Как найти пакеты в wireshark

You can easily find packets once you have captured some packets or have
read in a previously saved capture file. Simply select Edit → Find
Packet…​ in the main menu. Wireshark will open a toolbar between the
main toolbar and the packet list shown in Figure 6.12, “The “Find Packet” toolbar”.

Джулия Эванс, автор материала, перевод которого мы сегодня публикуем, решила рассказать об одном из своих любимых сетевых инструментов, который называется Wireshark. Это — мощная и сложная программа, оснащённая графическим интерфейсом, предназначенная для анализа трафика в компьютерных сетях. Джулия говорит, что на практике пользуется лишь немногими возможностями Wireshark, но они обычно оказываются очень кстати. Здесь она хочет поделиться со всеми желающими рассказом о самых полезных приёмах работы с программой и надеется, что они пригодятся не только ей, но и всем, кому приходится решать сетевые проблемы.

Установка Wireshark

Дистрибутивы Wireshark для различных операционных систем можно найти здесь. Для инсталляции программы можно скачать и установить соответствующий файл. Кроме того, если вы пользуетесь дистрибутивами Linux, основанными на Debian, можете воспользоваться командой sudo apt install wireshark. При желании, для того, чтобы найти самую свежую версию программы, вы можете обратиться к персональному архиву пакетов wireshark-dev.

Вот как выглядит интерфейс программы.

Интерфейс Wireshark

На первый взгляд всё это может показаться слишком сложным: длинный список пакетов, таинственное поле для ввода каких-то запросов… Как же работать с Wireshark?

Анализ pcap-файлов

Обычно я использую Wireshark для выяснения причин сетевых неполадок. Последовательность действий, выполняемая в ходе решения подобных задач, выглядит так:

1. Захват пакетов с помощью tcpdump (обычно — с помощью команды наподобие sudo tcpdump port 443 -w output.pcap).
2. Копирование pcap-файла на рабочий ноутбук (scp host:~/output.pcap .).
3. Открытие pcap-файла с помощью Wireshark (wireshark output.pcap).

Как видите, всё очень просто. Однако, после того, как pcap-файл открыт в программе, у вас может возникнуть закономерный вопрос о том, что со всем этим делать. Поговорим об этом.

Анализ TCP-соединений

Часто, когда я анализирую в Wireshark некую ситуацию, мне нужно проверить какое-то конкретное TCP-соединение, с которым, по какой-то причине, что-то не так. Благодаря Wireshark можно проанализировать весь жизненный цикл отдельного TCP-соединения и выяснить причины неправильного поведения системы.

Сделать это можно, щёлкнув правой кнопкой мыши по интересующему вас пакету и выбрав в контекстном меню команду Conversation filter > TCP.

Начало анализа TCP-соединения

После этого Wireshark покажет другие пакеты из того же TCP-соединения, к которому принадлежит тот пакет, по которому вы щёлкнули. На рисунке ниже можно видеть пример успешного SSL-соединения — тут присутствуют пакеты client hello, service hello, certificate, server key exchange, которые используются для установления SSL-соединений.

Анализ TCP-соединения

Рассматриваемую здесь методику анализа TCP-пакетов мне пришлось использовать в день написания этой статьи, на работе. Некоторые соединения сбрасывались, и я заметила, что после отправки пакета client hello клиент отправлял пакет FIN ACK, который завершал TLS-соединение. То, что мне удалось выяснить, оказалось полезным, так как стало ясно, что соединения завершает клиент, а не сервер. В результате я тут же узнала, что проблема кроется на клиенте, и мне нужно обратить внимание именно на него.

Выше описана весьма типичная для меня схема работы с Wireshark. Обычно в соединении участвуют клиент и сервер, и что-то идёт не так либо на клиенте, либо на сервере. Это может быть, например, какой-нибудь сбой или ошибка в настройках системы. В результате Wireshark оказывает мне просто бесценную помощь в деле определения виновника проблем, помогая выяснить — клиент это или сервер.

