Como usar o Wireshark para procurar uma string em pacotes

Marlon Bernhard
Como usar o Wireshark para procurar uma string em pacotes

Neste artigo, você aprenderá a procurar strings em pacotes usando o Wireshark. Existem várias opções associadas a pesquisas de string. Antes de ir mais longe neste artigo, você deve ter um conhecimento geral do Wireshark Basic.

Premissas

Uma captura de Wireshark estar em um estado; salvo/parado ou viva. Podemos executar a pesquisa de strings em captura ao vivo, mas para um entendimento melhor e claro, usaremos a captura salva para fazer isso.

Etapa 1: Captura salva aberta

Primeiro, abra uma captura salva no Wireshark. Isso parecerá assim:

Etapa 2: Opção de pesquisa aberta

Agora, precisamos de uma opção de pesquisa. Há duas maneiras de abrir essa opção:

  1. Use o atalho do teclado "Ctrl+F"
  2. Clique em "Encontre um pacote" do ícone externo ou vá para "Editar-> Encontre o pacote"

Confira as capturas de tela para ver a segunda opção.

Qualquer que seja a opção que você usar, a janela final do Wireshark parecerá a captura de tela abaixo:

Etapa 3: Opções de etiqueta

Podemos ver várias opções (suspensos, caixa de seleção) dentro da janela de pesquisa. Você pode rotular essas opções com números para fácil entendimento. Siga a captura de tela abaixo para numerar:

Label1
Existem três seções no suspensão.

  1. Lista de pacotes
  2. Detalhes dos pacotes
  3. Bytes de pacotes

Na captura de tela abaixo, você pode ver onde essas três seções no Wireshark estão localizadas:

Selecionar seção A/B/C significa que a string será feita apenas nessa seção.

Label2
Manteremos essa opção como padrão, pois é o melhor para busca comum. Recomenda -se manter esta opção como padrão, a menos que seja necessário alterá -la.

Label3
Por padrão, esta opção está desmarcada. Se "Case Sensitive" for verificado, a pesquisa de strings encontrará apenas correspondências exatas da string pesquisada. Por exemplo, se você procurar "Linuxhint" e Label3 será verificado, isso não procurará "Linuxhint" no Wireshark Capture.

Recomenda -se manter esta opção desmarcada, a menos que seja necessária para alterá -la.

Label4
Este rótulo tem diferentes tipos de pesquisas, como "Display Filter", "Hex Value", "String" e "Expressão regular.”Para os fins deste artigo, selecionaremos“ String ”neste menu suspenso.

Label5
Aqui, precisamos entrar na string de pesquisa. Esta é a entrada para a pesquisa.

Label6
Depois que a entrada do rótulo5 for dada, clique no botão "Localizar" para acionar a pesquisa.

Label7
Se você clicar.

Etapa 4: Exemplos

Agora que você entendeu as opções de pesquisa, vamos experimentar alguns exemplos. Observe que desativamos a regra de coloração para ver o pacote de pesquisa que selecionamos mais claramente.

Try1 [Combinação de opções usadas: “Lista de pacotes” + “estreito e amplo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: “Len = 10”

Agora, clique em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Como selecionamos "Lista de pacotes", a pesquisa foi realizada dentro da lista de pacotes.

Em seguida, clicaremos no botão "Localizar" novamente para ver a próxima partida. Isso pode ser visto na captura de tela abaixo. Não marcamos nenhuma seção para permitir que você entenda como essa pesquisa acontece.

Com a mesma combinação, vamos pesquisar na string: “Linuxhint” [Para verificar o cenário não encontrado].

Nesse caso, você pode ver a mensagem de cor amarela no lado esquerdo do Wireshark, e nenhum pacote é selecionado.

Try2 [Combinação de opções usadas: “Detalhes do pacote” + “Estreito e largo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: "Número sequencial"

Agora, clicaremos em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Aqui, a string encontrada dentro de "Detalhes do pacote" foi selecionada.

Vamos verificar a opção "Sensível ao caso" e usaremos a sequência de pesquisa como um "número de sequência", mantendo as outras combinações como está. Desta vez, a string corresponderá ao exato “Número da sequência.”

Try3 [Combinação de opções usadas: “Bytes de pacotes” + “Estreito e largo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: "Número sequencial"

Agora, clique em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Como esperado, a pesquisa de string está acontecendo dentro dos bytes de pacotes.

Conclusão

Executar uma pesquisa de string é um método muito útil que pode ser usado para encontrar uma string necessária dentro de uma lista de pacotes Wireshark, detalhes de pacotes ou bytes de pacotes. Boa pesquisa facilita a análise de grandes arquivos de captura de Wireshark fáceis.

Banco de dados Oracle
Como cache a sequência Oracle para melhorar os recursos do dicionário de dados?
As opções cache, noorder e mantenha podem ser utilizadas para armazenar em cache a sequência do Orac...
Shaun Bogan
php
Como usar a função php getDate
O getDate () no PHP retorna uma matriz que contém todos os detalhes da hora atual, incluindo uma des...
Orlando Green
php
Como usar o Substr_replace Função no PHP
No PHP, substr_replace () é uma função interna usada para substituir uma parte de uma string por out...
Orlando Green
Pitão
Texto em negrito de matplotlib
Rickey Greenholt
html
Como usar a propriedade CSS Flex-Grow?
Ed Treutel IV
Docker
Docker Motor Plugins
Benny Hilll DDS
Docker
Quais são as etapas para implantar uma imagem nginx usando o docker?
Evan Mueller
Golang
O que é herança em Golang
Bryant Rowe Sr.
Banco de dados Oracle
O que é o Oracle SQL*Plus e para que é usado?
Marlon Bernhard
Oracle Linux
Quais são as diferenças entre o Oracle Linux e o Ubuntu Linux?
Marlon Bernhard
Banco de dados Oracle
Conectividade do banco de dados Java com Oracle
Joey Bartoletti
AWS
Qual é a diferença entre a AWS Aurora e Mysql?
Tommie Konopelski
Docker
Como o Docker difere do desktop do Docker?
Shaun Bogan