Wireshark

Wireshark gebruiken om naar een string in pakketten te zoeken

Wireshark gebruiken om naar een string in pakketten te zoeken

In dit artikel leert u hoe u met Wireshark naar strings in pakketten kunt zoeken. Er zijn meerdere opties gekoppeld aan het zoeken naar strings. Voordat u verder gaat in dit artikel, moet u een algemene kennis hebben van Wireshark Basic.

Veronderstellingen

Een Wireshark-opname bevindt zich in één staat; ofwel opgeslagen/gestopt of live. We kunnen ook string-zoekopdrachten uitvoeren in live-opname, maar voor een beter en duidelijk begrip zullen we hiervoor opgeslagen opname gebruiken.

Stap 1: Opgeslagen opname openen

Open eerst een opgeslagen opname in Wireshark. Het zal er als volgt uitzien:

Stap 2: Open zoekoptie

Nu hebben we een zoekoptie nodig. Er zijn twee manieren om die optie te openen:

  1. Gebruik de sneltoets "Ctrl+F"
  2. Klik op "Een pakket zoeken" vanaf het externe pictogram of ga naar "Bewerken-> Pakket zoeken"

Bekijk de screenshots om de tweede optie te bekijken.

Welke optie u ook gebruikt, het uiteindelijke Wireshark-venster ziet er uit als de onderstaande schermafbeelding:

Stap 3: Labelopties

We kunnen meerdere opties (dropdowns, checkbox) zien in het zoekvenster. U kunt deze opties labelen met nummers om ze gemakkelijk te begrijpen. Volg de onderstaande schermafbeelding voor de nummering:

Label1
Er zijn drie secties in de vervolgkeuzelijst:.

  1. Pakketlijst
  2. Pakketdetails
  3. Pakketbytes

In de onderstaande schermafbeelding kunt u zien waar deze drie secties in Wireshark zich bevinden:

Als u sectie a/b/c selecteert, betekent dit dat de tekenreeks alleen in die sectie wordt uitgevoerd.

Label2
We zullen deze optie als standaard behouden, omdat dit de beste is voor algemeen zoeken. Het wordt aanbevolen om deze optie als standaard te behouden, tenzij het nodig is om deze te wijzigen.

Label3
Deze optie is standaard niet aangevinkt. Als "Hoofdlettergevoelig" is aangevinkt, zal het zoeken naar tekenreeksen alleen exacte overeenkomsten van de gezochte tekenreeks vinden. Als u bijvoorbeeld zoekt naar "Linuxhint" en Label3 is aangevinkt, wordt er niet gezocht naar "LINUXHINT" in Wireshark-opname.

Het wordt aanbevolen om deze optie niet aangevinkt te laten, tenzij het nodig is om deze te wijzigen.

Label4
Dit label heeft verschillende soorten zoekopdrachten, zoals 'Weergavefilter', 'Hex-waarde', 'Tekenreeks' en 'Reguliere expressie.Voor de doeleinden van dit artikel zullen we "String" selecteren in dit vervolgkeuzemenu.

label5
Hier moeten we de zoekreeks invoeren. Dit is de invoer voor de zoekopdracht.

Etiket6
Nadat de Label5-invoer is gegeven, klikt u op de knop "Zoeken" om de zoekopdracht te starten.

Label7
Als u op "Annuleren" klikt, worden de zoekvensters gesloten en moet u terugkeren om stap 2 te volgen om dit zoekvenster terug te krijgen.

Stap 4: Voorbeelden

Nu u de opties voor zoeken begrijpt, gaan we enkele voorbeelden uitproberen. Merk op dat we de kleurregel hebben uitgeschakeld om het door ons geselecteerde zoekpakket duidelijker te zien.

Probeer1 [Gebruikte combinatie van opties: "Pakketlijst" + "Smal en breed" + "Niet-aangevinkt hoofdlettergevoelig" + tekenreeks]

Zoekreeks: “Len=10”

Klik nu op "Zoeken".” Hieronder is de schermafbeelding voor de eerste klik op “Zoeken:”

Omdat we "Pakketlijst" hebben geselecteerd, is de zoekopdracht uitgevoerd in de pakketlijst.

Vervolgens klikken we nogmaals op de knop "Zoeken" om de volgende wedstrijd te zien. Dit is te zien in de onderstaande schermafbeelding. We hebben geen secties gemarkeerd om u te laten begrijpen hoe deze zoekopdracht plaatsvindt.

Laten we met dezelfde combinatie de string doorzoeken: “Linuxhint” [Om niet gevonden scenario te controleren].

In dit geval ziet u het geelgekleurde bericht linksonder in Wireshark en is er geen pakket geselecteerd.

Probeer2 [Gebruikte combinatie van opties: “Pakketdetails” + "Smal en breed" + "Niet-aangevinkt hoofdlettergevoelig" + tekenreeks]

Zoekreeks: "Volgnummer"

Nu klikken we op "Zoeken".Hieronder vindt u de schermafbeelding voor de eerste klik op "Zoeken:"

Hier werd de string die in "pakketdetails" werd gevonden, geselecteerd.

We zullen de optie "Hoofdlettergevoelig" aanvinken en de zoekreeks gebruiken als een "Volgnummer", waarbij de andere combinaties ongewijzigd blijven. Deze keer komt de tekenreeks overeen met het exacte "Volgnummer".”

Probeer3 [Gebruikte combinatie van opties: "Pakketbytes" + "Smal en breed" + "Niet-aangevinkt hoofdlettergevoelig" + tekenreeks]

Zoekreeks: "Volgnummer"

Klik nu op "Zoeken".” Hieronder is de schermafbeelding voor de eerste klik op “Zoeken:”

Zoals verwacht, vindt het zoeken naar strings plaats binnen de pakketbytes.

Conclusie

Het uitvoeren van een string-zoekopdracht is een zeer nuttige methode die kan worden gebruikt om een ​​vereiste string in een Wireshark-pakketlijst, pakketdetails of pakketbytes te vinden. Goed zoeken maakt analyse van grote Wireshark-opnamebestanden eenvoudig.

Spellen Beste Linux-distributies voor gaming in 2021
Beste Linux-distributies voor gaming in 2021
Het Linux-besturingssysteem heeft een lange weg afgelegd van zijn oorspronkelijke, eenvoudige, servergebaseerde uiterlijk. Dit besturingssysteem is de...
Spellen Hoe u uw gamesessie op Linux kunt vastleggen en streamen
Hoe u uw gamesessie op Linux kunt vastleggen en streamen
In het verleden werd het spelen van games alleen als een hobby beschouwd, maar met de tijd zag de game-industrie een enorme groei in termen van techno...
Spellen Beste spellen om te spelen met handtracking
Beste spellen om te spelen met handtracking
Oculus Quest introduceerde onlangs het geweldige idee van handtracking zonder controllers. Met een steeds toenemend aantal games en activiteiten die f...