Wireshark

Cómo utilizar Wireshark para buscar una cadena en paquetes

Cómo utilizar Wireshark para buscar una cadena en paquetes

En este artículo, aprenderá a buscar cadenas en paquetes utilizando Wireshark. Hay varias opciones asociadas con las búsquedas de cadenas. Antes de continuar en este artículo, debe tener un conocimiento general de Wireshark Basic.

Supuestos

Una captura de Wireshark debe estar en un estado; ya sea guardado / detenido o en vivo. También podemos realizar búsquedas de cadenas en la captura en vivo, pero para una mejor y más clara comprensión usaremos la captura guardada para hacer esto.

Paso 1: Abra la captura guardada

Primero, abra una captura guardada en Wireshark. Se verá así:

Paso 2: Abrir la opción de búsqueda

Ahora, necesitamos una opción de búsqueda. Hay dos formas de abrir esa opción:

  1. Usa la combinación de teclas "Ctrl + F"
  2. Haga clic en "Buscar un paquete" desde el icono exterior o vaya a "Editar-> Buscar paquete"

Mira las capturas de pantalla para ver la segunda opción.

Cualquiera que sea la opción que utilice, la ventana final de Wireshark se verá como la siguiente captura de pantalla:

Paso 3: Opciones de etiqueta

Podemos ver múltiples opciones (menús desplegables, casilla de verificación) dentro de la ventana de búsqueda. Puede etiquetar estas opciones con números para facilitar su comprensión. Siga la captura de pantalla a continuación para numerar:

Etiqueta1
Hay tres secciones en el menú desplegable.

  1. Lista de paquetes
  2. Detalles del paquete
  3. Bytes del paquete

En la siguiente captura de pantalla, puede ver dónde se encuentran estas tres secciones en Wireshark:

Seleccionar la sección a / b / c significa que la cadena se realizará solo en esa sección.

Etiqueta2
Mantendremos esta opción como predeterminada, ya que es la mejor para búsquedas comunes. Se recomienda mantener esta opción como predeterminada a menos que sea necesario cambiarla.

Etiqueta3
De forma predeterminada, esta opción está desmarcada. Si se marca la opción "Sensible a mayúsculas y minúsculas", la búsqueda de cadenas solo encontrará coincidencias exactas de la cadena buscada. Por ejemplo, si busca "Linuxhint" y Label3 está marcado, esto no buscará "LINUXHINT" en la captura de Wireshark.

Se recomienda mantener esta opción sin marcar a menos que sea necesario cambiarla.

Etiqueta4
Esta etiqueta tiene diferentes tipos de búsquedas, como "Filtro de visualización", "Valor hexadecimal", "Cadena" y "Expresión regular."A los efectos de este artículo, seleccionaremos" Cadena "en este menú desplegable.

Etiqueta5
Aquí, necesitamos ingresar la cadena de búsqueda. Esta es la entrada para la búsqueda.

Etiqueta6
Después de que se proporcione la entrada de Label5, haga clic en el botón "Buscar" para iniciar la búsqueda.

Etiqueta7
Si hace clic en "Cancelar", las ventanas de búsqueda se cerrarán y deberá volver al Paso 2 para recuperar esta ventana de búsqueda.

Paso 4: ejemplos

Ahora que entendió las opciones de búsqueda, probemos algunos ejemplos. Tenga en cuenta que hemos desactivado la regla de coloración para ver el paquete de búsqueda que seleccionamos con mayor claridad.

Try1 [Combinación de opciones utilizada: "Lista de paquetes" + "Estrecho y ancho" + "No se distingue entre mayúsculas y minúsculas" + Cadena]

Cadena de búsqueda: "Len = 10"

Ahora, haga clic en "Buscar."A continuación se muestra la captura de pantalla del primer clic en" Buscar: "

Como hemos seleccionado "Lista de paquetes", la búsqueda se realizó dentro de la lista de paquetes.

A continuación, volveremos a hacer clic en el botón "Buscar" para ver la siguiente coincidencia. Esto se puede ver en la captura de pantalla a continuación. No marcamos ninguna sección para permitirle comprender cómo ocurre esta búsqueda.

Con la misma combinación, busquemos la cadena: "Linuxhint" [Para comprobar el escenario no encontrado].

En este caso, puede ver el mensaje de color amarillo en la parte inferior izquierda de Wireshark y no se selecciona ningún paquete.

Try2 [Combinación de opciones utilizada: "Detalles del paquete" + "Estrecho y ancho" + "No se distingue entre mayúsculas y minúsculas" + Cadena]

Cadena de búsqueda: "Secuencia de números"

Ahora, haremos clic en "Buscar."A continuación se muestra la captura de pantalla del primer clic en" Buscar: "

Aquí, se seleccionó la cadena que se encuentra dentro de "detalles del paquete".

Marcaremos la opción "Sensible a mayúsculas y minúsculas" y usaremos la cadena de búsqueda como un "Número de secuencia", manteniendo las otras combinaciones como están. Esta vez, la cadena coincidirá exactamente con el "Número de secuencia."

Try3 [Combinación de opciones utilizada: "Bytes de paquete" + "Estrecho y ancho" + "Diferencia entre mayúsculas y minúsculas sin marcar" + Cadena]

Cadena de búsqueda: "Secuencia de números"

Ahora, haga clic en "Buscar."A continuación se muestra la captura de pantalla del primer clic en" Buscar: "

Como se esperaba, la búsqueda de cadenas se realiza dentro de los bytes del paquete.

Conclusión

Realizar una búsqueda de cadenas es un método muy útil que se puede utilizar para encontrar una cadena requerida dentro de una lista de paquetes de Wireshark, detalles de paquetes o bytes de paquetes. Una buena búsqueda facilita el análisis de grandes archivos de captura de Wireshark.

Juegos Cómo desarrollar un juego en Linux
Cómo desarrollar un juego en Linux
Hace una década, no muchos usuarios de Linux predecían que su sistema operativo favorito algún día sería una plataforma de juegos popular para videoju...
Juegos Puertos de código abierto de motores de juegos comerciales
Puertos de código abierto de motores de juegos comerciales
Las recreaciones gratuitas, de código abierto y de motores de juegos multiplataforma se pueden usar para jugar títulos de juegos antiguos y también al...
Juegos Los mejores juegos de línea de comandos para Linux
Los mejores juegos de línea de comandos para Linux
La línea de comandos no es solo su mayor aliado cuando usa Linux, también puede ser la fuente de entretenimiento porque puede usarla para jugar muchos...