Hvordan bruke Wireshark for å søke etter en streng i pakker
I denne artikkelen lærer du hvordan du søker etter strenger i pakker ved hjelp av Wireshark. Det er flere alternativer knyttet til strengsøk. Før du går videre i denne artikkelen, bør du ha en generell kunnskap om Wireshark Basic.
Antagelser
En wireshark -fangst er i en tilstand; Enten lagret/stoppet eller live. Vi kan utføre strengsøk i live fangst, men for bedre og tydelig forståelse vil vi bruke lagret fangst for å gjøre dette.
Trinn 1: Åpne lagret fangst
Først åpner du en lagret fangst i Wireshark. Det vil se slik ut:
Trinn 2: Åpent søk
Nå trenger vi et søkealternativ. Det er to måter å åpne dette alternativet på:
- Bruk tastatursnarveien “Ctrl+F”
- Klikk "Finn en pakke" enten fra det ytre ikonet eller gå til "Rediger-> Finn pakke"
Sjekk ut skjermbildene for å se det andre alternativet.
Uansett hvilket alternativ du bruker, vil det endelige Wireshark -vinduet se ut som skjermdumpen nedenfor:
Trinn 3: Etikettalternativer
Vi kan se flere alternativer (rullegardins, avkrysningsrute) inne i søkevinduet. Du kan merke disse alternativene med tall for enkel forståelse. Følg skjermbildet nedenfor for nummerering:
Etikett1
Det er tre seksjoner i rullegardinmenyen.
- Pakkeliste
- Pakkedetaljer
- Pakkebyte
Fra skjermbildet nedenfor kan du se hvor disse tre seksjonene i Wireshark er lokalisert:
Å velge seksjon A/B/C betyr at strengen bare vil bli gjort i den delen.
Etikett2
Vi vil beholde dette alternativet som standard, da det er det beste for vanlig søk. Det anbefales å beholde dette alternativet som standard med mindre det er pålagt å endre det.
Etikett3
Som standard er dette alternativet ikke merket av. Hvis "Case Sensitive" er sjekket, vil strengsøket bare finne eksakte treff av den søkte strengen. Hvis du for eksempel søker etter "Linuxhint" og Label3 er sjekket, vil dette ikke søke etter "Linuxhint" i Wireshark Capture.
Det anbefales å holde dette alternativet ukontrollert med mindre det er pålagt å endre det.
Etikett4
Denne etiketten har forskjellige typer søk, for eksempel "Display Filter", "Hex Value", "String" og "Regulært uttrykk.”For formålene med denne artikkelen vil vi velge“ String ”fra denne rullegardinmenyen.
Etikett5
Her må vi gå inn i søkestrengen. Dette er innspillet for søket.
Etikett6
Etter at etikett5 -inngangen er gitt, klikker du på "Finn" -knappen for å utløse søket.
Etikett7
Hvis du klikker på "Avbryt", vil søkevinduene lukkes, og du må komme tilbake for å følge trinn 2 for å få dette søkevinduet tilbake.
Trinn 4: Eksempler
Nå som du forsto alternativene for å søke, la oss prøve ut noen eksempler. Merk at vi har deaktivert fargeleggingsregelen for å se søkepakken vi valgte tydeligere.
Try1 [Options kombinasjon brukt: “Pakkeliste” + “smal og bred” + “Ukontrollert sak sensitiv” + streng]
Søkstreng: “Len = 10”
Nå, klikk “Finn.”Nedenfor er skjermbildet for første klikk på“ Finn: ”
Som vi har valgt "Pakkeliste", ble søket utført inne i pakkelisten.
Deretter klikker vi på "Finn" -knappen for å se neste kamp. Dette kan sees på skjermbildet nedenfor. Vi markerte ingen seksjoner for å la deg forstå hvordan dette søket skjer.
Med samme kombinasjon, la oss søke i strengen: “Linuxhint” [For å sjekke ikke funnet scenario].
I dette tilfellet kan du se den gulfargede meldingen på venstre bunns side av Wireshark, og ingen pakke er valgt.
Try2 [Options kombinasjon brukt: “Pakkedetaljer” + “Smal og bred” + “Ukontrollert sak sensitiv” + streng]
Søkstreng: "Sekvensnummer"
Nå klikker vi “Finn.”Nedenfor er skjermbildet for første klikk på“ Finn: ”
Her ble strengen som ble funnet i “Pakkedetaljer” valgt.
Vi vil sjekke alternativet "Case Sensitive" og bruke søkestrengen som et "sekvensnummer", og holde de andre kombinasjonene som det er. Denne gangen vil strengen samsvare med det nøyaktige "sekvensnummeret.”
Try3 [Options kombinasjon brukt: “Packet byte” + “Smal og bred” + “Ukontrollert sak sensitiv” + streng]
Søkstreng: "Sekvensnummer"
Nå, klikk “Finn.”Nedenfor er skjermbildet for første klikk på“ Finn: ”
Som forventet skjer strengsøket inne i pakkebyte.
Konklusjon
Å utføre et strengsøk er en veldig nyttig metode som kan brukes til å finne en nødvendig streng inne i en Wireshark -pakkeliste, pakkeopplysninger eller pakkebyte. God søking gjør analyse av store wireshark -fangstfiler enkelt.