Ako používať Wireshark na hľadanie reťazca v paketoch

V tomto článku sa dozviete, ako vyhľadávať reťazce v paketoch pomocou programu Wireshark. S vyhľadávaním reťazcov je spojených niekoľko možností. Skôr ako v tomto článku prejdete ďalej, mali by ste mať všeobecné vedomosti o aplikácii Wireshark Basic.

Domnienky

Zajatie Wiresharkom musí byť v jednom štáte; buď uložené / zastavené, alebo naživo. Môžeme tiež vyhľadávať reťazce v živom snímaní, ale pre lepšie a lepšie pochopenie použijeme na to uložené snímanie.

Krok 1: Otvorte Uložené snímanie

Najskôr otvorte uložený snímok vo Wiresharku. Bude to vyzerať takto:

Krok 2: Otvorte možnosť vyhľadávania

Teraz potrebujeme možnosť vyhľadávania. Existujú dva spôsoby, ako otvoriť túto možnosť:

1. Použite klávesovú skratku „Ctrl + F“
2. Kliknite na „Nájsť paket“ buď z vonkajšej ikony, alebo prejdite na „Upraviť-> Nájsť paket“

Druhú možnosť nájdete na snímkach obrazovky.

Nech už použijete ktorúkoľvek možnosť, konečné okno Wireshark bude vyzerať ako snímka obrazovky nižšie:

Krok 3: Možnosti štítku

Vo vnútri vyhľadávacieho okna môžeme vidieť viac možností (rozbaľovacie ponuky, začiarkavacie políčko). Tieto možnosti môžete pre ľahšie pochopenie označiť číslami. Číslovanie nájdete na snímke nižšie:

Označenie1
V rozbaľovacej ponuke sú tri sekcie.

1. Zoznam paketov
2. Podrobnosti paketu
3. Bajty paketov

Na nasledujúcom obrázku môžete vidieť, kde sa tieto tri sekcie vo Wireshark nachádzajú:

Výber sekcie a / b / c znamená, že reťazec sa vykoná iba v tejto sekcii.

Label2
Túto možnosť ponecháme ako predvolenú, pretože je najlepšia na bežné vyhľadávanie. Odporúča sa ponechať túto možnosť ako predvolenú, pokiaľ sa nevyžaduje jej zmena.

Label3
Predvolene nie je táto možnosť začiarknutá. Ak je začiarknuté políčko „Rozlišujú sa malé a veľké písmená“, vyhľadaním reťazca sa vyhľadajú iba presné zhody hľadaného reťazca. Napríklad, ak hľadáte „Linuxhint“ a je začiarknutý Label3, nebude to hľadať „LINUXHINT“ v snímke Wireshark.

Odporúča sa ponechať túto možnosť nezačiarknutú, pokiaľ sa nevyžaduje jej zmena.

Label4
Tento štítok obsahuje rôzne typy vyhľadávaní, napríklad „Filter displeja“, „Hex hodnota“, „Reťazec“ a „Regulárny výraz“.„Na účely tohto článku vyberieme v rozbaľovacej ponuke možnosť„ String “.

Label5
Tu musíme zadať hľadaný reťazec. Toto je vstup pre vyhľadávanie.

Label6
Po zadaní vstupu Label5 spustíte vyhľadávanie kliknutím na tlačidlo „Nájsť“.

Label7
Ak kliknete na „Zrušiť“, vyhľadávacie okná sa zatvoria a musíte sa vrátiť späť, aby ste vykonali krok 2, aby ste získali toto vyhľadávacie okno späť.

Krok 4: Príklady

Teraz, keď ste pochopili možnosti vyhľadávania, vyskúšajme niekoľko príkladov. Upozorňujeme, že sme deaktivovali pravidlo vyfarbovania, aby sme jasnejšie videli vyhľadávací paket, ktorý sme vybrali.

Skúste1 [Použitá kombinácia možností: „Zoznam paketov“ + „Zúžený a široký“ + „Nezačiarknuté veľké a malé písmená“ + Reťazec]

Vyhľadávací reťazec: „Len = 10“

Teraz kliknite na „Nájsť.„Nižšie je uvedená snímka obrazovky pre prvé kliknutie na„ Nájsť: “

Pretože sme vybrali „Zoznam paketov“, vyhľadávanie sa uskutočnilo v zozname paketov.

Ďalej znova klikneme na tlačidlo „Nájsť“, aby sme videli ďalšiu zhodu. Je to vidieť na snímke obrazovky nižšie. Neoznačili sme žiadne oddiely, aby sme vám pomohli pochopiť, ako sa toto vyhľadávanie deje.

S rovnakou kombináciou vyhľadajme reťazec: „Linuxhint“ [Skontrolovať nenájdený scenár].

V takom prípade môžete vidieť žlto sfarbenú správu na ľavej spodnej strane Wiresharku a nie je vybratý žiadny paket.

Vyskúšajte 2 [Použitá kombinácia možností: „Podrobnosti paketu“ + „Narrow & Wide“ + „Unchecked Case Sensitive“ + reťazec]

Vyhľadávací reťazec: "Poradové číslo"

Teraz klikneme na „Nájsť.„Nižšie je uvedená snímka obrazovky pre prvé kliknutie na„ Nájsť: “

Tu bol vybraný reťazec nájdený vo vnútri „podrobnosti paketu“.

Začiarkneme možnosť „Rozlišovať malé a veľké písmená“ a vyhľadávací reťazec použijeme ako „sekvenčné číslo“. Ostatné kombinácie ponecháme tak, ako sú. Tentokrát sa reťazec bude zhodovať s presným „sekvenčným číslom.“

Skúste3 [Použitá kombinácia možností: „Packet bytes“ + „Narrow & Wide“ + „Unchecked Case Sensitive“ + reťazec]

Vyhľadávací reťazec: "Poradové číslo"

Teraz kliknite na „Nájsť.„Nižšie je uvedená snímka obrazovky pre prvé kliknutie na„ Nájsť: “

Podľa očakávania sa vyhľadávanie reťazcov deje vo vnútri bajtov paketu.

Záver

Vyhľadávanie reťazcov je veľmi užitočná metóda, ktorú je možné použiť na vyhľadanie požadovaného reťazca v zozname paketov Wireshark, podrobnostiach paketov alebo bajtoch paketov. Vďaka dobrému vyhľadávaniu je analýza veľkých súborov Wireshark ľahká.