EDITAR:

Question 1

SSDP se implementa como un protocolo que se ejecuta sobre HTTP sobre UDP, por lo que el filtro "http" coincidirá con los paquetes SSDP. El filtro "http y no udp" debería eliminar los paquetes SSDP; obviamente también eliminaráotroPaquetes HTTP sobre UDP, pero no estoy seguro de que alguna vez haya paquetes HTTP sobre UDP que no sean paquetes SSDP.

Answer

SSDP se implementa como un protocolo que se ejecuta sobre HTTP sobre UDP, por lo que el filtro "http" coincidirá con los paquetes SSDP. El filtro "http y no udp" debería eliminar los paquetes SSDP; obviamente también eliminaráotroPaquetes HTTP sobre UDP, pero no estoy seguro de que alguna vez haya paquetes HTTP sobre UDP que no sean paquetes SSDP.

Question 2

Simplemente utilicé la funcionalidad de la herramienta, haciendo clic derecho en uno de los paquetes que era problemático, luego seleccioné el submenú "Aplicar como filtro" > luego seleccioné "... y no seleccionado" (en la agrupación "No seleccionado"). .

Luego cambió la expresión para verse así.

(http) && !(ip.dst == 239.255.255.250)

Entonces, al usar la ventana emergente Expresión, solo puede aplicar un único filtro, pero para obtener múltiples filtros, puede escribir la expresión del filtro y hacer clic en "Aplicar". O utilice el menú contextual del botón derecho, haga clic en "Aplicar como filtro" y haga clic en "Aplicar".

¡Esto eliminó todas menos 4 líneas de la lista! Todos estos tenían el protocolo SSDP.

EDITAR:

Además, parece que Wireshark tiene sus propias preguntas y respuestas.

https://ask.wireshark.org/questions/unanswered/

Answer

Simplemente utilicé la funcionalidad de la herramienta, haciendo clic derecho en uno de los paquetes que era problemático, luego seleccioné el submenú "Aplicar como filtro" > luego seleccioné "... y no seleccionado" (en la agrupación "No seleccionado"). .

Luego cambió la expresión para verse así.

(http) && !(ip.dst == 239.255.255.250)

Entonces, al usar la ventana emergente Expresión, solo puede aplicar un único filtro, pero para obtener múltiples filtros, puede escribir la expresión del filtro y hacer clic en "Aplicar". O utilice el menú contextual del botón derecho, haga clic en "Aplicar como filtro" y haga clic en "Aplicar".

¡Esto eliminó todas menos 4 líneas de la lista! Todos estos tenían el protocolo SSDP.

EDITAR:

Además, parece que Wireshark tiene sus propias preguntas y respuestas.

https://ask.wireshark.org/questions/unanswered/

Question 3

ComoGuy HarrisUna respuesta útil sugiere que SSDP es HTTP que utiliza UDP para el transporte, lo que significa que puede detectarse de manera sucinta mediante:

(!(http && udp))

lo que facilita continuar filtrando como:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

En mi caso, un reproductor de Blu-Ray de Sony estaba utilizando SSDP para publicidad, por lo que podía filtrarlo con:

(!(http && udp && ip.dst==239.255.255.250))

Answer

ComoGuy HarrisUna respuesta útil sugiere que SSDP es HTTP que utiliza UDP para el transporte, lo que significa que puede detectarse de manera sucinta mediante:

(!(http && udp))

lo que facilita continuar filtrando como:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

En mi caso, un reproductor de Blu-Ray de Sony estaba utilizando SSDP para publicidad, por lo que podía filtrarlo con:

(!(http && udp && ip.dst==239.255.255.250))

Question 4

Lo intenté http and !udpy no funcionó. Sin embargo, encontré lo siguiente que funciona para mí:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253es la IP de mi enrutador.

Answer

Lo intenté http and !udpy no funcionó. Sin embargo, encontré lo siguiente que funciona para mí:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253es la IP de mi enrutador.

EDITAR:

Respuesta1

Respuesta2

EDITAR:

Respuesta3

Respuesta4

información relacionada