Come filtrare il contenuto di un pacchetto in Wireshark?


8

Ho un'applicazione che sta comunicando con un database Oracle, la sua registrazione è piuttosto scadente, quindi l'unico modo per allenarmi su ciò che SQL sta inviando al nostro database è sniffare i pacchetti per TNS.requests; Voglio filtrare questi pacchetti da quelli che contengono il nome di particolare cioè sull'esistenza di una stringa paricolare nel pacchetto. Come posso fare questo?

Grazie.

Risposte:


13

Hai provato gli operatori "contiene" o "corrispondenze"? Per esempio,

tns.request and tns contains "Marshmallows"

o semplicemente

frame matches "(?i)marshmallows"

Il primo esempio cerca le richieste TNS che contengono la stringa con distinzione tra maiuscole e minuscole "Marshmallows". Il secondo esempio cerca "marshmallows" ovunque in qualsiasi frame, ignorando il caso. ("contiene" esegue una semplice corrispondenza delle stringhe; "corrispondenze" consente di utilizzare i modificatori PCRE).


Aggiornamento: in Wireshark 2.6 e versioni successive le "corrispondenze" non fanno distinzione tra maiuscole e minuscole per impostazione predefinita. È possibile utilizzare il modificatore PCRE "(? -I)" per forzare la distinzione tra maiuscole e minuscole.


Grazie, ho pensato che sarebbe stato qualcosa di semplice, evviva che era esattamente quello che volevo sapere.

0

Esistono diverse interpretazioni della tua domanda:

  1. Stai usando WireShark e vuoi fare un filtro più sofisticato per analizzare meglio i dati. in tal caso, leggi i documenti . Puoi anche programmare i filtri in Lua , se hai bisogno di ulteriore potere espressivo.

  2. Vuoi filtrare quei pacchetti; vale a dire un firewall a livello di applicazione o NIDS . Controlla il filtro L7 per firewall / shaping o Snort per NIDS (quest'ultimo può anche usare alcuni script Lua, penso)

  3. Vuoi acquisire pacchetti per accedere, creare statistiche o qualsiasi altra attività automatizzata. controlla tcpdump / libpcap e / o il mio legame libpcap per Lua .


Sì, ho letto i documenti, ma non sono riuscito a trovare quello che cercavo. Tutto quello che voglio fare è aggiungere un filtro per trovare un punto nei dati grezzi del pacchetto. Faccio una ricerca sui dati filtrati richiesta TNS., ma quello passa semplicemente attraverso ogni pacchetto in cui appare la stringa. Mi dispiace, ho pensato che sarebbe stata davvero una sintassi.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.