Wireshark

Jak używać Wireshark do wyszukiwania ciągu w pakietach?

Jak używać Wireshark do wyszukiwania ciągu w pakietach?

W tym artykule dowiesz się, jak wyszukiwać ciągi w pakietach za pomocą Wireshark. Istnieje wiele opcji związanych z wyszukiwaniem ciągów. Zanim przejdziesz dalej w tym artykule, powinieneś mieć ogólną wiedzę na temat Wireshark Basic.

Założenia

Przechwytywanie Wireshark będzie w jednym stanie; albo zapisany/zatrzymany, albo na żywo. Możemy również przeprowadzić wyszukiwanie ciągów w przechwytywaniu na żywo, ale dla lepszego i lepszego zrozumienia użyjemy do tego zapisanego przechwytywania.

Krok 1: Otwórz zapisany zapis

Najpierw otwórz zapisany zapis w Wireshark. Będzie to wyglądać tak:

Krok 2: Otwórz opcję wyszukiwania

Teraz potrzebujemy opcji wyszukiwania. Istnieją dwa sposoby na otwarcie tej opcji:

  1. Użyj skrótu klawiaturowego „Ctrl+F”
  2. Kliknij „Znajdź pakiet” z zewnętrznej ikony lub przejdź do „Edycja->Znajdź pakiet”

Sprawdź zrzuty ekranu, aby zobaczyć drugą opcję.

Niezależnie od wybranej opcji, ostatnie okno Wireshark będzie wyglądało jak na poniższym zrzucie ekranu:

Krok 3: Opcje etykiet

W oknie wyszukiwania widzimy wiele opcji (rozwijane listy, pole wyboru). Możesz oznaczyć te opcje liczbami, aby ułatwić zrozumienie. Wykonaj zrzut ekranu poniżej, aby uzyskać numerację:

Etykieta1
W menu znajdują się trzy sekcje.

  1. Lista pakietów
  2. Szczegóły pakietu
  3. Bajty pakietów

Na poniższym zrzucie ekranu możesz zobaczyć, gdzie znajdują się te trzy sekcje w Wireshark:

Wybranie sekcji a/b/c oznacza, że ​​napis zostanie wykonany tylko w tej sekcji.

Etykieta2
Zachowamy tę opcję jako domyślną, ponieważ najlepiej sprawdza się przy powszechnym wyszukiwaniu. Zaleca się pozostawienie tej opcji jako domyślnej, chyba że jest wymagana zmiana.

Etykieta3
Domyślnie ta opcja nie jest zaznaczona. Jeśli zaznaczona jest opcja „Rozróżnianie wielkości liter”, wyszukiwanie ciągu znajdzie tylko dokładne dopasowania do szukanego ciągu. Na przykład, jeśli wyszukasz „Linuxhint” i zaznaczysz Label3, to nie będzie szukać „LINUXHINT” w przechwytywaniu Wireshark.

Zaleca się pozostawienie tej opcji niezaznaczonej, chyba że jest to wymagane, aby to zmienić.

Etykieta4
Ta etykieta zawiera różne typy wyszukiwań, takie jak „Filtr wyświetlania”, „Wartość szesnastkowa”, „Ciąg” i „Wyrażenie regularne”.” Na potrzeby tego artykułu wybierzemy „Ciąg” z tego menu rozwijanego.

Etykieta5
Tutaj musimy wpisać szukany ciąg. To jest dane wejściowe do wyszukiwania.

Etykieta6
Po podaniu danych wejściowych Label5 kliknij przycisk „Znajdź”, aby uruchomić wyszukiwanie.

Etykieta7
Jeśli klikniesz „Anuluj”, okna wyszukiwania zostaną zamknięte i musisz wrócić, aby wykonać krok 2, aby przywrócić to okno wyszukiwania.

Krok 4: Przykłady

Teraz, gdy zrozumiałeś już opcje wyszukiwania, wypróbujmy kilka przykładów. Zwróć uwagę, że wyłączyliśmy regułę kolorowania, aby lepiej widzieć wybrany przez nas pakiet wyszukiwania search.

Spróbuj1 [Użyta kombinacja opcji: „Lista pakietów” + „Wąska i szeroka” + „Niezaznaczona wielkość liter” + ciąg]

Szukana fraza: „Dł=10”

Teraz kliknij „Znajdź.” Poniżej znajduje się zrzut ekranu dla pierwszego kliknięcia „Znajdź:”

Ponieważ wybraliśmy „Lista pakietów”, wyszukiwanie zostało przeprowadzone wewnątrz listy pakietów.

Następnie ponownie klikniemy przycisk „Znajdź”, aby zobaczyć następny mecz. Widać to na poniższym zrzucie ekranu. Nie zaznaczyliśmy żadnych sekcji, aby umożliwić Ci zrozumienie, jak przebiega to wyszukiwanie.

Za pomocą tej samej kombinacji przeszukajmy ciąg: „Linuxhint” [Aby sprawdzić nie znaleziono scenariusza].

W takim przypadku możesz zobaczyć żółty komunikat w lewym dolnym rogu Wireshark i żaden pakiet nie jest zaznaczony.

Spróbuj2 [Użyta kombinacja opcji: „Szczegóły pakietu” + „Wąskie i szerokie” + „Niezaznaczone rozróżnianie wielkości liter” + ciąg]

Szukana fraza: "Numer sekwencji"

Teraz klikniemy „Znajdź.” Poniżej znajduje się zrzut ekranu dla pierwszego kliknięcia „Znajdź:”

Tutaj został wybrany ciąg znaleziony w „szczegółach pakietu”.

Sprawdzimy opcję „Rozróżnianie wielkości liter” i użyjemy ciągu wyszukiwania jako „Numer sekwencyjny”, zachowując inne kombinacje bez zmian. Tym razem ciąg będzie pasował dokładnie do „Numeru Sekwencji.”

Spróbuj3 [Użyta kombinacja opcji: „Bajty pakietów” + „Wąskie i szerokie” + „Niezaznaczone rozróżnianie wielkości liter” + ciąg]

Szukana fraza: "Numer sekwencji"

Teraz kliknij „Znajdź.” Poniżej znajduje się zrzut ekranu dla pierwszego kliknięcia „Znajdź:”

Zgodnie z oczekiwaniami wyszukiwanie ciągów odbywa się wewnątrz bajtów pakietu.

Wniosek

Wykonywanie wyszukiwania ciągów jest bardzo przydatną metodą, której można użyć do znalezienia wymaganego ciągu na liście pakietów Wireshark, szczegółach pakietu lub bajtach pakietu. Dobre wyszukiwanie ułatwia analizę dużych plików przechwytywania Wireshark.

Mysz Add Mouse gestures to Windows 10 using these free tools
Add Mouse gestures to Windows 10 using these free tools
In recent years computers and operating systems have greatly evolved. There was a time when users had to use commands to navigate through file manager...
Mysz Control & manage mouse movement between multiple monitors in Windows 10
Control & manage mouse movement between multiple monitors in Windows 10
Dual Display Mouse Manager lets you control & configure mouse movement between multiple monitors, by slowing down its movements near the border. Windo...
Mysz WinMouse lets you customize & improve mouse pointer movement on Windows PC
WinMouse lets you customize & improve mouse pointer movement on Windows PC
If you want to improve the default functions of your mouse pointer use freeware WinMouse. It adds more features to help you get the most out of your h...