Cómo usar Wireshark para buscar una cadena en paquetes
En este artículo, aprenderá cómo buscar cadenas en paquetes usando Wireshark. Hay múltiples opciones asociadas con las búsquedas de cadenas. Antes de ir más allá en este artículo, debe tener un conocimiento general de Wireshark Basic.
Suposiciones
Una captura de Wireshark estará en un estado; ya sea guardado/detenido o en vivo. Podemos realizar una búsqueda de cadenas en la captura en vivo también, pero para una comprensión mejor y clara, utilizaremos la captura guardada para hacer esto.
Paso 1: Captura salvada abierta
Primero, abra una captura guardada en Wireshark. Se verá así:
Paso 2: Abra la opción de búsqueda
Ahora necesitamos una opción de búsqueda. Hay dos formas de abrir esa opción:
- Use el atajo de teclado "Ctrl+F"
- Haga clic en "Buscar un paquete", ya sea desde el icono exterior o vaya a "Editar-> Buscar paquete"
Consulte las capturas de pantalla para ver la segunda opción.
Independientemente de la opción que use, la ventana final de Wireshark se verá como la captura de pantalla a continuación:
Paso 3: Opciones de etiqueta
Podemos ver múltiples opciones (menores desplegables, casilla de verificación) dentro de la ventana de búsqueda. Puede etiquetar estas opciones con números para una fácil comprensión. Siga la captura de pantalla a continuación para numerar:
Etiqueta1
Hay tres secciones en el menú desplegable.
- Lista de paquetes
- Detalles del paquete
- Bytes de paquetes
Desde la siguiente captura de pantalla, puede ver dónde se encuentran estas tres secciones en Wireshark:
Seleccionar la sección A/B/C significa que la cadena se realizará solo en esa sección.
Etiqueta2
Mantendremos esta opción como el valor predeterminado, ya que es el mejor para la búsqueda común. Se recomienda mantener esta opción como predeterminada a menos que sea necesario cambiarla.
Etiqueta3
Por defecto, esta opción no está marcada. Si se marca "Sensitive de mayúsculas", entonces la búsqueda de cadenas solo encontrará coincidencias exactas de la cadena buscada. Por ejemplo, si busca "Linuxhint" y la etiqueta3 se verifica, entonces esto no buscará "Linuxhint" en la captura de Wireshark.
Se recomienda mantener esta opción sin marcarse a menos que se requiere cambiarla.
Etiqueta4
Esta etiqueta tiene diferentes tipos de búsquedas, como "Filtro de pantalla", "valor hexadecimal", "cadena" y "expresión regular."Para los fines de este artículo, seleccionaremos" cadena "de este menú desplegable.
Etiqueta5
Aquí necesitamos ingresar la cadena de búsqueda. Esta es la entrada para la búsqueda.
Etiqueta 6
Después de que se proporcione la entrada Label5, haga clic en el botón "Buscar" para activar la búsqueda.
Etiqueta7
Si hace clic en "Cancelar", entonces las ventanas de búsqueda se cerrarán y debe volver a seguir el paso 2 para obtener esta ventana de búsqueda hacia atrás.
Paso 4: Ejemplos
Ahora que entendió las opciones para buscar, probemos algunos ejemplos. Tenga en cuenta que hemos deshabilitado la regla de coloración para ver el paquete de búsqueda que seleccionamos más claramente.
Try1 [Combinación de opciones utilizada: "Lista de paquetes" + "estrecho y ancho" + "Sensible de mayúsculas no controladas" + cadena]
Cadena de búsqueda: "Len = 10"
Ahora, haga clic en "Buscar."A continuación se muestra la captura de pantalla para el primer clic en" Buscar: "
Como hemos seleccionado "Lista de paquetes", la búsqueda se realizó dentro de la lista de paquetes.
A continuación, haremos clic en el botón "Buscar" nuevamente para ver la siguiente coincidencia. Esto se puede ver en la captura de pantalla a continuación. No marcamos ninguna sección para permitirle comprender cómo ocurre esta búsqueda.
Con la misma combinación, busquemos la cadena: "Linuxhint" [Para verificar el escenario no encontrado].
En este caso, puede ver el mensaje de color amarillo en el lado de fondo izquierdo de Wireshark, y no se selecciona ningún paquete.
Try2 [Combinación de opciones utilizada: "Detalles del paquete" + "Estrecho y ancho" + "Sensible de mayúscula no marcado" + cadena]
Cadena de búsqueda: "Secuencia de números"
Ahora, haremos clic en "Buscar."A continuación se muestra la captura de pantalla para el primer clic en" Buscar: "
Aquí, se seleccionó la cadena encontrada dentro de "Detalles del paquete".
Verificaremos la opción "Sensible de mayúscula" y usaremos la cadena de búsqueda como un "número de secuencia", manteniendo las otras combinaciones como está. Esta vez, la cadena coincidirá con el "número de secuencia."
Try3 [Combinación de opciones utilizada: "Bytes de paquetes" + "Estrecho y ancho" + "Sensible de mayúscula no marcado" + cadena]
Cadena de búsqueda: "Secuencia de números"
Ahora, haga clic en "Buscar."A continuación se muestra la captura de pantalla para el primer clic en" Buscar: "
Como se esperaba, la búsqueda de cadenas está ocurriendo dentro de los bytes de paquetes.
Conclusión
Realizar una búsqueda de cadenas es un método muy útil que se puede usar para encontrar una cadena requerida dentro de una lista de paquetes de Wireshark, detalles de paquetes o bytes de paquetes. La buena búsqueda facilita el análisis de los grandes archivos de captura de Wireshark.