Назад | Перейти на главную страницу

Как можно отфильтровать протокол SSDP из представления Wireshark?

В Wireshark версии 1.12.4 я пытаюсь отфильтровать пакетные сообщения с помощью протокола SSDP. Когда я щелкнул кнопку «Выражение» рядом с полем «Фильтр» и выбрал «HTTP» (как имя поля) и «присутствует» (как отношение), я все равно получил SSDP. Большинство сообщений - это SSDP, поэтому мне сложно устранить проблемы с пакетами запросов и ответов, которые содержат SSDP в списке.

https://www.wireshark.org/download.html

SSDP реализован как протокол, работающий поверх HTTP-over-UDP., поэтому фильтр "http" будет соответствовать пакетам SSDP. Фильтр «http and not udp» должен исключать пакеты SSDP; это также, очевидно, устранит Другой Пакеты HTTP поверх UDP, но я не уверен, что когда-либо появятся какие-либо пакеты HTTP поверх UDP, которые не являются пакетами SSDP.

Я просто использовал функциональные возможности инструмента, щелкнув правой кнопкой мыши один из проблемных пакетов, затем выбрал подменю «Применить как фильтр»> затем выбрал «.. and not Selected» (в группе «Не выбрано») .

Затем он изменил выражение, чтобы выглядеть так.

(http) &&! (ip.dst == 239.255.255.250)

Таким образом, с помощью всплывающего окна «Выражение» можно применить только один фильтр, но для получения нескольких фильтров вы можете либо ввести выражение фильтра, а затем нажать «Применить». Или используйте контекстное меню, вызываемое правой кнопкой мыши, нажмите «Применить как фильтр» и нажмите «Применить».

Это исключило все строки в списке, кроме 4! Все они имели протокол SSDP.

РЕДАКТИРОВАТЬ:

Кроме того, похоже, что у Wireshark есть свои вопросы и ответы.

https://ask.wireshark.org/questions/unanseled/

Так как Гай Харрис Полезный ответ предполагает, что SSDP - это HTTP, использующий UDP для транспорта, что означает, что его можно кратко перехватить:

(!(http && udp))

что позволяет легко продолжить фильтрацию, например:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

В моем случае SSDP использовался плеером Sony Blu-Ray для рекламы, поэтому я мог отфильтровать его с помощью:

(!(http && udp && ip.dst==239.255.255.250))

Я попытался http and !udp и это не сработало. Однако я нашел для себя следующие работы:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253 это IP моего роутера.