我使用下面的显示filter来分析客户端和squid3服务器之间的stream量与Wireshark,但没有任何显示。
http && tcp http && tcp && tcp.port == 3888
如果我将squid端口改回3128那么我可以看到HTTP数据包。
这是一个Wireshark的错误还是devise? 我正在使用Wireshark 1.6.7。
谢谢。
首先,这个显示过滤规则是无效的和冗余的:
http && tcp http && tcp && tcp.port == 3888
使用:
tcp.port == 3888 && http
接下来,1.6.7真的是一个旧的,不支持的版本。 尝试升级到更新的东西,如2.0。 自1.8以来,启发式function试图自动检测TCP端口上的HTTP / 1.1stream量。
Wireshark 可以捕获它们。
它不会将它们识别为HTTP,除非被告知这么做或者已经知道这么做。
在1.8之前,为了告诉它这样做,你必须编辑HTTP的首选项,并将3888添加到HTTP的端口列表中。
在1.8及更高版本中,启发式parsing器可以将数据包自动识别为HTTP; 如果没有,您仍然可以编辑首选项,并将3888添加到端口列表中。