BEARBEITEN:

Question 1

SSDP ist als Protokoll implementiert, das auf HTTP-over-UDP läuft., so dass der Filter "http" SSDP-Pakete abgleicht. Der Filter "http und nicht udp" sollte SSDP-Pakete eliminieren; er eliminiert natürlich auchandereHTTP-over-UDP-Pakete, aber ich bin nicht sicher, ob es jemals HTTP-over-UDP-Pakete geben wird, die keine SSDP-Pakete sind.

Answer

SSDP ist als Protokoll implementiert, das auf HTTP-over-UDP läuft., so dass der Filter "http" SSDP-Pakete abgleicht. Der Filter "http und nicht udp" sollte SSDP-Pakete eliminieren; er eliminiert natürlich auchandereHTTP-over-UDP-Pakete, aber ich bin nicht sicher, ob es jemals HTTP-over-UDP-Pakete geben wird, die keine SSDP-Pakete sind.

Question 2

Ich habe einfach die Funktion im Tool verwendet, indem ich mit der rechten Maustaste auf eines der problematischen Pakete geklickt und dann das Untermenü „Als Filter anwenden“ > anschließend „… und nicht ausgewählt“ (unter der Gruppierung „Nicht ausgewählt“) ausgewählt habe.

Anschließend wurde der Ausdruck so geändert, dass er wie folgt aussieht.

(http) && !(ip.dst == 239.255.255.250)

Wenn Sie das Ausdrucks-Popup verwenden, können Sie also nur einen einzigen Filter anwenden. Um jedoch mehrere Filter zu erhalten, können Sie entweder den Filterausdruck eingeben und auf „Anwenden“ klicken. Oder verwenden Sie das Kontextmenü mit der rechten Maustaste, klicken Sie auf „Als Filter anwenden“ und dann auf „Anwenden“.

Dadurch wurden alle Zeilen bis auf 4 aus der Liste entfernt! Diese hatten alle das SSDP-Protokoll.

BEARBEITEN:

Außerdem scheint Wireshark über eine eigene Frage-und-Antwort-Runde zu verfügen.

https://ask.wireshark.org/questions/unanswered/

Answer

Ich habe einfach die Funktion im Tool verwendet, indem ich mit der rechten Maustaste auf eines der problematischen Pakete geklickt und dann das Untermenü „Als Filter anwenden“ > anschließend „… und nicht ausgewählt“ (unter der Gruppierung „Nicht ausgewählt“) ausgewählt habe.

Anschließend wurde der Ausdruck so geändert, dass er wie folgt aussieht.

(http) && !(ip.dst == 239.255.255.250)

Wenn Sie das Ausdrucks-Popup verwenden, können Sie also nur einen einzigen Filter anwenden. Um jedoch mehrere Filter zu erhalten, können Sie entweder den Filterausdruck eingeben und auf „Anwenden“ klicken. Oder verwenden Sie das Kontextmenü mit der rechten Maustaste, klicken Sie auf „Als Filter anwenden“ und dann auf „Anwenden“.

Dadurch wurden alle Zeilen bis auf 4 aus der Liste entfernt! Diese hatten alle das SSDP-Protokoll.

BEARBEITEN:

Außerdem scheint Wireshark über eine eigene Frage-und-Antwort-Runde zu verfügen.

https://ask.wireshark.org/questions/unanswered/

Question 3

AlsGuy Harris'sEine hilfreiche Antwort legt nahe, dass SSDP HTTP ist, das UDP für den Transport verwendet, was bedeutet, dass es kurz und bündig abgefangen werden kann durch:

(!(http && udp))

Dadurch können Sie ganz einfach weiter filtern, beispielsweise:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

in meinem Fall wurde SSDP von einem Blu-Ray-Player von Sony für Werbung verwendet, daher konnte ich es wie folgt herausfiltern:

(!(http && udp && ip.dst==239.255.255.250))

Answer

AlsGuy Harris'sEine hilfreiche Antwort legt nahe, dass SSDP HTTP ist, das UDP für den Transport verwendet, was bedeutet, dass es kurz und bündig abgefangen werden kann durch:

(!(http && udp))

Dadurch können Sie ganz einfach weiter filtern, beispielsweise:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

in meinem Fall wurde SSDP von einem Blu-Ray-Player von Sony für Werbung verwendet, daher konnte ich es wie folgt herausfiltern:

(!(http && udp && ip.dst==239.255.255.250))

Question 4

Ich habe es versucht http and !udpund es hat nicht funktioniert. Ich habe jedoch festgestellt, dass Folgendes für mich funktioniert:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253ist die IP meines Routers.

Answer

Ich habe es versucht http and !udpund es hat nicht funktioniert. Ich habe jedoch festgestellt, dass Folgendes für mich funktioniert:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253ist die IP meines Routers.

BEARBEITEN:

Antwort1

Antwort2

BEARBEITEN:

Antwort3

Antwort4

verwandte Informationen