Wireshark 如何识别 TCP 数据包的协议为 HTTP?

问题描述 投票:0回答:2

端口号等于80显然不是充分条件。 Wireshark 在应用层负载中找到请求消息或响应消息是必要条件吗?

http wireshark packet
2个回答
4
投票

我不确定这是否是一个完整的答案,但这是我所知道的有关 Wireshark 对 HTTP 数据包的识别的信息(以下所有项目均按 HTTP 进行剖析):

  • TCP 端口 80
  • TCP 或 UDP 端口 8080、8008、591
  • 具有行结束符 (CRLF) 且行以字符串“HTTP/1.1”开始或结束的 TCP 流量(在所有端口上)
  • TCP 或 UDP 端口 1900 中的 SSDP(简单服务发现协议)
  • TCP 端口 3689 中的 DAAP(Apple 数字音频访问协议)
  • TCP 端口 631 中的 IPP(互联网打印协议)
0
投票

我发现它有点复杂,至少在端口 80 和最简单的数据包(如由 8 位微控制器生成)的情况下。当前的 Wireshark (4.4.2) 不会将 TCP 更改为 HTTP,除非至少不仅 dport 为 80,而且请求负载以 

\r\n\r\n
结尾。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.