Команда Decode as

Для того чтобы понять, чем именно является конкретный пакет, Wireshark использует номера портов, и обычно этот подход срабатывает. Например, если программа видит некий трафик на порте 80, она решает, что это HTTP-трафик и обычно так оно и есть.

Однако иногда HTTP-соединения используют необычные порты, в результате, для того, чтобы их распознать, Wireshark нуждается в подсказках. Такие подсказки можно давать программе, вызывая контекстное меню пакета и выбирая там команду Decode as. Далее, можно сообщить Wireshark о том, какой протокол используется для передачи пакетов с использованием некоего порта. Подобные подсказки упрощают анализ данных.

Просмотр содержимого пакетов

В Wireshark имеется просто восхитительный режим просмотра подробных сведений о пакете, с помощью которого можно разобраться в содержимом любого пакета. Возьмём, например, пакет с сообщением client hello из предыдущего примера. Это — первый пакет SSL-соединения, клиент с его помощью как бы говорит: «Привет! Вот он я!».

Wireshark даёт сетевому администратору два невероятно полезных инструмента для исследования содержимого пакетов. Первый — это режим просмотра, в котором можно раскрывать заголовки, имеющиеся у пакета (например — Ethernet-заголовок, IP-заголовок, TCP-заголовок) и просматривать их содержимое.

Анализ заголовков пакета

Второй режим просмотра пакетов — это настоящее чудо. Здесь можно видеть необработанные данные пакета в виде последовательности байтов. И, что особенно приятно, если навести мышь на какой-нибудь байт (например, на рисунке ниже указатель наведён на байт, входящий в tiles.services.mozilla.com), программа, в строке состояния, сообщит о том, к какому полю относится этот байт (в данном случае это — поле Server Name), и о кодовом имени, используемом Wireshark для этого поля (в данном случае — ssl.handshake.extensions_server_name)

Анализ необработанных данных пакета

Поиск пакетов

Wireshark поддерживает мощный язык запросов. Это значительно упрощает поиск конкретных пакетов в списках. Обычно я, при работе с программой, использую очень простые запросы. Вот несколько примеров:

• Запрос frame contains "mozilla" позволяет выполнить поиск строки mozilla в любом месте пакета и вывести список найденных пакетов.
• Запрос tcp.port == 443 выводит пакеты, использующие TCP-порт 443.
• Запрос dns.resp.len > 0 выводит все DNS-ответы
• Запрос ip.addr == 52.7.23.87 выводит пакеты, IP-адрес источника или получателя которых равен 52.7.23.87.

Язык запросов Wireshark обладает гораздо большими возможностями, нежели язык запросов tcpdump (и, кроме того, поддерживает автозавершение по нажатию клавиши TAB). В результате часто я применяю следующую последовательность действий: захватываю большой объём пакетов с помощью tcpdump (скажем, нечто вроде всех пакетов с 443-го порта), а затем тщательно изучаю их с использованием Wireshark.

Просмотр сведений о продолжительности TCP-соединений

Иногда мне нужно обратить особое внимание на исследование медленных TCP-соединений. Как это сделать, при условии, что в имеющемся у меня файле есть записи о тысячах пакетов? Как найти медленные TCP-соединения?

Если выбрать в главном меню программы пункт Statistics, а в нём — команду Conversations, Wireshark предоставит нам замечательный набор статистических сведений.

Статистические сведения

В частности здесь, в колонке Duration, можно увидеть длительность TCP-соединений, выявить самые длительные из них и внимательно их изучить. Это весьма полезная возможность.

Обновление Wireshark

Если вы давно не обновляли Wireshark — это стоит сделать. Например, недавно я, на рабочем ноутбуке, занималась исследованием HTTP/2-пакетов. Мне тогда пришлось нелегко, и я решила посмотреть документацию. Как оказалось, у меня была старая версия программы. В установленном мной обновлении была серьёзно улучшена поддержка HTTP/2, то есть, там было как раз то, что мне было тогда нужно.

