Уроки Wireshark: поиск пакетов и их подсветка

Поиск 16-ричной последовательности

Ну чтож, надеюсь, предыдущие уроки пошли в гору. Буду продолжать и дальше. Предположим, что мы назахватывали кучу пакетов, теперь нужно найти определенные данные среди множества.

Напоминаю, что скачал Wireshark можно тут

Прежде всего откроем пример трафика (или захватим свои пакеты). Кстати, вот – библиотека примеров трафика, можно смело качать для изучения: http://wiki.wireshark.org/SampleCaptures

Кстати, там есть и примеры трафика с инфицированных компьютеров, следы действия троянов и прочих напастей. + ещё у меня лежит коллекция файлов трафика, если будет интересно – выложу в архиве, они мало весят. Можно, кстати, заразить компьютер какой-нибудь заразой самому (виртуальную машину) и половить трафик, думаю, это очень интересно. А если уж поймали вирусню на реальную машину, обращайтесь к профессионалам: компьютерная помощь киев. Ну чтож, бежим дальше.

Итак, я скачал пример http трафика, самый первый в списке:

Открываем окно поиска
Открываем окно поиска

Открываем окно поиска и видим:

 

Так выглядит окно поиска
Так выглядит окно поиска
  1. Поиск в отображаемой части пакетов. Например, можно сделать так:
    Укажем фильтр поиска: “ip.addr==65.208.228.223”, то есть те пакеты, где ip равен указанному. Жмем “Enter”.
    Поиск в отображаемой части
    Поиск в отображаемой части

    Подсветился 43-ий фрейм, я обвел его. Фильтры можно задавать самые разные, есть удобный конструктор.

  2. Поиск 16-ричного значения. Такое бывает нужно, когда мы точно знаем, что передается определенная последовательность байт и нужно её найти:

    Поиск 16-ричной последовательности
    Поиск 16-ричной последовательности
  3. Поиск текстовой строки. Например, сделаю поиск в надежде найти фрагменты, где передавались html-документы.

    Поиск текстовой строки
    Поиск текстовой строки
  4. Место, где искать. Ну тут всё понятно, у нас есть 3 окна, искать можем как в области просмотра, так и в области данных, а так же в области байтового представления.

Вот так и производится поиск пакетов по определенным данным.

Ну а теперь поговорим о красивостях, а именно – раскарске.

Для того, чтобы открыть мастер раскрашивания, выбираем в меню View->Coloring Rules

Цветовые схемы
Цветовые схемы

Откроется у нас вот такое окошко:

Схемы подсветки трафика
Схемы подсветки трафика

Добавляем новый элемент кнопкой NEW:

Редактируем правило и цветовую схему
Редактируем правило и цветовую схему

Для примера я сейчас создам правило подсветки:

Протокол DNS, Response Name содержит “google”, записываю в фильтр: dns.resp.name, выбираю “contains” (содержит) и указываю значение “google”. Применяю правило, делаю голубой фон и черный шрифт.

Новое правило подсветки
Новое правило подсветки

Подчеркнутой строкой подсветилось наше правило.


Like this post? Please share to your friends:

Comments:

Leave a Reply