15

你们知道为什么 WireShark 可能拒绝在 Windows 上解码 gzip 的 http 流量吗?

我的配置

  • WireShark 1.8.3
  • Windows 7 旗舰版 x64
  • WinPcap 4.1.2

在首选项/协议/HTTP 中选中“未压缩实体主体”选项。

这是我的“Follow TCP Stream”对话框的样子:

在此处输入图像描述

当我第一次打开这个对话框时,下面的单选按钮设置为“Raw”,但是当我点击“ASCII”时没有任何变化。

有任何想法吗 ?

4

3 回答 3

23

如果您查看“基于行的文本数据”条目下的协议树,您将看到未压缩的数据。“Follow TCP Stream”对话框仅显示 TCP 有效负载的内容,不会将其解释为 HTTP 或 gzip 压缩数据或其他任何内容。对话框上的按钮允许您设置流字节的显示格式。

您可以右键单击未压缩的数据(见下面的红色#)并选择“Export Selected Packet Bytes...”以保存到文件

在此处输入图像描述

于 2012-10-17T08:46:21.703 回答
4

就当前的 Wireshark 而言,接受的答案是正确的答案——但使用 IMO 非常笨拙。

因此,我编写了一个小脚本wireshark-http-gunzip(需要 Ruby)来将整个输出转换为您期望的格式。希望在这里绊倒的人发现它很有用。

于 2014-08-01T16:38:09.777 回答
3

现在在 Wireshark 中有支持。只需右键单击标识为 HTTP(协议列 = HTTP)的数据包顶部,然后单击“关注”和“HTTP 流”。这应该将压缩响应解码为纯文本。

于 2019-10-18T16:56:01.513 回答