Как использовать Wireshark для поиска строки в пакетах

В этой статье вы узнаете, как искать строки в пакетах с помощью Wireshark. Есть несколько вариантов, связанных с поиском строк. Прежде чем продолжить изучение этой статьи, вы должны иметь общие знания о Wireshark Basic.

Предположения

Захват Wireshark находится в одном состоянии; либо сохранены / остановлены, либо живут. Мы также можем выполнять поиск строки в режиме реального времени, но для лучшего и ясного понимания мы будем использовать сохраненный захват, чтобы сделать это.

Шаг 1. Откройте сохраненный снимок

Сначала откройте сохраненный снимок в Wireshark. Это будет выглядеть так:

Шаг 2. Откройте параметр поиска

Теперь нам нужна опция поиска. Есть два способа открыть эту опцию:

1. Используйте сочетание клавиш «Ctrl + F»
2. Нажмите «Найти пакет» либо на внешнем значке, либо перейдите в «Правка-> Найти пакет»

Посмотрите скриншоты, чтобы увидеть второй вариант.

Какой бы вариант вы ни использовали, окончательное окно Wireshark будет выглядеть, как на снимке экрана ниже:

Шаг 3. Параметры ярлыка

Мы видим несколько вариантов (раскрывающиеся списки, флажок) внутри окна поиска. Вы можете обозначить эти параметры номерами для облегчения понимания. Следуйте приведенному ниже снимку экрана для нумерации:

Этикетка1
В раскрывающемся списке есть три раздела.

1. Список пакетов
2. Детали пакета
3. Пакетные байты

На приведенном ниже снимке экрана вы можете увидеть, где расположены эти три раздела в Wireshark:

Выбор раздела a / b / c означает, что строка будет выполнена только в этом разделе.

Этикетка2
Мы оставим эту опцию по умолчанию, так как она лучше всего подходит для обычного поиска. Рекомендуется оставить этот параметр по умолчанию, если его не нужно менять.

Этикетка3
По умолчанию эта опция не отмечена. Если установлен флажок «Учитывать регистр», то при поиске по строке будут найдены только точные совпадения искомой строки. Например, если вы ищете «Linuxhint» и отмечен Label3, то поиск «LINUXHINT» в захвате Wireshark не будет.

Рекомендуется не устанавливать этот флажок, если его не нужно менять.

Этикетка4
Эта метка предназначена для различных типов поиска, таких как «Фильтр отображения», «Шестнадцатеричное значение», «Строка» и «Регулярное выражение.»Для целей этой статьи мы выберем« Строка »из этого раскрывающегося меню.

Этикетка5
Здесь нам нужно ввести строку поиска. Это вход для поиска.

Этикетка6
После ввода Label5 нажмите кнопку «Найти», чтобы запустить поиск.

Этикетка7
Если вы нажмете «Отмена», окна поиска закроются, и вам нужно будет вернуться, чтобы выполнить шаг 2, чтобы вернуть это окно поиска.

Шаг 4: Примеры

Теперь, когда вы разобрались с вариантами поиска, давайте попробуем несколько примеров. Обратите внимание, что мы отключили правило окраски, чтобы более четко видеть выбранный нами поисковый пакет.

Попытка1 [Используемая комбинация опций: «Список пакетов» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: «Len = 10»

Теперь нажмите «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Поскольку мы выбрали «Список пакетов», поиск производился внутри списка пакетов.

Затем мы снова нажмем кнопку «Найти», чтобы увидеть следующее совпадение. Это видно на скриншоте ниже. Мы не отметили разделы, чтобы вы могли понять, как происходит этот поиск.

С той же комбинацией давайте искать строку: «Linuxhint» [Проверить не найденный сценарий].

В этом случае вы можете увидеть сообщение желтого цвета в левой нижней части Wireshark, и ни один пакет не выбран.

Попробуйте2 [Используемая комбинация опций: «Сведения о пакете» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: "Последовательность чисел"

Теперь мы нажмем «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Здесь была выбрана строка, содержащаяся в «сведениях о пакете».

Мы отметим опцию «С учетом регистра» и будем использовать строку поиска как «Порядковый номер», оставив другие комбинации как есть. На этот раз строка будет соответствовать точному «порядковому номеру».”

Попробуйте3 [Используемая комбинация опций: «Пакетные байты» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: "Последовательность чисел"

Теперь нажмите «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Как и ожидалось, поиск строки происходит внутри байтов пакета.

Заключение

Выполнение строкового поиска - очень полезный метод, который можно использовать для поиска требуемой строки внутри списка пакетов Wireshark, сведений о пакете или байтов пакета. Хороший поиск упрощает анализ больших файлов захвата Wireshark.