没有显示“GET/POST/PUT/etc”的HTTP流量是什么?有意义?(Wireshark)
没有显示“GET/POST/PUT/etc”的HTTP流量是什么?有意义?(Wireshark)
提问于 2022-03-06 08:49:02
当我在分析一个PCAP文件时,我发现Wireshark已经将一些流量识别为HTTP --然而,有许多流量只是简单地被标记为"TCP“而不是HTTP,尽管是从端口80。看看这些,我不知道到底是怎么回事。这是否仅仅是通过端口80发送/接收某种数据的通信量?在标记为HTTP (而不是TCP)的数据包Wireshark中,数据包详细信息中有一个HTTP部分--对于那些标记为TCP的数据包来说不是这样。
请查看下面的截图:
- 标记为"TCP“通信量。它仍然写着"HTTP“,因为你可以看到我圈的地方。这让我感到困惑:
- 常规HTTP Wireshark将其标记为HTTP,并有自己的部分:
回答 1
Stack Overflow用户
发布于 2022-03-07 13:10:01
HTTP响应被分成几个,可能是很多TCP段。默认情况下,Wireshark将尝试将TCP流重新组装为完整的HTTP响应,但它只显示完全重新组装的帧中的HTTP响应,而不是第一个TCP段。
如果捕获了所有TCP段,并且在“协议详细信息”窗格中展开TCP树,则应该会看到树项(如[Reassembled PDU in frame: XXXXX] )。所指示的帧是Wireshark将显示HTTP响应的位置。
请注意,可以修改此行为。如果您希望看到第一个TCP段标记为HTTP响应的开始,则可以通过“编辑-> Preferences -> Protocol -> TCP ->允许子分解重新组装TCP流:取消选择-> OK”禁用TCP重新组装。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/71368858
复制相关文章
相似问题
腾讯云开发者