Использование Wireshark для изучения сетевых протоколов

В этом материале встречаются некоторые термины, которые можно отнести к чему-то вроде жаргона сетевых специалистов. Например — кадр (frame), TCP-порт (TCP port), DNS-ответ (DNS response), IP-адрес источника (source IP address), пакет client hello SSL-соединения (SSL client hello). Одной из причин их использования является тот факт, что Wireshark, определённо, не пытается оградить пользователя от тонкостей внутреннего устройства сетевых технологий. Новичка такое положение дел может, поначалу, заставить задуматься о том, что Wireshark — это программа не для него, а лишь для опытных сетевых специалистов.

У такой ориентированности Wireshark на низкоуровневые сетевые механизмы, однако, есть серьёзный плюс. Дело в том, что работая с этой программой, можно узнать что-то новое о сетевых протоколах. Например, я не особенно много знаю о внутренних механизмах протокола TLS/SSL. Однако, анализируя трафик в Wireshark, я обратила внимание на то, что первые два пакета SSL-соединения — это client hello и server hello. В результате протокол, который, если не вникать в детали его работы, кажется чем-то таинственным и недоступным для понимания, начинает обретать более понятную форму, превращается в нечто такое, что можно понять и проанализировать.

Итоги

Wireshark имеет огромнейшие возможности. Здесь мы рассказали лишь о некоторых из них. Однако, те приёмы работы, которые здесь рассмотрены, по словам автора материала, используются примерно в 95% ситуаций, когда возникает необходимость в Wireshark. Поэтому мы надеемся, что даже то немногое, о чём вы сегодня узнали, вам пригодится.

Уважаемые читатели! Пользуетесь ли вы Wireshark?

What Is Wireshark?

Originally known as Ethereal, Wireshark displays data from hundreds of different protocols on all major network types. Data packets can be viewed in real-time or analyzed offline. Wireshark supports dozens of capture/trace file formats, including CAP and ERF. Integrated decryption tools display the encrypted packets for several common protocols, including WEP and WPA/WPA2.

How to Download and Install Wireshark

Wireshark can be downloaded at no cost from the Wireshark Foundation website for both macOS and Windows. You’ll see the latest stable release and the current developmental release. Unless you’re an advanced user, download the stable version.

During the Windows setup process, choose to install WinPcap or Npcap if prompted as these include libraries required for live data capture.

You must be logged in to the device as an administrator to use Wireshark. In Windows 10, search for Wireshark and select Run as administrator. In macOS, right-click the app icon and select Get Info. In the Sharing & Permissions settings, give the admin Read & Write privileges.

The application is also available for Linux and other UNIX-like platforms including Red Hat, Solaris, and FreeBSD. The binaries required for these operating systems can be found toward the bottom of the Wireshark download page under the Third-Party Packages section. You can also download Wireshark’s source code from this page.

How to Capture Data Packets With Wireshark

When you launch Wireshark, a welcome screen lists the available network connections on your current device. Displayed to the right of each is an EKG-style line graph that represents live traffic on that network.

To begin capturing packets with Wireshark:

1. Select one or more of networks, go to the menu bar, then select Capture.

   To select multiple networks, hold the Shift key as you make your selection.

2. In the Wireshark Capture Interfaces window, select Start.

   There are other ways to initiate packet capturing. Select the shark fin on the left side of the Wireshark toolbar, press ​Ctrl+E, or double-click the network.

3. Select File > Save As or choose an Export option to record the capture.

4. To stop capturing, press Ctrl+E. Or, go to the Wireshark toolbar and select the red Stop button that’s located next to the shark fin.

How to View and Analyze Packet Contents

The captured data interface contains three main sections:

• The packet list pane (the top section)
• The packet details pane (the middle section)
• The packet bytes pane (the bottom section)

Packet List

The packet list pane, located at the top of the window, shows all packets found in the active capture file. Each packet has its own row and corresponding number assigned to it, along with each of these data points:

• No: This field indicates which packets are part of the same conversation. It remains blank until you select a packet.
• Time: The timestamp of when the packet was captured is displayed in this column. The default format is the number of seconds or partial seconds since this specific capture file was first created.
• Source: This column contains the address (IP or other) where the packet originated.
• Destination: This column contains the address that the packet is being sent to.
• Protocol: The packet’s protocol name, such as TCP, can be found in this column.
• Length: The packet length, in bytes, is displayed in this column.
• Info: Additional details about the packet are presented here. The contents of this column can vary greatly depending on packet contents.

