Comment utiliser Wireshark pour rechercher une chaîne dans des paquets

Dans cet article, vous apprendrez à rechercher des chaînes dans des paquets à l'aide de Wireshark. Il existe plusieurs options associées aux recherches de chaînes. Avant d'aller plus loin dans cet article, vous devriez avoir une connaissance générale de Wireshark Basic.

Hypothèses

Une capture de Wireshark est dans un seul état; soit sauvé / arrêté, soit vivre. Nous pouvons également effectuer une recherche de cordes dans la capture en direct, mais pour une meilleure compréhension claire, nous utiliserons la capture enregistrée pour le faire.

Étape 1: Capture enregistrée ouverte

Tout d'abord, ouvrez une capture enregistrée à Wireshark. Il ressemblera à ceci:

Étape 2: Ouvrez l'option de recherche

Maintenant, nous avons besoin d'une option de recherche. Il y a deux façons d'ouvrir cette option:

1. Utilisez le raccourci clavier «Ctrl + F»
2. Cliquez sur «Rechercher un paquet» soit à partir de l'icône extérieure, soit accéder à «Edit-> Find Packet»

Consultez les captures d'écran pour afficher la deuxième option.

Quelle que soit l'option que vous utilisez, la fenêtre Final Wireshark ressemblera à la capture d'écran ci-dessous:

Étape 3: Options d'étiquette

Nous pouvons voir plusieurs options (déroutes, boîte à cocher) à l'intérieur de la fenêtre de recherche. Vous pouvez étiqueter ces options avec des chiffres pour une compréhension facile. Suivez la capture d'écran ci-dessous pour la numérotation:

Étiquette1
Il y a trois sections dans la liste déroulante.

1. Liste de paquets
2. Détails des paquets
3. Octets de paquets

À partir de la capture d'écran ci-dessous, vous pouvez voir où se trouvent ces trois sections à Wireshark:

La sélection de la section A / B / C signifie que la chaîne sera effectuée dans cette section uniquement.

Label2
Nous conserverons cette option par défaut, car c'est le meilleur pour la recherche courante. Il est recommandé de conserver cette option comme par défaut, sauf si elle est nécessaire de la modifier.

Label3
Par défaut, cette option n'est pas contrôlée. Si la «casse sensible» est vérifiée, la recherche de chaîne ne trouvera que des correspondances exactes de la chaîne recherchée. Par exemple, si vous recherchez «Linuxhint» et que Label3 est vérifié, cela ne recherchera pas «Linuxhint» dans Wireshark Capture.

Il est recommandé de garder cette option sans contrôle à moins qu'elle ne soit nécessaire de la modifier.

Label4
Cette étiquette a différents types de recherches, telles que «Filtre d'affichage», «valeur hexagonale», «chaîne» et «Expression régulière."Aux fins de cet article, nous sélectionnerons" String "dans ce menu déroulant.

Label5
Ici, nous devons entrer la chaîne de recherche. Ceci est l'entrée de la recherche.

Label6
Une fois l'entrée Label5 donnée, cliquez sur le bouton «Rechercher» pour déclencher la recherche.

Label7
Si vous cliquez sur «Annuler», alors les fenêtres de recherche se fermeront et que vous devez revenir pour suivre l'étape 2 pour récupérer cette fenêtre de recherche.

Étape 4: Exemples

Maintenant que vous avez compris les options de recherche, essayons quelques exemples. Notez que nous avons désactivé la règle de coloriage pour voir le paquet de recherche que nous avons sélectionné plus clairement.

Try1 [Combinaison d'options utilisées: «Liste de paquets» + «étroite et large» + «Carie non cochée sensible» + chaîne]

String de recherche: "Len = 10"

Maintenant, cliquez sur «Rechercher."Vous trouverez ci-dessous la capture d'écran pour le premier clic sur" Find: "

Comme nous avons sélectionné la «liste des paquets», la recherche a été effectuée dans la liste des paquets.

Ensuite, nous cliquerons à nouveau sur le bouton «Rechercher» pour voir le match suivant. Cela peut être vu dans la capture d'écran ci-dessous. Nous n'avons marqué aucune section pour vous permettre de comprendre comment cette recherche se produit.

Avec la même combinaison, recherchons la chaîne: "Linuxhint" [Pour vérifier le scénario non trouvé].

Dans ce cas, vous pouvez voir le message de couleur jaune du côté gauche de Wireshark, et aucun paquet n'est sélectionné.

Try2 [Combinaison d'options utilisées: «Détails de paquets» + «Étroite et large» + «Care non cochée sensible» + chaîne]

String de recherche: "Numéro de séquence"

Maintenant, nous cliquerons sur «Rechercher."Vous trouverez ci-dessous la capture d'écran pour le premier clic sur" Find: "

Ici, la chaîne trouvée à l'intérieur des «détails du paquet» a été sélectionnée.

Nous vérifierons l'option «Sensibilisation de la casse» et utiliserons la chaîne de recherche comme un «numéro de séquence», en gardant les autres combinaisons telles quelles. Cette fois, la chaîne correspondra au «numéro de séquence exact."

Try3 [Combinaison d'options utilisées: «Ocettes de paquets» + «Étroite et large» + «Care non cochée sensible» + chaîne]

String de recherche: "Numéro de séquence"

Maintenant, cliquez sur «Rechercher."Vous trouverez ci-dessous la capture d'écran pour le premier clic sur" Find: "

Comme prévu, la recherche de cordes se produit à l'intérieur des octets de paquet.

Conclusion

L'exécution d'une recherche de chaînes est une méthode très utile qui peut être utilisée pour trouver une chaîne requise à l'intérieur d'une liste de paquets Wireshark, de détails de paquets ou d'octets de paquet. Une bonne recherche facilite l'analyse des grands fichiers de capture de Wireshark.