Como usar o Wireshark para procurar uma string em pacotes

Marlon Bernhard
Como usar o Wireshark para procurar uma string em pacotes

Neste artigo, você aprenderá a procurar strings em pacotes usando o Wireshark. Existem várias opções associadas a pesquisas de string. Antes de ir mais longe neste artigo, você deve ter um conhecimento geral do Wireshark Basic.

Premissas

Uma captura de Wireshark estar em um estado; salvo/parado ou viva. Podemos executar a pesquisa de strings em captura ao vivo, mas para um entendimento melhor e claro, usaremos a captura salva para fazer isso.

Etapa 1: Captura salva aberta

Primeiro, abra uma captura salva no Wireshark. Isso parecerá assim:

Etapa 2: Opção de pesquisa aberta

Agora, precisamos de uma opção de pesquisa. Há duas maneiras de abrir essa opção:

  1. Use o atalho do teclado "Ctrl+F"
  2. Clique em "Encontre um pacote" do ícone externo ou vá para "Editar-> Encontre o pacote"

Confira as capturas de tela para ver a segunda opção.

Qualquer que seja a opção que você usar, a janela final do Wireshark parecerá a captura de tela abaixo:

Etapa 3: Opções de etiqueta

Podemos ver várias opções (suspensos, caixa de seleção) dentro da janela de pesquisa. Você pode rotular essas opções com números para fácil entendimento. Siga a captura de tela abaixo para numerar:

Label1
Existem três seções no suspensão.

  1. Lista de pacotes
  2. Detalhes dos pacotes
  3. Bytes de pacotes

Na captura de tela abaixo, você pode ver onde essas três seções no Wireshark estão localizadas:

Selecionar seção A/B/C significa que a string será feita apenas nessa seção.

Label2
Manteremos essa opção como padrão, pois é o melhor para busca comum. Recomenda -se manter esta opção como padrão, a menos que seja necessário alterá -la.

Label3
Por padrão, esta opção está desmarcada. Se "Case Sensitive" for verificado, a pesquisa de strings encontrará apenas correspondências exatas da string pesquisada. Por exemplo, se você procurar "Linuxhint" e Label3 será verificado, isso não procurará "Linuxhint" no Wireshark Capture.

Recomenda -se manter esta opção desmarcada, a menos que seja necessária para alterá -la.

Label4
Este rótulo tem diferentes tipos de pesquisas, como "Display Filter", "Hex Value", "String" e "Expressão regular.”Para os fins deste artigo, selecionaremos“ String ”neste menu suspenso.

Label5
Aqui, precisamos entrar na string de pesquisa. Esta é a entrada para a pesquisa.

Label6
Depois que a entrada do rótulo5 for dada, clique no botão "Localizar" para acionar a pesquisa.

Label7
Se você clicar.

Etapa 4: Exemplos

Agora que você entendeu as opções de pesquisa, vamos experimentar alguns exemplos. Observe que desativamos a regra de coloração para ver o pacote de pesquisa que selecionamos mais claramente.

Try1 [Combinação de opções usadas: “Lista de pacotes” + “estreito e amplo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: “Len = 10”

Agora, clique em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Como selecionamos "Lista de pacotes", a pesquisa foi realizada dentro da lista de pacotes.

Em seguida, clicaremos no botão "Localizar" novamente para ver a próxima partida. Isso pode ser visto na captura de tela abaixo. Não marcamos nenhuma seção para permitir que você entenda como essa pesquisa acontece.

Com a mesma combinação, vamos pesquisar na string: “Linuxhint” [Para verificar o cenário não encontrado].

Nesse caso, você pode ver a mensagem de cor amarela no lado esquerdo do Wireshark, e nenhum pacote é selecionado.

Try2 [Combinação de opções usadas: “Detalhes do pacote” + “Estreito e largo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: "Número sequencial"

Agora, clicaremos em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Aqui, a string encontrada dentro de "Detalhes do pacote" foi selecionada.

Vamos verificar a opção "Sensível ao caso" e usaremos a sequência de pesquisa como um "número de sequência", mantendo as outras combinações como está. Desta vez, a string corresponderá ao exato “Número da sequência.”

Try3 [Combinação de opções usadas: “Bytes de pacotes” + “Estreito e largo” + “sensível de caixa não controlada” + string]

Seqüência de pesquisa: "Número sequencial"

Agora, clique em “Encontre.”Abaixo está a captura de tela para o primeiro clique em“ Localizar: ”

Como esperado, a pesquisa de string está acontecendo dentro dos bytes de pacotes.

Conclusão

Executar uma pesquisa de string é um método muito útil que pode ser usado para encontrar uma string necessária dentro de uma lista de pacotes Wireshark, detalhes de pacotes ou bytes de pacotes. Boa pesquisa facilita a análise de grandes arquivos de captura de Wireshark fáceis.

Git
Como forçar o checkout git?
Para forçar o check-out git, vá para o repositório raiz git> ls> Iniciar> Git Add> Git Status> e Git...
Orlando Green
Comandos Linux
Comandos iperf3
Tutorial prático sobre os comandos básicos para iperf3, como instalá -lo no Linux e como executar o ...
Bryant Rowe Sr.
Força de vendas
Salesforce Apex - mapa
Tutorial sobre o mapa do Salesforce Apex e seus métodos usados ​​em cenários de gatilho para carrega...
Salvatore Watsica
Pitão
Filtrar nan pandas
Benny Hilll DDS
Pitão
Como descompactar arquivos em python
Pedro Macejkovic
JavaScript
Como funciona o OnClick Event em JavaScript
Ed Treutel IV
Docker
Quais são as etapas para implantar uma imagem nginx usando o docker?
Evan Mueller
Java
Como converter um mapa em uma string em java?
Rickey Greenholt
Powershell
Como usar o cmdlet de movimento em PowerShell?
Pedro Macejkovic
Sqlite
Como baixar e instalar ferramentas sqlite?
Ed Treutel IV
Mysql Mariadb
Como encontrar um personagem específico em mysql?
Carl Hintz DDS
C ++
O que é endereço de memória em C ++ e como encontrá -lo?
Bryant Rowe Sr.
C nítido
O que o operador de mais equal significa em C#?
Joey Bartoletti