To change the time format to something more useful (such as the actual time of day), select View > Time Display Format.

When a packet is selected in the top pane, you may notice one or more symbols appear in the No. column. Open or closed brackets and a straight horizontal line indicate whether a packet or group of packets are part of the same back-and-forth conversation on the network. A broken horizontal line signifies that a packet is not part of the conversation.

Packet Details

The details pane, found in the middle, presents the protocols and protocol fields of the selected packet in a collapsible format. In addition to expanding each selection, you can apply individual Wireshark filters based on specific details and follow streams of data based on protocol type by right-clicking the desired item.

Packet Bytes

At the bottom is the packet bytes pane, which displays the raw data of the selected packet in a hexadecimal view. This hex dump contains 16 hexadecimal bytes and 16 ASCII bytes alongside the data offset.

Selecting a specific portion of this data automatically highlights its corresponding section in the packet details pane and vice versa. Any bytes that cannot be printed are represented by a period.

To display this data in bit format as opposed to hexadecimal, right-click anywhere within the pane and select as bits.

How to Use Wireshark Filters

Capture filters instruct Wireshark to only record packets that meet specified criteria. Filters can also be applied to a capture file that has been created so that only certain packets are shown. These are referred to as display filters.

Wireshark provides a large number of predefined filters by default. To use one of these existing filters, enter its name in the Apply a display filter entry field located below the Wireshark toolbar or in the Enter a capture filter field located in the center of the welcome screen.

For example, if you want to display TCP packets, type tcp. The Wireshark autocomplete feature shows suggested names as you begin typing, making it easier to find the correct moniker for the filter you’re seeking.

Another way to choose a filter is to select the bookmark on the left side of the entry field. Choose Manage Filter Expressions or Manage Display Filters to add, remove, or edit filters.

You can also access previously used filters by selecting the down arrow on the right side of the entry field to display a history drop-down list.

Capture filters are applied as soon as you begin recording network traffic. To apply a display filter, select the right arrow on the right side of the entry field.

Wireshark Color Rules

While Wireshark’s capture and display filters limit which packets are recorded or shown on the screen, its colorization function takes things a step further: It can distinguish between different packet types based on their individual hue. This quickly locates certain packets within a saved set by their row color in the packet list pane.

Wireshark comes with about 20 default coloring rules, each can be edited, disabled, or deleted. Select View > Coloring Rules for an overview of what each color means. You can also add your own color-based filters.

Statistics in Wireshark

Other useful metrics are available through the Statistics drop-down menu. These include size and timing information about the capture file, along with dozens of charts and graphs ranging in topic from packet conversation breakdowns to load distribution of HTTP requests.

Display filters can be applied to many of these statistics via their interfaces, and the results can be exported to common file formats, including CSV, XML, and TXT.

Wireshark Advanced Features

Wireshark also supports advanced features, including the ability to write protocol dissectors in the Lua programming language.

Thanks for letting us know!

В этой статье вы узнаете, как искать строки в пакетах с помощью Wireshark. Есть несколько вариантов, связанных с поиском строк. Прежде чем продолжить изучение этой статьи, вы должны иметь общие знания о Wireshark Basic.

Предположения

Захват Wireshark находится в одном состоянии; либо сохранены / остановлены, либо живут. Мы также можем выполнять поиск строки в режиме реального времени, но для лучшего и ясного понимания мы будем использовать сохраненный захват, чтобы сделать это.

Шаг 1. Откройте сохраненный снимок

Сначала откройте сохраненный снимок в Wireshark. Это будет выглядеть так:

Шаг 2. Откройте параметр поиска

Теперь нам нужна опция поиска. Есть два способа открыть эту опцию:

1. Используйте сочетание клавиш «Ctrl + F»
2. Нажмите «Найти пакет» либо на внешнем значке, либо перейдите в «Правка-> Найти пакет»

Посмотрите скриншоты, чтобы увидеть второй вариант.

