Welche Filter benutze ich in Wireshark, um HTTP-Anfragen gezielt anzuzeigen?
Wenn Sie in Wireshark HTTP-Anfragen filtern möchten, um nur diese gezielt anzuzeigen, gibt es spezifische Filter, die Sie nutzen können. HTTP ist ein Protokoll, das üblicherweise über den TCP-Port 80 läuft. Daher liefert ein grundlegender Filter, der den gesamten HTTP-Verkehr anzeigt, der Verwendung von http als Filterfeld.
Grundlegender HTTP-Filter
Um alle HTTP-Pakete zu sehen – sowohl Anfragen als auch Antworten – verwenden Sie einfach den Filter http. Dieser zeigt jeglichen HTTP-Verkehr, der von Wireshark erkannt wird, an. Allerdings umfasst dies sowohl Anfragen als auch Antworten, und wenn Sie ausschließlich die Anfragen herausfiltern möchten, müssen Sie etwas spezifischer vorgehen.
HTTP-Anfragen gezielt filtern
HTTP-Anfragen sind durch bestimmte Methoden wie GET, POST, HEAD, PUT, DELETE, CONNECT, OPTIONS, TRACE oder PATCH gekennzeichnet. In Wireshark können Sie deshalb nach HTTP-Anfragen filtern, indem Sie nach Paketen suchen, in denen das Feld http.request auf true steht.
Damit erhalten Sie den Filter: http.request. Dieser Filter zeigt ausschließlich HTTP-Request-Pakete, also die eigentlichen Anfragen, an und blendet die Antworten aus. Möchten Sie noch spezifischer filtern, zum Beispiel nur GET-Anfragen, können Sie http.request.method == "GET" verwenden. Für POST-Anfragen gilt analog http.request.method == "POST".
Zusätzliche Tipps für die Filterung
Falls Sie den HTTP-Traffic nicht über den Standard-Port 80 abfangen, sondern ein anderes Portsegment verwenden (z.B. HTTPS über Port 443 mit Entschlüsselung), müssen Sie möglicherweise andere Filter oder Methoden benutzen. Für die generelle Anzeige von HTTP-Anfragen reicht jedoch der Filter http.request vollkommen aus.
Zusammenfassend lässt sich sagen, dass http.request der effektivste Filter ist, um in Wireshark ausschließlich HTTP-Anfragen anzuzeigen. Kombiniert mit weiteren Einschränkungen bezüglich der HTTP-Methode oder der Zieladresse können Sie die Ansicht noch weiter verfeinern.