So verwenden Sie Wireshark, um nach einer Zeichenfolge in Paketen zu suchen

In diesem Artikel lernen Sie, wie Sie mit Wireshark nach Strings in Paketen suchen. Der String -Suche sind mehrere Optionen zugeordnet. Bevor Sie in diesem Artikel weiter gehen, sollten Sie allgemeines Wissen über Wireshark Basic haben.

Annahmen

Eine WireShark -Erfassung ist in einem Zustand; entweder gerettet/angehalten oder leben. Wir können auch die String -Suche in Live -Capture durchführen, aber zum besseren und klaren Verständnis werden wir gespeicherte Capture verwenden, um dies zu tun.

Schritt 1: Open Saved Capture

Eröffnen Sie zunächst eine gespeicherte Erfassung in Wireshark. Es wird so aussehen:

Schritt 2: Suchoption öffnen

Jetzt brauchen wir eine Suchoption. Es gibt zwei Möglichkeiten, diese Option zu öffnen:

1. Verwenden Sie die Tastaturverknüpfung "Strg+F"
2. Klicken Sie auf "Suchen Sie ein Paket" entweder aus dem äußeren Symbol oder gehen Sie zu "Bearbeiten-> Paket suchen"

Schauen Sie sich die Screenshots an, um die zweite Option anzuzeigen.

Für die Option, die Sie verwenden, sieht das endgültige WireShark -Fenster wie der Screenshot unten aus:

Schritt 3: Etikettenoptionen

Im Suchfenster können wir mehrere Optionen (Dropdowns, Kontrollkästchen) sehen. Sie können diese Optionen mit Zahlen zum einfachen Verständnis kennzeichnen. Folgen Sie dem folgenden Screenshot für die Nummerierung:

Label1
Es gibt drei Abschnitte im Dropdown.

1. Paketliste
2. Paketdetails
3. Paket Bytes

Aus dem folgenden Screenshot können Sie sehen, wo sich diese drei Abschnitte in Wireshark befinden:

Abschnitt A/B/C auswählen bedeutet, dass die Zeichenfolge nur in diesem Abschnitt erfolgt.

Label2
Wir werden diese Option als Standard halten, da sie für die gemeinsame Suche am besten ist. Es wird empfohlen, diese Option als Standard zu behalten, es sei denn, sie ist erforderlich, um sie zu ändern.

Label3
Standardmäßig ist diese Option deaktiviert. Wenn „Fallempfindlichkeit“ überprüft wird, findet die String -Suche nur genaue Übereinstimmungen der durchsuchten Zeichenfolge. Wenn Sie beispielsweise nach "LinuxHint" suchen und Label3 überprüft wird.

Es wird empfohlen, diese Option deaktiviert zu halten, es sei denn, sie ist erforderlich, um sie zu ändern.

Label4
Diese Beschriftung verfügt über verschiedene Arten von Suchanfragen, z.Für die Zwecke dieses Artikels werden wir aus diesem Dropdown -Menü "String" auswählen.

Label5
Hier müssen wir die Suchzeichenfolge eingeben. Dies ist die Eingabe für die Suche.

Label6
Nachdem die Eingabe der Label5 -Eingabe angegeben wurde, klicken Sie auf die Schaltfläche „Suchen“, um die Suche auszulösen.

Label7
Wenn Sie auf "Abbrechen" klicken, werden die Suchfenster geschlossen und Sie müssen zurückkehren, um Schritt 2 zu folgen, um dieses Suchfenster zurückzurufen.

Schritt 4: Beispiele

Nachdem Sie die Optionen für die Suche verstanden haben, können wir einige Beispiele ausprobieren. Beachten Sie, dass wir die Farbregel deaktiviert haben, um das Suchpaket zu sehen, das wir klarer ausgewählt haben.

Try1 [Verwendete Kombination aus Optionen: "Paketliste" + "schmal und breit" + "Deaktiviertes Fallempfindlichkeit" + String]

Suchbegriff: "Len = 10"

Klicken Sie nun auf „Suchen."Unten finden Sie den Screenshot für den ersten Klick auf" Finden: "

Wie wir "Paketliste" ausgewählt haben, wurde die Suche in der Paketliste durchgeführt.

Als nächstes klicken wir erneut auf die Schaltfläche „Finden“, um die nächste Übereinstimmung zu sehen. Dies ist im Screenshot unten zu sehen. Wir haben keine Abschnitte markiert, damit Sie verstehen können, wie diese Suche passiert.

Lassen Sie uns mit der gleichen Kombination die Zeichenfolge durchsuchen: "LinuxHint" [Szenario nicht gefunden zu überprüfen].

In diesem Fall können Sie die gelb gefärbte Nachricht auf der Seite links von Wireshark sehen, und es wird kein Paket ausgewählt.

Versuchen Sie2 [Verwendete Kombination aus Optionen: "Paketdetails" + "Schmal und breit" + "Deaktiviertes Fall empfindlich" + String]

Suchbegriff: "Sequenznummer"

Jetzt klicken wir auf „Finden."Unten finden Sie den Screenshot für den ersten Klick auf" Finden: "

Hier wurde die in „Paketdetails“ gefundene Zeichenfolge ausgewählt.

Wir werden die Option „Fallempfindlich“ überprüfen und die Suchzeichenfolge als „Sequenznummer“ verwenden, wobei die anderen Kombinationen so bleiben. Diesmal stimmt die Zeichenfolge mit der exakten Sequenznummer überein.”

Try3 [Verwendete Kombination aus Optionen: "Paket Bytes" + "Schmal und breit" + "Deaktiviertes Fall empfindlich" + String]

Suchbegriff: "Sequenznummer"

Klicken Sie nun auf „Suchen."Unten finden Sie den Screenshot für den ersten Klick auf" Finden: "

Wie erwartet findet die String -Suche in den Paket -Bytes statt.

Abschluss

Eine String -Suche durchzuführen ist eine sehr nützliche Methode, mit der eine erforderliche Zeichenfolge in einer WireShark -Paketliste, Paketdetails oder Paket -Bytes ermittelt werden kann. Eine gute Suche erleichtert die Analyse großer WireShark -Capture -Dateien.