如何用Wireshark过滤和分析SOAP/XML流量

Wireshark 通过 HTTP/TCP 过滤与 XML 关键字匹配定位 SOAP 流量，常用过滤器如 http.request.method == "POST" && http contains "soap"。

Wireshark 本身不直接识别 SOAP 协议（它不是标准网络层协议），但可以通过 HTTP/TCP 过滤 + 内容关键字匹配来高效定位和分析 SOAP/XML 流量。关键在于：SOAP 通常封装在 HTTP POST 请求/响应中，且 XML 内容带有典型标签（如 、）。

过滤 SOAP 流量的常用显示过滤器

在 Wireshark 主界面顶部的过滤栏输入以下表达式（按需组合）：

• http.request.method == "POST" && http contains "soap" —— 筛出含 "soap" 的 POST 请求（兼容大小写，Wireshark 默认不区分）
• http contains " —— 直接匹配常见 SOAP 根元素（注意引号需英文，空格不可省略）
• tcp.port == 8080 && http.content_type contains "xml" —— 若服务跑在 8080，且 Content-Type 明确为 application/soap+xml 或 text/xml
• http.host contains "api.example.com" && http.request.uri contains "/service" —— 结合业务路径缩小范围，避免全量抓包干扰

让 XML 内容可读：启用自动解码与展开

默认情况下，HTTP 载荷可能被压缩（gzip）或以十六进制显示。要清晰查看 SOAP XML：

• 右键某条 HTTP 流 → Follow → HTTP Stream，Wireshark 会重组 TCP 流并自动解压（若支持）、还原换行和缩进
• 若仍显示乱码，检查响应头：Content-Encoding: gzip 表示已压缩；Wireshark 2.x+ 通常自动解压，旧版本需手动导出后用工具解压
• 在 Packet Details 面板中展开 Line-based text data 或 XML 节点（如有），可直接看到格式化后的 XML 片段

快速定位请求/响应配对与关键字段

SOAP 交互是严格的请求-响应模式，常需对照分析：

• 按 http.request_in 和 http.response_in 字段排序列，可关联同一事务的请求包序号与响应包序号
• 关注常见字段：SOAPAction 头（HTTP 头中）标识操作名；wsa:Action（WS-Addressing）在 XML body 中定义目标动作
• 错误排查时重点看：faultcode、faultstring（在 下），它们直接说明服务端异常类型
• 用 Ctrl+F → String 在当前包中搜索 "fault"、"error"、"400"、"500" 等关键词，快速跳转问题位置

保存与复用：导出 SOAP 消息用于调试

把抓到的有效 SOAP 请求/响应保存下来，方便重放或给开发复现：

• 右键包 → Export Packet Bytes… → 保存为 .txt，再用文本编辑器手动删去 HTTP 头，只留 XML 部分
• 更推荐：使用 Follow → HTTP Stream → 全选 → 复制 → 粘贴到编辑器，然后剪裁出 结尾的完整块
• 导出后可用 curl 或 SoapUI 重发：确保设置正确的 Content-Type: application/soap+xml 和 SOAPAction 头

# ai  # 关键词  # 英文  # 可以通过  # 跳转  # 可直接  # 如有  # 右键  # 再用  # http  # 编辑器  # xml  # 封装  # 抓到  # wireshark 

相关栏目： <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 AI推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 SEO优化<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 技术百科<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 谷歌推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 百度推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 网络营销<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 案例网站<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 精选文章<？ｍｕｍａ echo $count; ?> 】