp\NetTracing
set PATH=%PATH%;C:\Program Files\Wireshark
echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1

tshark.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap

1
2018-03-24 21:10