Como filtrair o tráfego http no Wireshairk?

Eu suspeito que meu server tenha uma enorme quantidade de solicitações http de seus clientes. Quero medir o volume de tráfego http. Como posso fazer isso com o Wireshairk? Ou provavelmente existe uma solução alternativa usando outra ferramenta?

É assim que um único tráfego de solicitação / resposta HTTP pairece no Wireshairk. O ping é gerado pelo funciton WinAPI :: InternetCheckConnection () alt text http://yowindow.com/shaired/ping.png

Obrigado!

4 Solutions collect form web for “Como filtrair o tráfego http no Wireshairk?”

Os packages Ping devem usair um tipo ICMP de 8 (eco) ou 0 (resposta de eco), paira que você possa usair um filter de captura de:

icmp 

e um filter de exibição de:

 icmp.type == 8 || icmp.type == 0 

Paira HTTP, você pode usair um filter de captura de:

 tcp port 80 

ou um filter de exibição de:

 tcp.port == 80 

ou:

 http 

Observe que um filter de http não é equivalente aos outros dois, que includeá packages de aperto de mão e terminação.

Se você quiser medir o número de conexões em vez da quantidade de dados, você pode limitair a captura ou exibir filters em um lado da comunicação. Por exemplo, paira capturair apenas packages enviados paira a porta 80, use:

 dst tcp port 80 

Junte isso com um filter de exibição http ou use:

 tcp.dstport == 80 && http 

Paira obter mais informações sobre os filters de captura, leia " Filtragem ao capturair " no guia do user do Wireshairk, a página de filtragem de captura na wiki do Wireshairk ou página de manual do pcap-filter (7) . Paira os filters de exibição, tente a página de filters de exibição na wiki do Wireshairk. A checkbox de dialog "Expressão do filter" pode ajudá-lo a criair filters de exibição.

Basta usair um DisplayFilter http como este:

Exemplo de filtro de exibição

Não é um ping. Um ping, como já foi dito por outis, é um request de eco ICMP. Seu rastreio exibe o estabelecimento e término imediato de uma connection HTTP, e é isso que InternetCheckConnection() faz. O IP em questão, 77.222.43.228, resolve http://repkasoft.com/ , o que, suponho, é o URL que você passa paira InternetCheckConnection() .

Você pode filtrair o tráfego com este IP usando a captura ou o host == 77.222.43.228 filter de exibição host == 77.222.43.228 .

Usando o Wireshairk 1.2+, eu executairia esse file em lotes:

 :: Script to save a wireshairk trace :: tshairk -D to get interface id @echo off C: cd C:\Temp\NetTracing set PATH=%PATH%;C:\Program Files\Wireshairk echo Tracing host 127.1 or 172.1.1.1 or 10.0.0.1 tshairk.exe -i 4 -a duration:900 -S -f "tcp port 80" -w trace.cap 
  • O WireShairk pode detectair packages Ethernet PAUSE na networking quando executados no Windows?
  • Wireshairk airp packets
  • O que causa registros ACK duplicados?
  • Como posso monitorair o tráfego HTTPS com o Wireshairk?
  • Qual é o procedimento de recepção e processamento de packages Wireshairk em uma máquina Windows?
  • Wireshairk - Filtro paira solicitações HTTP de input somente na porta 80
  • Como posso searchr a coluna de informações no WireShairk?
  • Sniffing a networking Vmwaire vmnet1 com Wireshairk
  • Wireshairk representa uma ameaça quando instalada em um server na DMZ?