В тази статия ще научите как да търсите низове в пакети с помощта на Wireshark. Съществуват множество опции, свързани с търсенето на низове. Преди да продължите по-нататък в тази статия, трябва да имате общи познания за Wireshark Basic.
Предположения
Заснемането на Wireshark е в едно състояние; или запазени / спрени, или на живо. Можем да извършваме търсене на низове и при улавяне на живо, но за по-добро и ясно разбиране ще използваме запазено улавяне, за да направим това.
Стъпка 1: Отворете Saved Capture
Първо отворете запазено заснемане в Wireshark. Ще изглежда така:
Стъпка 2: Отворете опцията за търсене
Сега се нуждаем от опция за търсене. Има два начина да отворите тази опция:
- Използвайте клавишната комбинация „Ctrl + F“
- Щракнете върху „Намери пакет“ или от външната икона или отидете на „Редактиране-> Намиране на пакет“
Вижте екранните снимки, за да видите втората опция.
Каквато и опция да използвате, последният прозорец на Wireshark ще изглежда като екранната снимка по-долу:
Стъпка 3: Опции за етикети
В прозореца за търсене можем да видим множество опции (падащи менюта, квадратче за отметка). Можете да обозначите тези опции с цифри за лесно разбиране. Следвайте екранната снимка по-долу за номериране:
Етикет1
В падащото меню има три раздела.
- Списък с пакети
- Подробности за пакета
- Байтове на пакети
От екрана по-долу можете да видите къде се намират тези три раздела в Wireshark:
Избирането на раздел a / b / c означава, че низът ще бъде направен само в този раздел.
Етикет2
Ще запазим тази опция по подразбиране, тъй като тя е най-добрата за често търсене. Препоръчително е да запазите тази опция по подразбиране, освен ако не се изисква да я промените.
Етикет3
По подразбиране тази опция е отметната. Ако е отметнато „Чувствителен към малки и големи букви“, тогава търсенето на низове ще намери само точните съвпадения на търсения низ. Например, ако търсите „Linuxhint“ и Label3 е маркиран, това няма да търси „LINUXHINT“ в Wireshark улавяне.
Препоръчително е тази опция да остане отметната, освен ако не се изисква да я промените.
Етикет4
Този етикет има различни видове търсения, като „Показване на филтър“, „Шестнадесетична стойност“, „Низ“ и „Редовен израз.”За целите на тази статия ще изберем„ String ”от това падащо меню.
Етикет5
Тук трябва да въведем низа за търсене. Това е входът за търсенето.
Етикет6
След като въведете Label5, щракнете върху бутона „Намери“, за да задействате търсенето.
Етикет7
Ако кликнете върху „Отказ“, тогава прозорците за търсене ще се затворят и трябва да се върнете, за да следвате стъпка 2, за да върнете този прозорец за търсене.
Стъпка 4: Примери
След като разбрахте възможностите за търсене, нека изпробваме няколко примера. Имайте предвид, че сме деактивирали правилото за оцветяване, за да видим пакета за търсене, който сме избрали, по-ясно.
Опитайте1 [Използвана комбинация от опции: „Списък с пакети“ + „Тесен и широк“ + „Непроверено, чувствително към малки и големи букви“ + низ]
Низ за търсене: “Len = 10”
Сега кликнете върху „Намери.”По-долу е екранната снимка за първото щракване върху„ Намери: ”
Тъй като избрахме „Списък с пакети“, търсенето беше извършено в списъка с пакети.
След това щракнете отново върху бутона „Намери“, за да видите следващото съвпадение. Това може да се види на екранната снимка по-долу. Не маркирахме нито един раздел, за да можете да разберете как се случва това търсене.
Със същата комбинация, нека потърсим низа: “Linuxhint” [За да проверите не е намерен сценарий].
В този случай можете да видите съобщението в жълто в долната лява част на Wireshark и не е избран пакет.
Опитайте2 [Използвана комбинация от опции: „Подробности за пакета“ + „Тесен и широк“ + „Непроверен регистър на буквите“ + низ]
Низ за търсене: „Пореден номер“
Сега ще кликнете върху „Намери.„По-долу е екранната снимка за първото щракване върху„ Намери: “
Тук е избран низът, намерен в „подробности за пакета“.
Ще проверим опцията „Чувствителни към малки и големи букви“ и ще използваме низа за търсене като „Пореден номер“, запазвайки останалите комбинации, както е. Този път низът ще съвпада с точно „Пореден номер.”
Опитайте3 [Използвана комбинация от опции: „Пакетни байтове“ + „Тесен и широк“ + „Непроверен регистър на буквите“ + низ]
Низ за търсене: „Пореден номер“
Сега кликнете върху „Намери.”По-долу е екранната снимка за първото щракване върху„ Намери: ”
Както се очаква, търсенето на низове се случва в байтовете на пакета.
Заключение
Извършването на търсене в низ е много полезен метод, който може да се използва за намиране на необходимия низ в списъка с пакети на Wireshark, подробности за пакета или байтове на пакети. Доброто търсене улеснява анализа на големи файлове за улавяне на Wireshark.