Какой бы вариант вы ни использовали, окончательное окно Wireshark будет выглядеть, как на снимке экрана ниже:

Шаг 3. Параметры ярлыка

Мы видим несколько вариантов (раскрывающиеся списки, флажок) внутри окна поиска. Вы можете обозначить эти параметры номерами для облегчения понимания. Следуйте приведенному ниже снимку экрана для нумерации:

Этикетка1
В раскрывающемся списке есть три раздела.

1. Список пакетов
2. Детали пакета
3. Пакетные байты

На приведенном ниже снимке экрана вы можете увидеть, где расположены эти три раздела в Wireshark:

Выбор раздела a / b / c означает, что строка будет выполнена только в этом разделе.

Этикетка2
Мы оставим эту опцию по умолчанию, так как она лучше всего подходит для обычного поиска. Рекомендуется оставить этот параметр по умолчанию, если его не нужно менять.

Этикетка3
По умолчанию эта опция не отмечена. Если установлен флажок «Учитывать регистр», то при поиске по строке будут найдены только точные совпадения искомой строки. Например, если вы ищете «Linuxhint» и отмечен Label3, то поиск «LINUXHINT» в захвате Wireshark не будет.

Рекомендуется не устанавливать этот флажок, если его не нужно менять.

Этикетка4
Эта метка предназначена для различных типов поиска, таких как «Фильтр отображения», «Шестнадцатеричное значение», «Строка» и «Регулярное выражение.»Для целей этой статьи мы выберем« Строка »из этого раскрывающегося меню.

Этикетка5
Здесь нам нужно ввести строку поиска. Это вход для поиска.

Этикетка6
После ввода Label5 нажмите кнопку «Найти», чтобы запустить поиск.

Этикетка7
Если вы нажмете «Отмена», окна поиска закроются, и вам нужно будет вернуться, чтобы выполнить шаг 2, чтобы вернуть это окно поиска.

Шаг 4: Примеры

Теперь, когда вы разобрались с вариантами поиска, давайте попробуем несколько примеров. Обратите внимание, что мы отключили правило окраски, чтобы более четко видеть выбранный нами поисковый пакет.

Попытка1 [Используемая комбинация опций: «Список пакетов» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: «Len = 10»

Теперь нажмите «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Поскольку мы выбрали «Список пакетов», поиск производился внутри списка пакетов.

Затем мы снова нажмем кнопку «Найти», чтобы увидеть следующее совпадение. Это видно на скриншоте ниже. Мы не отметили разделы, чтобы вы могли понять, как происходит этот поиск.

С той же комбинацией давайте искать строку: «Linuxhint» [Проверить не найденный сценарий].

В этом случае вы можете увидеть сообщение желтого цвета в левой нижней части Wireshark, и ни один пакет не выбран.

Попробуйте2 [Используемая комбинация опций: «Сведения о пакете» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: “Последовательность чисел”

Теперь мы нажмем «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Здесь была выбрана строка, содержащаяся в «сведениях о пакете».

Мы отметим опцию «С учетом регистра» и будем использовать строку поиска как «Порядковый номер», оставив другие комбинации как есть. На этот раз строка будет соответствовать точному «порядковому номеру».”

Попробуйте3 [Используемая комбинация опций: «Пакетные байты» + «Узкий и широкий» + «С учетом регистра без флажка» + строка]

Строка поиска: “Последовательность чисел”

Теперь нажмите «Найти».Ниже приведен снимок экрана для первого щелчка по «Найти»

Как и ожидалось, поиск строки происходит внутри байтов пакета.

Заключение

Выполнение строкового поиска – очень полезный метод, который можно использовать для поиска требуемой строки внутри списка пакетов Wireshark, сведений о пакете или байтов пакета. Хороший поиск упрощает анализ больших файлов захвата Wireshark.