O SSDP é implementado como um protocolo executado em HTTP-over-UDP , portanto, o filtro "http" irá corresponder aos pacotes SSDP. O filtro "http e não udp" deve eliminar os pacotes SSDP; ele também eliminará, obviamente, outros pacotes HTTP-sobre-UDP, mas não tenho certeza de que jamais haverá pacotes HTTP-sobre-UDP que não sejam pacotes SSDP.

Acabei de usar a funcionalidade da ferramenta, clicando com o botão direito em um dos pacotes que era problemático e, em seguida, selecionando o submenu "Aplicar como filtro" > então selecione ".. e não Selecionado" (sob o agrupamento "Não selecionado").

Em seguida, ele mudou a expressão para ficar assim.

(http) & & ! (ip.dst == 239.255.255.250)

Portanto, ao usar o pop-up Expressão, ele só pode aplicar um único filtro, mas para obter vários filtros, você pode digitar a expressão de filtro e clicar em "Aplicar". Ou use o menu de contexto do botão direito, clique em "Aplicar como filtro" e clique em "Aplicar".

This eliminated all but 4 lines in the list! These all had the SSDP protocol.

EDIT:

Além disso, parece que o Wireshark tem seus próprios Q & A.

link

Como a resposta útil de Guy Harris sugere, o SSDP é HTTP usando UDP para transporte, o que significa que pode ser capturado de forma sucinta por:

(!(http && udp))

que facilita continuar filtrando como:

(!(http && udp)) & !ntp & ip.src==192.168.1.1

No meu caso, o SSDP estava sendo usado por um reprodutor de Blu-Ray da Sony para publicidade, então eu poderia filtrá-lo com:

(!(http && udp && ip.dst==239.255.255.250))

Eu tentei http and !udp e não funcionou. No entanto, encontrei os seguintes trabalhos para mim:

http and !(ip.addr == 192.168.0.253 or ip.addr==239.255.255.250 or ipv6.addr == ff02::c)

192.168.0.253 é o IP do meu roteador.