Wireshark

So verwenden Sie Wireshark, um in Paketen nach einer Zeichenfolge zu suchen

So verwenden Sie Wireshark, um in Paketen nach einer Zeichenfolge zu suchen

In diesem Artikel erfahren Sie, wie Sie mit Wireshark nach Strings in Paketen suchen. Es gibt mehrere Optionen im Zusammenhang mit String-Suchen. Bevor Sie mit diesem Artikel fortfahren, sollten Sie über allgemeine Kenntnisse von Wireshark Basic verfügen.

Annahmen

Ein Wireshark-Capture befindet sich in einem Zustand; entweder gespeichert/gestoppt oder live. Wir können auch eine String-Suche in der Live-Aufnahme durchführen, aber zum besseren und klareren Verständnis verwenden wir dafür gespeicherte Aufnahmen.

Schritt 1: Gespeicherte Aufnahme öffnen

Öffnen Sie zunächst ein gespeichertes Capture in Wireshark. Es wird so aussehen:

Schritt 2: Suchoption öffnen

Jetzt brauchen wir eine Suchoption. Es gibt zwei Möglichkeiten, diese Option zu öffnen:

  1. Verwenden Sie die Tastenkombination „Strg+F“
  2. Klicken Sie entweder über das äußere Symbol auf „Paket suchen“ oder gehen Sie zu „Bearbeiten->Paket suchen“

Sehen Sie sich die Screenshots an, um die zweite Option anzuzeigen.

Unabhängig davon, welche Option Sie verwenden, sieht das endgültige Wireshark-Fenster wie im folgenden Screenshot aus:

Schritt 3: Etikettenoptionen

Wir können mehrere Optionen (Dropdowns, Kontrollkästchen) im Suchfenster sehen. Sie können diese Optionen zum besseren Verständnis mit Zahlen beschriften. Folgen Sie dem Screenshot unten für die Nummerierung:

Label1
Es gibt drei Abschnitte in der Dropdown-Liste.

  1. Paketliste
  2. Paketdetails
  3. Paketbytes

Aus dem folgenden Screenshot können Sie sehen, wo sich diese drei Abschnitte in Wireshark befinden:

Die Auswahl von Abschnitt a/b/c bedeutet, dass die Zeichenfolge nur in diesem Abschnitt ausgeführt wird.

Label2
Wir behalten diese Option als Standard bei, da sie die beste für die allgemeine Suche ist. Es wird empfohlen, diese Option als Standard beizubehalten, es sei denn, sie muss geändert werden.

Label3
Standardmäßig ist diese Option deaktiviert. Wenn „Groß-/Kleinschreibung beachten“ aktiviert ist, findet die String-Suche nur exakte Übereinstimmungen des gesuchten Strings. Wenn Sie beispielsweise nach „Linuxhint“ suchen und Label3 aktiviert ist, wird in der Wireshark-Aufnahme nicht nach „LINUXHINT“ gesucht.

Es wird empfohlen, diese Option deaktiviert zu lassen, es sei denn, sie muss geändert werden.

Label4
Dieses Label enthält verschiedene Suchtypen, z. B. "Anzeigefilter", "Hex-Wert", "Zeichenfolge" und "Regulärer Ausdruck".” Für die Zwecke dieses Artikels wählen wir “String” aus diesem Dropdown-Menü.

Label5
Hier müssen wir den Suchbegriff eingeben. Dies ist die Eingabe für die Suche.

Label6
Nachdem die Eingabe von Label5 gegeben wurde, klicken Sie auf die Schaltfläche „Suchen“, um die Suche auszulösen.

Label7
Wenn Sie auf „Abbrechen“ klicken, werden die Suchfenster geschlossen und Sie müssen zu Schritt 2 zurückkehren, um dieses Suchfenster wiederherzustellen.

Schritt 4: Beispiele

Nachdem Sie nun die Suchoptionen verstanden haben, probieren wir einige Beispiele aus. Beachten Sie, dass wir die Farbregel deaktiviert haben, um das von uns ausgewählte Suchpaket klarer zu sehen.

Versuchen1 [Verwendete Optionskombination: „Paketliste“ + „Schmal & Breit“ + „Nicht geprüfte Groß-/Kleinschreibung“+ Zeichenfolge]

Suchbegriff: „Len = 10“

Klicken Sie nun auf „Suchen“.” Unten ist der Screenshot für den ersten Klick auf “Suchen:”

Da wir „Paketliste“ gewählt haben, wurde die Suche innerhalb der Paketliste durchgeführt.

Als nächstes klicken wir erneut auf die Schaltfläche "Suchen", um das nächste Spiel zu sehen. Dies ist im Screenshot unten zu sehen. Wir haben keine Abschnitte markiert, damit Sie verstehen können, wie diese Suche abläuft.

Lassen Sie uns mit derselben Kombination die Zeichenfolge durchsuchen: "Linuxhinweis" [Um das nicht gefundene Szenario zu überprüfen].

In diesem Fall sehen Sie die gelbe Nachricht unten links in Wireshark und es ist kein Paket ausgewählt.

Versuchen2 [Verwendete Optionskombination: „Paketdetails“ + „Schmal & Breit“ + „Nicht geprüfte Groß-/Kleinschreibung“+ Zeichenfolge]

Suchbegriff: "Sequenznummer"

Jetzt klicken wir auf "Suchen".” Unten ist der Screenshot für den ersten Klick auf “Suchen:”

Hier wurde der String aus „Paketdetails“ ausgewählt.

Wir werden die Option "Groß-/Kleinschreibung beachten" aktivieren und die Suchzeichenfolge als "Sequenznummer" verwenden, wobei die anderen Kombinationen unverändert bleiben. Diesmal stimmt die Zeichenfolge genau mit der „Sequenznummer“ überein.”

Versuchen3 [Verwendete Optionskombination: „Paketbytes“ + „Schmal & Breit“ + „Nicht geprüfte Groß-/Kleinschreibung“+ Zeichenfolge]

Suchbegriff: "Sequenznummer"

Klicken Sie nun auf „Suchen“.” Unten ist der Screenshot für den ersten Klick auf “Suchen:”

Wie erwartet findet die String-Suche innerhalb der Paketbytes statt.

Fazit

Das Durchführen einer String-Suche ist eine sehr nützliche Methode, die verwendet werden kann, um einen erforderlichen String in einer Wireshark-Paketliste, Paketdetails oder Paketbytes zu finden. Eine gute Suche macht die Analyse großer Wireshark-Capture-Dateien einfach.

Maus Top 5 ergonomische Computermaus-Produkte für Linux
Top 5 ergonomische Computermaus-Produkte für Linux
Verursacht längere Computernutzung Schmerzen im Handgelenk oder in den Fingern?? Leiden Sie unter steifen Gelenken und müssen ständig die Hände schütt...
Maus So ändern Sie die Maus- und Touchpad-Einstellungen mit Xinput in Linux
So ändern Sie die Maus- und Touchpad-Einstellungen mit Xinput in Linux
Die meisten Linux-Distributionen werden standardmäßig mit der Bibliothek „libinput“ ausgeliefert, um Eingabeereignisse auf einem System zu verarbeiten...
Maus Weisen Sie Ihre Maustasten mit der X-Mouse Button Control für verschiedene Software unterschiedlich zu
Weisen Sie Ihre Maustasten mit der X-Mouse Button Control für verschiedene Software unterschiedlich zu
Vielleicht benötigen Sie ein Tool, mit dem sich die Steuerung Ihrer Maus bei jeder von Ihnen verwendeten Anwendung ändern kann. In diesem Fall können ...