WireShark не расшифровывает HTTP-трафик gzip'ed на Windows
Вы, ребята, знаете, почему WireShark может отказаться от декодирования HTTP-трафика gzip'ed в Windows?
Моя конфигурация
- WireShark 1.8.3
- Windows 7 Ultimate x64
- WinPcap 4.1.2
Параметр "Несжатые тела сущностей" отмечен в разделе "Настройки/Протоколы/HTTP".
Вот как выглядит мое диалоговое окно "Follow TCP Stream":
![enter image description here]()
При первом открытии этого диалогового переключателя ниже установлено значение "Raw", но когда я нажимаю "ASCII", ничего не меняется.
Любые идеи?
Ответы
Ответ 1
Если вы посмотрите на дерево протокола в записи "Текстовые данные на основе строки", вы увидите несжатые данные. В диалоговом окне "Follow TCP Stream" отображается содержимое полезной нагрузки TCP и не интерпретируется как HTTP или gzipped данные или что-то еще. Кнопки в диалоговом окне позволяют вам установить формат отображения для байтов потока.
Вы можете щелкнуть правой кнопкой мыши по несжатым данным (см. красный № ниже) и выбрать "Экспорт выбранных байтов пакетов..." для сохранения в файл
![enter image description here]()
Ответ 2
Принятый ответ - правильный ответ с точки зрения текущего Wireshark - но довольно неудобно использовать IMO.
Итак, я написал небольшой script wireshark-http-gunzip (требуется Ruby), чтобы преобразовать весь вывод в формат, который вы ожидаете. Надеюсь, что кто-нибудь, кто спотыкается, найдет это полезным.
Ответ 3
В Wireshark теперь есть поддержка. Просто щелкните правой кнопкой мыши в верхней части пакета, обозначенного как HTTP (Столбец протокола = HTTP), затем "Follow" и "HTTP Stream". Это должно декодировать сжатые ответы в простой текст.
