Na versão 1.12.4 do Wireshark, estou tentando filtrar mensagens de pacote com um protocolo SSDP. Quando cliquei no botão Expressão ao lado do campo Filtro e selecionei "HTTP" (como Nome do Campo) e "está presente" (como Relação), ainda recebo SSDP. A maioria das mensagens são SSDP, por isso é difícil solucionar problemas de pacotes de solicitação e resposta que me interessam com SSDP na lista.
AskOverflow.Dev
O SSDP é implementado como um protocolo executado sobre HTTP-over-UDP , portanto, o filtro "http" corresponderá aos pacotes SSDP. O filtro "http e não udp" deve eliminar os pacotes SSDP; obviamente, também eliminará outros pacotes HTTP sobre UDP, mas não tenho certeza de que haverá pacotes HTTP sobre UDP que não sejam pacotes SSDP.
Acabei de usar a funcionalidade da ferramenta, clicando com o botão direito do mouse em um dos pacotes problemáticos, selecionei o submenu "Aplicar como filtro"> selecionei ".. e não selecionado" (sob o agrupamento "Não selecionado") .
Em seguida, mudou a expressão para ficar assim.
(http) && !(ip.dst == 239.255.255.250)
Portanto, ao usar o pop-up Expressão, ele só pode aplicar um único filtro, mas para obter vários filtros, você pode digitar a expressão do filtro e clicar em "Aplicar". Ou use o menu de contexto do botão direito, clique em "Aplicar como filtro" e clique em "Aplicar".
EDITAR:
Além disso, parece que o Wireshark tem suas próprias perguntas e respostas.
https://ask.wireshark.org/questions/unanswered/
Como sugere a resposta útil de Guy Harris , SSDP é HTTP usando UDP para transporte, o que significa que pode ser capturado sucintamente por:
o que facilita a continuação da filtragem como:
no meu caso, o SSDP estava sendo usado por um reprodutor Sony Blu-Ray para publicidade, então eu poderia filtrá-lo com:
Eu tentei
http and !udpe não funcionou. No entanto, encontrei os seguintes trabalhos para mim:192.168.0.253é o IP do meu roteador.