Šajā rakstā jūs uzzināsiet, kā meklēt virknes paketēs, izmantojot Wireshark. Ar virkņu meklējumiem ir saistītas vairākas iespējas. Pirms iet tālāk šajā rakstā, jums vajadzētu būt vispārīgām zināšanām par Wireshark Basic.
Pieņēmumi
Wireshark uztveršana ir vienā stāvoklī; vai nu saglabāts / apturēts, vai dzīvo. Mēs varam veikt virkņu meklēšanu arī tiešajā tveršanā, taču labākai un skaidrākai izpratnei mēs to izmantosim saglabāto tveršanu.
1. darbība: atveriet Saglabātā tveršana
Vispirms atveriet saglabātu uztveršanu Wireshark. Tas izskatīsies šādi:
2. darbība: atveriet meklēšanas opciju
Tagad mums ir nepieciešama meklēšanas opcija. Ir divi veidi, kā atvērt šo opciju:
- Izmantojiet īsinājumtaustiņu “Ctrl + F”
- Vai nu no ārpuses ikonas noklikšķiniet uz “Atrast paketi”, vai dodieties uz “Rediģēt-> Atrast paketi”
Pārbaudiet ekrānuzņēmumus, lai skatītu otro iespēju.
Neatkarīgi no izmantotās opcijas, pēdējais Wireshark logs izskatās kā zemāk redzamais ekrānuzņēmums:
3. solis: etiķešu opcijas
Meklēšanas logā mēs varam redzēt vairākas iespējas (nolaižamās izvēlnes, izvēles rūtiņas). Lai viegli saprastu, šīs opcijas varat apzīmēt ar numuriem. Sekojiet zemāk esošajam ekrānuzņēmumam, lai numurētu:
1. etiķete
Nolaižamajā izvēlnē ir trīs sadaļas.
- Pakešu saraksts
- Iepakojuma detaļas
- Pakešu baiti
Zemāk redzamajā ekrānuzņēmumā varat redzēt, kur atrodas šīs trīs Wireshark sadaļas:
Sadaļas a / b / c izvēle nozīmē, ka virkne tiks veikta tikai šajā sadaļā.
2. etiķete
Mēs saglabāsim šo opciju kā noklusējumu, jo tā ir vislabākā kopīgai meklēšanai. Šo opciju ieteicams saglabāt kā noklusējumu, ja vien nav nepieciešams to mainīt.
3. etiķete
Pēc noklusējuma šī opcija nav atzīmēta. Ja ir atzīmēta opcija “reģistrjutīgi”, virknes meklēšana atradīs tikai precīzas meklētās virknes atbilstības. Piemēram, ja meklējat “Linuxhint” un ir atzīmēta opcija Label3, Wireshark uztveršanā tas netiks meklēts pēc “LINUXHINT”.
Ieteicams šo opciju neatzīmēt, ja vien nav nepieciešams to mainīt.
4. etiķete
Šim apzīmējumam ir dažādi meklēšanas vaicājumi, piemēram, “Displeja filtrs”, “Hex vērtība”, “Virkne” un “Regulārā izteiksme.Šajā rakstā šajā nolaižamajā izvēlnē atlasīsim “String”.
5. etiķete
Šeit mums jāievada meklēšanas virkne. Tas ir meklēšanas ievade.
6. etiķete
Pēc Label5 ievades ievadīšanas noklikšķiniet uz pogas Atrast, lai aktivizētu meklēšanu.
7. etiķete
Ja noklikšķināsit uz Atcelt, meklēšanas logi tiks aizvērti, un jums jāatgriežas, lai izpildītu 2. darbību, lai atgrieztu šo meklēšanas logu.
4. solis: piemēri
Tagad, kad esat sapratis meklēšanas iespējas, izmēģiniet dažus piemērus. Ņemiet vērā, ka esam atspējojuši krāsošanas kārtulu, lai skaidrāk redzētu atlasīto meklēšanas paketi.
Izmēģiniet1 [Izmantotā opciju kombinācija: “Pakešu saraksts” + “Šaurs un plats” + “Pārbaudāms mazo un mazo burtu reģistrs” + virkne]
Meklēšanas virkne: “Len = 10”
Tagad noklikšķiniet uz “Atrast.Tālāk ir redzams ekrānuzņēmums par pirmo klikšķi uz “Atrast:”
Tā kā mēs esam izvēlējušies “pakešu sarakstu”, meklēšana tika veikta pakešu sarakstā.
Pēc tam mēs vēlreiz noklikšķināsim uz pogas “Atrast”, lai redzētu nākamo spēli. To var redzēt zemāk redzamajā ekrānuzņēmumā. Mēs neatzīmējām nevienu sadaļu, lai jūs varētu saprast, kā notiek šī meklēšana.
Izmantojot to pašu kombināciju, meklēsim virkni: “Linuxhint” [Lai pārbaudītu scenāriju, kas nav atrasts].
Šajā gadījumā dzeltenās krāsas ziņojumu var redzēt Wireshark kreisajā apakšējā pusē, un nav atlasīta neviena pakete.
Izmēģiniet2 [Izmantotā opciju kombinācija: “Informācija par pakešu” + “Šaurs un plats” + “neatzīmēts reģistrjutīgs reģistrs” + virkne]
Meklēšanas virkne: “Secības numurs”
Tagad mēs noklikšķināsim uz “Atrast.Tālāk ir redzams ekrānuzņēmums par pirmo klikšķi uz “Atrast:”
Šeit tika atlasīta virkne, kas atrodama sadaļā “pakešu detaļas”.
Mēs pārbaudīsim opciju “Reģistrjutīgi” un meklēšanas virkni izmantosim kā “Secības numuru”, saglabājot citas kombinācijas, kā tas ir. Šoreiz virkne sakritīs ar precīzu “Secības numuru.”
Izmēģiniet3 [Izmantotā opciju kombinācija: “Pakešu baiti” + “Šaurs un plats” + “neatzīmēts reģistrjutīgs” + virkne]
Meklēšanas virkne: “Secības numurs”
Tagad noklikšķiniet uz “Atrast.Tālāk ir redzams ekrānuzņēmums par pirmo klikšķi uz “Atrast:”
Kā paredzēts, virknes meklēšana notiek pakešu baitu iekšpusē.
Secinājums
Virknes meklēšanas veikšana ir ļoti noderīga metode, kuru var izmantot, lai atrastu nepieciešamo virkni Wireshark pakešu sarakstā, pakešu detaļās vai pakešu baitos. Laba meklēšana atvieglo lielu Wireshark uztveršanas failu analīzi.