Come utilizzare Wireshark per cercare una stringa in pacchetti
In questo articolo, imparerai come cercare stringhe in pacchetti usando Wireshark. Esistono più opzioni associate alle ricerche di stringa. Prima di andare oltre in questo articolo, dovresti avere una conoscenza generale di Wireshark Basic.
Ipotesi
Una cattura di Wireshark è in uno stato; o salvato/fermato o vivi. Possiamo eseguire la ricerca di stringhe anche in Live Capture, ma per una comprensione migliore e chiara useremo l'acquisizione salvata per farlo.
Passaggio 1: Apri cattura salvata
Innanzitutto, apri una cattura salvata in Wireshark. Sembrerà così:
Passaggio 2: apri l'opzione di ricerca
Ora abbiamo bisogno di un'opzione di ricerca. Ci sono due modi per aprire questa opzione:
- Utilizzare il collegamento della tastiera "Ctrl+F"
- Fai clic su "Trova un pacchetto" dall'icona esterna o vai su "EDIT-> Trova pacchetto"
Dai un'occhiata agli screenshot per visualizzare la seconda opzione.
Qualunque opzione tu usi, la finestra WireShark finale sembrerà lo screenshot qui sotto:
Passaggio 3: opzioni dell'etichetta
Possiamo vedere più opzioni (discesa, casella di controllo) all'interno della finestra di ricerca. Puoi etichettare queste opzioni con numeri per una facile comprensione. Segui lo screenshot di seguito per la numerazione:
Etichetta1
Ci sono tre sezioni nel discesa.
- Elenco dei pacchetti
- Dettagli del pacchetto
- Byte di pacchetto
Dallo screenshot seguente, puoi vedere dove si trovano queste tre sezioni di Wireshark:
Selezione della sezione A/B/C significa che la stringa verrà eseguita solo in quella sezione.
Etichetta2
Manteneremo questa opzione come predefinito, in quanto è la migliore per la ricerca comune. Si consiglia di mantenere questa opzione come impostazione predefinita a meno che non sia necessaria per cambiarla.
Etichetta3
Per impostazione predefinita, questa opzione non è controllata. Se viene selezionato "Case Sensitive", la ricerca della stringa troverà solo corrispondenze esatte della stringa cercata. Ad esempio, se si cerca "LinuxHint" e l'etichetta3 viene verificata, questo non cercherà "LinuxHint" in Wireshark Capture.
Si consiglia di mantenere questa opzione non controllata a meno che non sia necessaria per cambiarla.
Etichetta4
Questa etichetta ha diversi tipi di ricerche, come "Visualizza filtro", "valore esadecimale", "stringa" e "espressione regolare."Ai fini di questo articolo, selezioneremo" String "da questo menu a discesa.
Etichetta5
Qui, dobbiamo inserire la stringa di ricerca. Questo è l'input per la ricerca.
Etichetta6
Dopo aver fornito l'ingresso di etichetta5, fare clic sul pulsante "Trova" per attivare la ricerca.
Etichetta7
Se si fa clic su "Annulla", si chiuderanno le finestre di ricerca e devi tornare per seguire il passaggio 2 per riavere questa finestra di ricerca.
Passaggio 4: esempi
Ora che hai capito le opzioni per la ricerca, lasciaci provare alcuni esempi. Si noti che abbiamo disabilitato la regola da colorare per vedere il pacchetto di ricerca che abbiamo selezionato più chiaramente.
Try1 [Combinazione di opzioni utilizzata: "Elenco dei pacchetti" + "stretto e largo" + "Case sensibile non controllata" + String]
Stringa di ricerca: "Len = 10"
Ora fai clic su “Trova."Di seguito è riportato lo screenshot per il primo clic su" Trova: "
Come abbiamo selezionato "Elenco dei pacchetti", la ricerca è stata eseguita all'interno dell'elenco dei pacchetti.
Successivamente, faremo di nuovo clic sul pulsante "Trova" per vedere la partita successiva. Questo può essere visto nello screenshot qui sotto. Non abbiamo segnato alcuna sezione per permetterti di capire come accade questa ricerca.
Con la stessa combinazione, cerchiamo la stringa: "Linuxhint" [Per controllare lo scenario non trovato].
In questo caso, puoi vedere il messaggio di colore giallo sul lato del fondo sinistro di Wireshark e non viene selezionato alcun pacchetto.
Try2 [Combinazione di opzioni utilizzata: "Dettagli dei pacchetti" + "Stretto e largo" + "Case Sensibile non controllata" + String]
Stringa di ricerca: "Sequenza di numeri"
Ora clicmeremo “Trova."Di seguito è riportato lo screenshot per il primo clic su" Trova: "
Qui è stata selezionata la stringa trovata all'interno di "Dettagli del pacchetto".
Controlleremo l'opzione "Case Sensitive" e useremo la stringa di ricerca come "numero di sequenza", mantenendo le altre combinazioni così come. Questa volta, la stringa corrisponderà al numero esatto di "sequenza."
Try3 [Combinazione di opzioni utilizzata: "Byte pacchetti" + "Stretto e largo" + "Case Sensibile non controllata" + String]
Stringa di ricerca: "Sequenza di numeri"
Ora fai clic su “Trova."Di seguito è riportato lo screenshot per il primo clic su" Trova: "
Come previsto, la ricerca di stringa sta avvenendo all'interno dei byte di pacchetto.
Conclusione
L'esecuzione di una ricerca di stringa è un metodo molto utile che può essere utilizzato per trovare una stringa richiesta all'interno di un elenco di pacchetti Wireshark, dettagli del pacchetto o byte di pacchetto. Una buona ricerca semplifica l'analisi dei file di acquisizione Wireshark di grandi dimensioni.