當我應用“tcp 端口 http”過濾器時，Wireshark 未捕獲任何數據包

Question

我正在使用 mac 並在加載網站時嘗試捕獲數據包實時數據包。 我通過 Wifi 連接並且能夠在不使用這些過濾器的情況下捕獲數據包。

但是，當我輸入“tcp port http”時，我空手而歸。

有什么建議可以解決這個問題嗎？

Answer 1

當您在捕獲過濾器表達式中使用端口名稱時，libpcap（Wireshark 使用的數據包捕獲庫）需要將名稱轉換為可用於匹配捕獲數據包字節的數字。 它通過在/etc/services中查找端口名稱來實現。 (Specifically, it calls getaddrinfo , which usually looks up the port in /etc/services on macOS and Linux, and C:\system32\drivers\etc\services on Windows.) If I open /etc/services on my system here, “http”對應端口 80。

但是，現代 web 不再真正使用端口 80。 如今，大多數 web 流量都是使用 HTTPS 加密的，而IANA 為 HTTPS 分配的端口是 443 。

使用“tcp 端口 443”或“tcp 端口 443 或 tcp 端口 80”可能會獲得更好的運氣，以確保捕獲 HTTP 和 Z0E8433F9A404F1F3BA601C14B02。

Answer 2

據我所知，過濾器必須是tcp.port == 80 。

但是如果你的 Wireshark 沒有捕獲任何東西（沒有過濾器），你可以檢查你的安裝和wiki 。