Як використовувати Wireshark для пошуку рядка в пакетах

У цій статті ви дізнаєтесь, як шукати рядки в пакетах за допомогою Wireshark. Існує кілька варіантів, пов’язаних із пошуковим рядком. Перш ніж іти далі в цій статті, ви повинні мати загальні знання Wireshark Basic.

Припущення

Захоплення Wireshark в одному стані; або збережено / зупинено, або живе. Ми також можемо виконувати пошук рядків під час зйомки в прямому ефірі, але для кращого та чіткого розуміння для цього будемо використовувати збережений зйомку.

Крок 1: Відкрийте збережений знімок

Спочатку відкрийте збережений знімок у Wireshark. Це буде виглядати так:

Крок 2: Відкрийте варіант пошуку

Тепер нам потрібен варіант пошуку. Існує два способи відкрити цю опцію:

1. Використовуйте комбінацію клавіш “Ctrl + F”
2. Клацніть на "Знайти пакет" або на зовнішній піктограмі, або перейдіть до "Редагувати-> Знайти пакет"

Перегляньте знімки екрана, щоб переглянути другий варіант.

Який би варіант ви не використовували, остаточне вікно Wireshark буде виглядати як на скріншоті нижче:

Крок 3: Параметри етикетки

Ми можемо побачити кілька варіантів (випадаючі меню, прапорець) всередині вікна пошуку. Ви можете позначити ці параметри цифрами для зручності розуміння. Для нумерації виконайте знімок екрана нижче:

Етикетка1
У спадному меню є три розділи.

1. Список пакетів
2. Деталі пакета
3. Байти пакетів

На знімку екрана нижче ви можете побачити, де розташовані ці три розділи в Wireshark:

Вибір розділу a / b / c означає, що рядок буде виконано лише в цьому розділі.

Етикетка2
Ми збережемо цей параметр за замовчуванням, оскільки він є найкращим для загального пошуку. Рекомендується зберігати цю опцію за замовчуванням, якщо не потрібно її змінювати.

Етикетка3
За замовчуванням цей параметр не встановлений. Якщо встановлено прапорець “З урахуванням регістру”, тоді пошук рядків знайде лише точні збіги пошукового рядка. Наприклад, якщо ви шукаєте “Linuxhint” і Label3 встановлено, тоді це не буде шукати “LINUXHINT” у зйомці Wireshark.

Рекомендується не встановлювати цей параметр, якщо не потрібно його змінювати.

Мітка4
Ця мітка має різні типи пошуку, такі як „Фільтр дисплея”, „Шістнадцяткове значення”, „Рядок” та „Регулярний вираз.”Для цілей цієї статті ми виберемо“ Рядок ”із цього спадного меню.

Етикетка5
Тут нам потрібно ввести рядок пошуку. Це вхідні дані для пошуку.

Етикетка6
Після введення Label5 натисніть кнопку "Знайти", щоб запустити пошук.

Етикетка7
Якщо натиснути кнопку «Скасувати», тоді вікна пошуку закриються, і вам потрібно повернутися, щоб виконати крок 2, щоб повернути це вікно пошуку назад.

Крок 4: Приклади

Тепер, коли ви зрозуміли варіанти пошуку, спробуємо кілька прикладів. Зверніть увагу, що ми вимкнули правило забарвлення, щоб чіткіше бачити вибраний нами пакет пошуку.

Спробуйте1 [Використана комбінація опцій: “Список пакетів” + “Вузький і широкий” + “Не позначений регістр” + рядок]

Рядок пошуку: “Len = 10”

Тепер натисніть «Знайти.”Нижче наведено знімок екрана для першого клацання на“ Знайти: ”

Оскільки ми вибрали “Список пакетів”, пошук здійснювався всередині списку пакетів.

Далі ми ще раз натиснемо кнопку “Знайти”, щоб побачити наступний збіг. Це видно на знімку екрана нижче. Ми не позначили жодного розділу, щоб ви могли зрозуміти, як відбувається цей пошук.

З тією ж комбінацією, давайте шукати в рядку: “Підказка Linux” [Перевірити не знайдений сценарій].

У цьому випадку ви можете побачити жовте повідомлення в лівій нижній частині Wireshark, і жоден пакет не вибрано.

Спробуйте2 [Використана комбінація опцій: “Деталі пакета” + “Вузький і широкий” + “Неперевірений регістр” + рядок]

Рядок пошуку: "Порядковий номер"

Тепер ми натиснемо “Знайти.”Нижче наведено знімок екрана для першого клацання на“ Знайти: ”

Тут було вибрано рядок, що міститься всередині “деталей пакета”.

Ми перевіримо параметр «З урахуванням регістру» та використаємо рядок пошуку як «Порядковий номер», зберігаючи інші комбінації як є. Цього разу рядок точно відповідатиме «Послідовному номеру."

Спробуйте3 [Використана комбінація опцій: “Байти пакетів” + “Вузький і широкий” + “Неперевірений регістр” + рядок]

Рядок пошуку: "Порядковий номер"

Тепер натисніть «Знайти.”Нижче наведено знімок екрана для першого натискання кнопки“ Знайти:

Як і очікувалося, пошук рядків відбувається всередині байтів пакета.

Висновок

Виконання пошуку рядків є дуже корисним методом, який можна використовувати для пошуку необхідного рядка всередині списку пакетів Wireshark, деталей пакетів або байтів пакета. Хороший пошук полегшує аналіз великих файлів захоплення Wireshark.