Wireshark

Como usar o Wireshark para pesquisar uma string em pacotes

Como usar o Wireshark para pesquisar uma string em pacotes

Neste artigo, você aprenderá a pesquisar strings em pacotes usando o Wireshark. Existem várias opções associadas às pesquisas de string. Antes de prosseguir neste artigo, você deve ter um conhecimento geral do Wireshark Basic.

Premissas

Uma captura do Wireshark em um estado; salvo / parado ou ao vivo. Podemos realizar a pesquisa de string na captura ao vivo também, mas para uma compreensão melhor e mais clara, usaremos a captura salva para fazer isso.

Etapa 1: Abra a captura salva

Primeiro, abra uma captura salva no Wireshark. Isso parecerá assim:

Etapa 2: Abra a opção de pesquisa

Agora, precisamos de uma opção de pesquisa. Existem duas maneiras de abrir essa opção:

  1. Use o atalho de teclado “Ctrl + F”
  2. Clique em “Encontrar um pacote” no ícone externo ou vá para “Editar-> Encontrar Pacote”

Confira as capturas de tela para ver a segunda opção.

Qualquer que seja a opção usada, a janela final do Wireshark será semelhante à imagem abaixo:

Etapa 3: opções de etiqueta

Podemos ver várias opções (menus suspensos, caixa de seleção) dentro da janela de pesquisa. Você pode rotular essas opções com números para facilitar o entendimento. Siga a captura de tela abaixo para numeração:

Label1
Existem três seções no menu suspenso.

  1. Lista de pacotes
  2. Detalhes do pacote
  3. Bytes de pacote

Na captura de tela abaixo, você pode ver onde essas três seções no Wireshark estão localizadas:

Selecionar a seção a / b / c significa que a string será feita apenas nessa seção.

Label2
Manteremos esta opção como padrão, pois é a melhor para pesquisas comuns. Recomenda-se manter esta opção como padrão, a menos que seja necessário alterá-la.

Label3
Por padrão, esta opção está desmarcada. Se a opção “Sensível a maiúsculas e minúsculas” estiver marcada, a pesquisa de string só encontrará correspondências exatas da string pesquisada. Por exemplo, se você pesquisar por “Linuxhint” e Label3 estiver marcado, então isso não irá pesquisar por “LINUXHINT” na captura do Wireshark.

Recomenda-se manter esta opção desmarcada a menos que seja necessário alterá-la.

Label4
Este rótulo tem diferentes tipos de pesquisas, como "Filtro de exibição", "Valor hexadecimal", "String" e "Expressão regular.”Para os fins deste artigo, selecionaremos“ String ”neste menu suspenso.

Label5
Aqui, precisamos inserir a string de pesquisa. Esta é a entrada para a pesquisa.

Label6
Depois que a entrada Label5 for fornecida, clique no botão "Encontrar" para acionar a pesquisa.

Label7
Se você clicar em “Cancelar”, as janelas de pesquisa serão fechadas e você precisará retornar para seguir a Etapa 2 para obter esta janela de pesquisa de volta.

Etapa 4: Exemplos

Agora que você entendeu as opções de pesquisa, vamos experimentar alguns exemplos. Observe que desabilitamos a regra de coloração para ver o pacote de pesquisa que selecionamos mais claramente.

Try1 [Combinação de opções usada: “Packet List” + “Narrow & Wide” + “Unchecked Case Sensitive” + String]

Seqüência de pesquisa: “Len = 10”

Agora, clique em “Encontrar.”Abaixo está a captura de tela para o primeiro clique em“ Encontrar: ”

Como selecionamos "Lista de pacotes", a pesquisa foi realizada dentro da lista de pacotes.

Em seguida, clicaremos no botão “Encontrar” novamente para ver a próxima correspondência. Isso pode ser visto na imagem abaixo. Não marcamos nenhuma seção para permitir que você entenda como essa pesquisa acontece.

Com a mesma combinação, vamos pesquisar a string: “Linuxhint” [Para verificar o cenário não encontrado].

Neste caso, você pode ver a mensagem amarela no lado inferior esquerdo do Wireshark, e nenhum pacote é selecionado.

Try2 [Combinação de opções usada: “Detalhes do pacote” + “Narrow & Wide” + “Unchecked Case Sensitive” + String]

Seqüência de pesquisa: "Número sequencial"

Agora, clicaremos em “Encontrar.”Abaixo está a captura de tela para o primeiro clique em“ Encontrar: ”

Aqui, a string encontrada dentro de "detalhes do pacote" foi selecionada.

Iremos verificar a opção “Sensível a maiúsculas e minúsculas” e usar a string de pesquisa como um “Número de sequência”, mantendo as outras combinações como estão. Desta vez, a string irá corresponder exatamente ao “Número de Sequência.”

Try3 [Combinação de opções usada: “Bytes de pacote” + “Narrow & Wide” + “Unchecked Case Sensitive” + String]

Seqüência de pesquisa: "Número sequencial"

Agora, clique em “Encontrar.”Abaixo está a captura de tela para o primeiro clique em“ Encontrar: ”

Como esperado, a pesquisa de string está acontecendo dentro dos bytes do pacote.

Conclusão

Realizar uma pesquisa de string é um método muito útil que pode ser usado para encontrar uma string necessária dentro de uma lista de pacotes Wireshark, detalhes de pacote ou bytes de pacote. Uma boa pesquisa facilita a análise de grandes arquivos de captura do Wireshark.

Jogos Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Mecanismos de jogos gratuitos e de código aberto para o desenvolvimento de jogos Linux
Este artigo cobrirá uma lista de mecanismos de jogo gratuitos e de código aberto que podem ser usados ​​para desenvolver jogos 2D e 3D no Linux. Exist...
Jogos Tutorial de Shadow of the Tomb Raider para Linux
Tutorial de Shadow of the Tomb Raider para Linux
Shadow of the Tomb Raider é a décima segunda adição à série Tomb Raider - uma franquia de jogos de ação e aventura criada pela Eidos Montreal. O jogo ...
Jogos Como aumentar o FPS no Linux?
Como aumentar o FPS no Linux?
FPS significa Quadros por segundo. A tarefa do FPS é medir a taxa de quadros em reproduções de vídeo ou desempenho de jogos. Em palavras simples, o nú...