Назад | Перейти на главную страницу

Wireshark - фильтр для входящих HTTP-запросов только на порт 80

Мы интегрируемся с внешней компанией, в которой нам пришлось установить определенные ограничения по IP и портам.

Во-первых, я новичок в сетевом администрировании, поэтому, если я что-нибудь убью, пожалуйста, простите меня.

Я использую Wireshark, чтобы попытаться поймать входящий трафик на мою машину, и наткнулся на сообщение, в котором использовалось следующее выражение фильтра:

(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp

Если я проверяю входящую HTTP-почту через порт 80 ... этого будет достаточно? Кроме того, если бы я дополнительно хотел проверить входящие сообщения HTTPS на порту 443, как бы мне это изменить?

Спасибо заранее.

Вам нужно различать фильтры захвата и фильтры отображения. Синтаксис, который вы показываете, - это фильтр отображения Wireshark. Фильтры дисплея используются для фильтрации трафика с дисплея, но не используются для фильтрации трафика во время захвата. Вы можете узнать больше о фильтрах отображения Wireshark из Wireshark wiki.

Если вы собираетесь выполнять длительный захват и хотите ограничить размер файлов захвата, вы, вероятно, захотите использовать фильтр захвата. В фильтрах захвата Wireshark используется синтаксис фильтра tcpdump, поэтому статья о фильтрах tcpdump поможет вам.

Например, чтобы захватывать только HTTP-трафик к / от хоста 10.0.0.1, вы можете использовать фильтр захвата host 10.0.0.1 and tcp and port 80. Если вы хотите, чтобы он включал трафик HTTPS (порт TCP 443), вы можете изменить его, чтобы читать host 10.0.0.1 and tcp and (port 80 or port 443).

Чтобы фильтр отображения делал то же самое только с HTTP, вы бы посмотрели на ip.addr == 10.0.0.1 && tcp.port == 80. И для HTTP, и для HTTPS вы бы посмотрели на ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443).