本節書摘來自異步社群《精通wireshark》一書中的第2章2.4節使用find對話框來搜尋資料包,作者【印度】charit mishra(夏裡特 米什拉),更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
2.4 使用find對話框來搜尋資料包
如果使用者想要查找滿足某一條标準的資料包,可以使用find對話框進行查找。這個對話框提供了很多高效的搜尋方式,可以對已經抓取的檔案或者軟體目前正在執行的抓包操作進行搜尋。使用者可以選擇edit | find packets,或者使用快捷鍵ctrl + f來調用find工具(見圖2-15)。
下面我們來介紹一下這個視窗中可以進行配置的選項。
display filter:在抓取流量之後,如果使用者隻希望根據ip位址/端口号/協定來分析某些特定的資料包,可以在這裡讓系統隻在清單面闆中顯示滿足某個條件的資料包,比如:
ip.addr == 192.168.1.1(根據ip位址進行搜尋)
port 8080(根據端口号進行搜尋)
http(根據協定進行搜尋)
hex value:如果使用者擁有自己想要查找的某個資料包的十六進制值,就可以選擇這個單選框。使用者在這裡隻需要輸入用冒号隔開的實體位址,比如:
0a:c4:22:90:45:00
aa:bb:cc
string:使用者可以在最後一個單選框中輸入文本資訊來進行檢索。在這裡,使用者可以輸入dns伺服器的名稱、裝置的名稱,或者使用者掌握的任何解析域名(輸入整個字元串或者一個單詞均可),比如:
cisco;
一位管理者;
一台web伺服器;
google。
search in:管理者可以使用這個特性在某個面闆中進行檢索。比如,如果使用者想要在bytes面闆中尋找一個資料包,這個資料包比對google這個值(在資料包位元組面闆中比對ascii值),那就可以首先選擇string選項,然後勾選search in,選擇packet bytes。
string options:要使用這個特性,使用者需要先選擇string選項,然後選擇casesensitive。接下來,使用者可以根據自己的需求來選擇字元的寬度(不過我的建議是,除非使用者有明确的原因,否則不要修改這個參數)。
direction:最後一個可選項可以修改搜尋的方向;使用者可以将其修改為向上搜尋或者向下搜尋。
一旦使用者對這些可選項進行了自定義,就要輸入文本資訊然後點選find。這可以讓使用者準确抓取到與自己标準相比對的資料包。要在比對的資料包中前後移動進行分析,可以使用快捷鍵ctrl + n(移動到下一個資料包)和ctrl + b(移動到之前一個資料包)。
給流量标記顔色
為了提升使用者分析流量的體驗,wireshark提供了一種特性,讓使用者可以給某種他們希望重點顯示的流量标記顔色。給流量标記顔色的目的在于區分不同類型的流量。用一種不同的規則來給某種類型的流量标記出與預設規則不同的顔色,這件事的難度不容小觑。
大多數協定的預設配置檔案都是已經建立好的,是以我們在資料包清單面闆中看到的流量本身就是用不同顔色标記出來的,使用者可以選擇view | edit或者在主工具欄中點選edit coloring rules按鈕打開圖2-16所示的視窗。
在這個對話框中,我們可以看到所有全局配置檔案中儲存的給流量标記前景顔色和背景顔色的規則。資料包清單面闆中顯示的所有資料包都會遵循相同的規則,這可以讓使用者獲得獨一無二且與衆不同的使用體驗。
我們來使用一下這個特性,用我們自己指定的顔色來标記一下http error資料包。比如說,我用自己的一台裝置搭建了一台web伺服器,讓用戶端來通路這台裝置上檔案。現在,我的網絡中有一台用戶端正在嘗試通路目錄清單并擷取http 4.0錯誤消息。這些錯誤消息會在我們的資料包清單面闆中彈出來,但這些消息也會采用與http标記顔色相同的規則顯示,這會讓這些錯誤消息對于網絡分析人員來說不那麼明顯。為了讓這些錯誤消息更加明顯,我希望以black(黑色)作為背景色,以cyan(青色)作為前景色對http 404錯誤消息進行标色。按照下面的步驟可以達到相同的效果。
1.我配置了一台linux裝置,這台裝置的位址為172.16.136.129,而我的mac os運作的位址為172.16.136.1,這台裝置在網絡中負責充當linux裝置的web伺服器,詳見圖2-17。
linux通路的web伺服器所發送的正常流量看起來如圖2-18所示。
2.既然所有裝置都已經啟動并且開始運作了,我們可以從linux上手動通路目錄清單,結果是接收到了http 404錯誤消息。
wireshark抓取到了通過該請求生成的流量,詳見圖2-19。
我們可以在之前抓取到的流量中看到,用戶端請求了abc.jpg這個資源,這個資源是不存在的;是以,用戶端接收到了一條404 not found錯誤消息。
3.我們之是以能夠輕松找出問題,原因是隻有一台用戶端請求了某一個資源。試想在一個擁有成千上萬台用戶端的現網中出現了這樣的問題又會是一種怎樣的情形。在這樣的情況下,對不同資料包用不同的規則來标記顔色,這會成為具有決定性意義的關鍵因素。
4.找到edit coloring rules | new。在name文本框中輸入http 404。在string文本框中輸入http.response.code==404。将foreground color(前景顔色)設定為cyan(青色),将background color(背景顔色)設定為black(黑色)。然後點選ok,之後選擇apply | ok。
5.在點選apply之後,我們就會看到wireshark隻會将http 404錯誤資料包按照我們新設定的标色規則來标記顔色(見圖2-20)。
自己建立一個虛拟環境對上面的設定方法進行試驗可以加深讀者對這部分内容的了解。
wireshark會按照自頂向下的順序校驗edit coloring rules對話框中顯示的标色規則。對于每個資料包來說,都有一個相關的标色規則資訊。這個資訊會顯示在frame區域下面的資料包詳細資訊面闆(packet details pane)上。通過圖2-21也可以觀察到相同的資訊。