Материал просмотрен 7,879 раз(а)

Ну чтож, надеюсь, предыдущие уроки пошли в гору. Буду продолжать и дальше. Предположим, что мы назахватывали кучу пакетов, теперь нужно найти определенные данные среди множества.

Напоминаю, что скачал Wireshark можно тут

Прежде всего откроем пример трафика (или захватим свои пакеты). Кстати, вот – библиотека примеров трафика, можно смело качать для изучения: http://wiki.wireshark.org/SampleCaptures

Кстати, там есть и примеры трафика с инфицированных компьютеров, следы действия троянов и прочих напастей. + ещё у меня лежит коллекция файлов трафика, если будет интересно – выложу в архиве, они мало весят. Можно, кстати, заразить компьютер какой-нибудь заразой самому (виртуальную машину) и половить трафик, думаю, это очень интересно. А если уж поймали вирусню на реальную машину, обращайтесь к профессионалам: компьютерная помощь киев. Ну чтож, бежим дальше.

Итак, я скачал пример http трафика, самый первый в списке:

Открываем окно поиска

Открываем окно поиска

Открываем окно поиска и видим:

 

Так выглядит окно поиска

Так выглядит окно поиска

  1. Поиск в отображаемой части пакетов. Например, можно сделать так:
    Укажем фильтр поиска: “ip.addr==65.208.228.223”, то есть те пакеты, где ip равен указанному. Жмем “Enter”.

    Поиск в отображаемой части

    Поиск в отображаемой части

    Подсветился 43-ий фрейм, я обвел его. Фильтры можно задавать самые разные, есть удобный конструктор.

  2. Поиск 16-ричного значения. Такое бывает нужно, когда мы точно знаем, что передается определенная последовательность байт и нужно её найти:

    Поиск 16-ричной последовательности

    Поиск 16-ричной последовательности

  3. Поиск текстовой строки. Например, сделаю поиск в надежде найти фрагменты, где передавались html-документы.

    Поиск текстовой строки

    Поиск текстовой строки

  4. Место, где искать. Ну тут всё понятно, у нас есть 3 окна, искать можем как в области просмотра, так и в области данных, а так же в области байтового представления.

Вот так и производится поиск пакетов по определенным данным.

Ну а теперь поговорим о красивостях, а именно – раскарске.

Для того, чтобы открыть мастер раскрашивания, выбираем в меню View->Coloring Rules

Цветовые схемы

Цветовые схемы

Откроется у нас вот такое окошко:

Схемы подсветки трафика

Схемы подсветки трафика

Добавляем новый элемент кнопкой NEW:

Редактируем правило и цветовую схему

Редактируем правило и цветовую схему

Для примера я сейчас создам правило подсветки:

Протокол DNS, Response Name содержит “google”, записываю в фильтр: dns.resp.name, выбираю “contains” (содержит) и указываю значение “google”. Применяю правило, делаю голубой фон и черный шрифт.

Новое правило подсветки

Новое правило подсветки

Подчеркнутой строкой подсветилось наше правило.