Kako uporabiti Wireshark za iskanje niza v paketih

V tem članku boste izvedeli, kako iskati nize v paketih z uporabo Wireshark. Z iskanjem nizov je povezanih več možnosti. Preden nadaljujete s tem člankom, morate splošno poznati Wireshark Basic.

Predpostavke

Zajem Wiresharka v enem stanju; bodisi shranjeno / ustavljeno bodisi v živo. Iskanje nizov lahko izvajamo tudi pri zajemanju v živo, vendar bomo za boljše in jasnejše razumevanje za to uporabili shranjeni zajem.

1. korak: Odprite shranjeni zajem

Najprej odprite shranjeni zajem v Wireshark. Videti bo tako:

2. korak: Odprite možnost iskanja

Zdaj potrebujemo možnost iskanja. To možnost lahko odprete na dva načina:

Uporabite bližnjico na tipkovnici “Ctrl + F”
Kliknite »Poišči paket« bodisi na zunanji ikoni ali pojdite na »Uredi-> Poišči paket«

Oglejte si posnetke zaslona, da si ogledate drugo možnost.

Ne glede na to, katero možnost uporabite, bo končno okno Wireshark videti kot spodnja slika zaslona:

3. korak: možnosti oznake

V iskalnem oknu lahko vidimo več možnosti (spustne menije, potrditveno polje). Te možnosti lahko označite s številkami za lažje razumevanje. Za oštevilčenje sledite spodnjemu posnetku zaslona:

Oznaka1
V spustnem meniju so trije razdelki.

Seznam paketov
Podrobnosti o paketu
Paketi bajtov

Na spodnjem posnetku zaslona lahko vidite, kje se nahajajo ti trije razdelki v Wireshark:

Če izberete razdelek a / b / c, pomeni, da bo niz izveden samo v tem odseku.

Oznaka2
To možnost bomo ohranili kot privzeto, saj je najboljša za običajno iskanje. Priporočljivo je, da ta možnost ostane privzeta, razen če jo morate spremeniti.

Oznaka3
Privzeto ta možnost ni potrjena. Če je izbrana možnost »Razlikovanje velikih in malih črk«, bo iskanje nizov našlo le natančna ujemanja iskanega niza. Če na primer iščete »Linuxhint« in je označena oznaka Label3, to ne bo iskalo »LINUXHINT« pri zajemu Wireshark.

Priporočljivo je, da te možnosti ne potrdite, razen če jo morate spremeniti.

Oznaka4
Ta oznaka ima različne vrste iskanj, na primer »Prikazni filter«, »Šestnajstiška vrednost«, »Niz« in »Regularni izraz."Za namene tega članka bomo iz tega spustnega menija izbrali" String ".

Oznaka5
Tukaj moramo vnesti iskalni niz. To je vhod za iskanje.

Oznaka6
Ko dobite vnos Label5, kliknite gumb »Poišči«, da sprožite iskanje.

Oznaka7
Če kliknete »Prekliči«, se bodo okna za iskanje zaprla in vrnite se, da sledite koraku 2, da dobite to okno za iskanje nazaj.

4. korak: Primeri

Zdaj, ko ste razumeli možnosti iskanja, preizkusimo nekaj primerov. Upoštevajte, da smo onemogočili pravilo barvanja, da bomo bolj jasno videli izbrani iskalni paket.

Poskusite1 [Uporabljena kombinacija možnosti: »Seznam paketov« + »Ozko in široko« + »Nepreverjeno občutljivo na velike in male črke« + niz]

Iskalni niz: “Len = 10”

Zdaj kliknite »Najdi.”Spodaj je posnetek zaslona za prvi klik na“ Najdi: ”

Kot smo izbrali “Packet list”, je iskanje potekalo znotraj seznama paketov.

Nato bomo znova kliknili gumb »Poišči«, da bomo videli naslednje ujemanje. To je razvidno iz spodnjega posnetka zaslona. Nismo označili nobenega razdelka, da bi lahko razumeli, kako se to iskanje dogaja.

Z isto kombinacijo poiščimo niz: “Linuxhint” [Za preverjanje scenarija ni najdeno].

V tem primeru lahko na levi spodnji strani Wiresharka vidite rumeno obarvano sporočilo in noben paket ni izbran.

Poskusite2 [Uporabljena kombinacija možnosti: "Podrobnosti o paketu" + “Ozko in široko” + “Nepreverjeno občutljivo na velike in male črke” + niz]

Iskalni niz: "Zaporedna številka"

Zdaj bomo kliknili »Najdi.”Spodaj je posnetek zaslona za prvi klik na“ Najdi: ”

Tu je bil izbran niz, ki se nahaja znotraj "podrobnosti o paketu".

Preverili bomo možnost »Razlikovanje velikih in malih črk« in iskalni niz uporabili kot »zaporedno številko«, ostale kombinacije pa bomo ohranili,. Tokrat se bo niz ujemal z natančno »zaporedno številko."

Poskusite3 [Uporabljena kombinacija možnosti: "Paketi bajtov" + “Ozko in široko” + “Nepreverjeno občutljivo na velike in male črke” + niz]

Iskalni niz: "Zaporedna številka"

Zdaj kliknite »Najdi.”Spodaj je posnetek zaslona za prvi klik na“ Najdi: ”

Po pričakovanjih se iskanje nizov dogaja znotraj bajtov paketov.

Zaključek

Iskanje nizov je zelo uporabna metoda, s katero je mogoče najti zahtevani niz znotraj seznama paketov Wireshark, podrobnosti o paketu ali bajtov paketov. Dobro iskanje olajša analizo velikih datotek za zajem Wireshark.