Red de conocimiento informático - Problemas con los teléfonos móviles - Función de búsqueda de Wireshark

Función de búsqueda de Wireshark

Al utilizar Wireshark, es común utilizar filtros de captura y filtros de visualización para filtrar paquetes. Luego, los paquetes filtrados se analizan individualmente según sus necesidades.

Pero a veces, solo conocemos algunas palabras clave, pero no sabemos cómo ingresarlas en el filtro de captura o en el filtro de visualización. En este caso, la función de búsqueda es sumamente valiosa.

¿Por qué el cribado debería ser el primer paso?

Debido a que normalmente en un entorno de tiempo real capturamos una gran cantidad de paquetes, pero tendemos a centrarnos solo en una pequeña parte de ellos, el primer paso suele ser el filtrado. Hay dos formas de hacerlo, mediante filtros de captura y filtros de visualización.

Inicialmente, la función de búsqueda era una función simple que no requería comentarios. Pero la configuración predeterminada de Wireshark no tiene mucho sentido, lo que lo hace un poco menos fácil de usar que otro software.

La función de búsqueda de paquetes en Wireshark se llama Buscar paquetes y se puede activar en Editar->Buscar paquetes.

Para que sea más fácil describir cómo utilizar la función de búsqueda, he colocado los pasos en el siguiente diagrama:

Acerca de las expresiones regulares en Wireshark

Desde expresiones regulares Es un concepto más amplio, por lo que los estándares seguidos por diferentes software no son completamente consistentes. Según el documento oficial de Wireshark "Guía del usuario de Wireshark - Versión 3.1.0", Wireshark sigue PCRE (Expresiones regulares compatibles con Perl).

La sintaxis PCRE es más potente y flexible que las expresiones regulares POSIX y muchas otras bibliotecas de expresiones regulares.

Acerca de los datos cifrados

Para los datos cifrados mediante protocolos como HTTPS, es probable que no se encuentre el contenido al buscar en el flujo de bytes.

Pero para los datos que utilizan protocolos no cifrados como HTTP, podemos buscar detalles en el flujo de bytes dentro del paquete.

Ver también otros documentos

-- Uso de WireShark para buscar paquetes (versión mínima)

Linux China -- Introducción a BPF

Ruta de lectura permanente /dev/bpf*

Por cierto. Por cierto, los "filtros de captura" deben usarse con precaución y moderación, especialmente si no sabes mucho sobre el protocolo que estás analizando. Por ejemplo, algunos protocolos requieren que los paquetes ARP (formato de transmisión) se envíen antes de intercambiar datos, y si usa un filtro de captura para limitar la dirección de destino, no podrá capturar paquetes ARP.

上篇: ¿Para qué sirve la estatua en "Soul Knight"? 下篇: ¿Qué tal el comienzo de www, el nombre de dominio de hcho y el final? com.cn?

Artículos populares