Почему я не могу отфильтровать http в Wireshark?

Question

Я новичок в области сетей и Wireshark в целом, но есть одна вещь, на которой я действительно застрял.

Я открыл Wireshark, начал нюхать, а затем пошел на разные сайты, используя HTTP и HTTPS. Я остановил сниффинг и попытался отфильтровать «http» и «https» (разные попытки), но это ничего не показывает. В столбце Протокол я вижу только TCP, UPD, DNS, TLSv1 и т. Д. c. Но нет HTTP и не HTTPS. Что может вызвать это? Спасибо

Answer 1

Wireshark не может видеть данные приложения, потому что они зашифрованы с помощью TLS. Вот почему Wireshark использует версию TLS и TLS в столбце протокола вместо HTTPS.

Почти все крупные веб-сайты сегодня используют HTTPS. При попытке использовать HTTP соединение будет перенаправлено на HTTPS. Существуют разные способы перенаправления, и возможно, Wireshark не может получить достаточно данных, чтобы узнать, является ли HTTP-соединение или нет. Вот почему вы можете видеть TCP в столбце протокола вместо HTTP.

Таким образом, вы можете фильтровать пакеты с портами TCP:

tcp.port == 80 или tcp.port == 443