Как можно отфильтровать протокол SSDP из представления Wireshark?

Question

Как можно отфильтровать протокол SSDP из представления Wireshark?

В Wireshark версии 1.12.4 я пытаюсь отфильтровать пакетные сообщения по протоколу SSDP. Когда я нажал кнопку "Выражение" рядом с полем "Фильтр" и выбрал "HTTP" (как имя поля) и "присутствует" (как отношение), я все равно получаю SSDP. Большинство сообщений являются SSDP, поэтому трудно устранить неполадки пакетов запросов и ответов, которые мне небезразличны, используя SSDP в списке.

https://www.wireshark.org/download.html

2

wireshark filter ssdp

Источник

MacGyver 29 апр '15 в 21:45

4 ответа

Решение

Я просто использовал функциональность инструмента, щелкнув правой кнопкой мыши по одному из проблемных пакетов, затем выбрав подменю "Применить как фильтр" > затем выбрал ".. а не выбрано" (в группе "Не выбрано"),

Затем он изменил выражение, чтобы выглядеть следующим образом.

(http) &&! (ip.dst == 239.255.255.250)

Таким образом, с помощью всплывающего окна "Выражение" можно применить только один фильтр, но для получения нескольких фильтров вы можете либо ввести выражение фильтра и нажать "Применить". Или используйте контекстное меню правой кнопкой мыши, нажмите "Применить как фильтр" и нажмите "Применить".

Это исключило все, кроме 4 строк в списке! Все они имели протокол SSDP.

РЕДАКТИРОВАТЬ:

Кроме того, кажется, что у Wireshark есть свои вопросы и ответы.

https://ask.wireshark.org/questions/unanswered/

4

Источник

MacGyver 29 апр '15 в 22:30

Как подсказывает полезный ответ Ги Харриса, SSDP - это HTTP, использующий UDP для транспорта, что означает, что он может быть сжато перехвачен:

(!(http && udp))

что позволяет легко продолжать фильтрацию, например:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

в моем случае SSDP использовался плеером Sony Blu-Ray для рекламы, поэтому я мог отфильтровать его с помощью:

(!(http && udp && ip.dst==239.255.255.250))

1

Источник

89c3b1b8-b1ae-11e6-b842-48d705 22 окт '15 в 03:38

Я старался http and !udp и это не сработало. Однако я нашел следующие работы для меня:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253 IP моего роутера

0

Источник

user891260 26 мар '16 в 05:47

Другие вопросы по тегам wireshark filter ssdp

30 апр '15 в 19:22 2015-04-30 19:22 · Accepted Answer · 2015-04-30 19:22

SSDP реализован в виде протокола, который работает поверх HTTP-over-UDP, поэтому фильтр "http" будет соответствовать пакетам SSDP. Фильтр "http а не udp" должен исключать пакеты SSDP; это также, очевидно, устранит другие пакеты HTTP-over-UDP, но я не уверен, что когда-либо будут какие-либо пакеты HTTP-over-UDP, которые не являются пакетами SSDP.