- Аналоги Wireshark для Android
- Захват трафика мобильного телефона на Wireshark
- Wireshark для андроид 4pda
- Wireshark для всех. Лайфхаки на каждый день
- Практические варианты использования
- Расшифровка трафика SSL/TLS
- Старые билды Windows 10
- Новые билды Windows 10
- Linux и Mac OS X
- Анализируем трафик с другого компьютера
- Ищем проблемы
- Содержимое пакетов
- Поиск пакетов по содержанию
- Трафик с мобильного телефона
- Трафик с телевизора и других бытовых приборов
- Termshark
- Функции
- Wireshark как веб-приложение
- На правах рекламы
Аналоги Wireshark для Android
Wireshark — это крупнейший в мире анализатор сетевых протоколов. Он позволяет вам захватывать и интерактивно просматривать трафик, работающий в компьютерной сети. Это де-факто (и часто де-юре) стандарт во многих отраслях и учебных заведениях.
Wireshark имеет богатый набор функций, который включает в себя следующее:
-Глубокая проверка сотен протоколов, с постоянным добавлением новых
-Живая запись и автономный анализ
-Стандартный трехпанельный браузер
-Мультиплатформенность: работает на Windows, Linux, OS X, Solaris, FreeBSD, NetBSD и многих других.
-Захваченные данные сети можно просматривать с помощью графического интерфейса или с помощью утилиты TShark в TTY-режиме
-Самые мощные фильтры в отрасли
-Анализ VoIP
-Читать / записывать множество различных форматов файлов: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, сетевой монитор Microsoft, сеть General Sniffer® (сжатая и несжатая), Sniffer® Pro и NetXray®, сетевые инструменты, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek и многие другие
-Захват файлов, сжатых с помощью gzip, которые могут быть сразу распакованы
-Живые данные можно считывать из Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI и других (в зависимости от вашей платформы)
-Поддержка дешифрования для многих протоколов, включая IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP и WPA / WPA2.
-Красочные правила могут быть применены к списку пакетов для быстрого, интуитивного анализа
-Файлы могут быть экспортированы в XML, PostScript®, CSV или обычный текст
Источник
Захват трафика мобильного телефона на Wireshark
Как я могу захватить трафик мобильного телефона на Wireshark?
Вот несколько предложений:
Для телефонов на базе Android: любая сеть : рутируйте свой телефон, затем установите на него tcpdump. Это приложение представляет собой оболочку tcpdump, которая установит tcpdump и позволит вам запускать захваты с помощью графического интерфейса. Совет: Вам необходимо убедиться, что вы указали правильное имя интерфейса для захвата, и оно варьируется от одного устройства к другому, например -i eth0 или -i tiwlan0 — или используйте -i any для регистрации всех интерфейсов.
Для телефонов Android 4.0+ : Android PCAP от Kismet использует интерфейс USB OTG для поддержки захвата пакетов без необходимости рута. Я не пробовал это приложение, и есть некоторые ограничения на тип поддерживаемых устройств (см. Их страницу)
Для телефонов Android : tPacketCapture использует службу Android VPN для перехвата пакетов и захвата их. Я успешно использовал это приложение, но оно также влияет на производительность при больших объемах трафика (например, потоковое видео)
Для устройств IOS 5+ в любой сети : в iOS 5 добавлено средство удаленного виртуального интерфейса (RVI) , которое позволяет использовать программы трассировки пакетов Mac OS X для захвата трассировок с устройства iOS. Смотрите здесь для более подробной информации
Для всех телефонов только Wi-Fi: настройте ПК в качестве беспроводной точки доступа , затем запустите wireshark на ПК
Для всех телефонов только Wi-Fi: получите устройство захвата, которое может прослушивать Wi-Fi. Это также дает преимущество, предоставляя вам заголовки 802.11x, но вы можете пропустить некоторые пакеты
Захват с использованием VPN-сервера : довольно легко настроить собственный VPN-сервер с использованием OpenVPN. Затем вы можете направить свой трафик через сервер, настроив мобильное устройство в качестве VPN-клиента и перехватывая трафик на стороне сервера.
Источник
Wireshark для андроид 4pda
Для функционирования программы необходимы права root пользователя.
Русский интерфейс: Нет
Описание:
Shark for Root — сниффер трафика для Android. Shark Reader — программа для просмотра дампов в формате .pcap
Для более удобной работы с дампами используйте Wireshark на ПК
Сообщение отредактировал vadeus — 09.03.14, 09:55
версия 0.9.9: Shark_0.9.9.apk ( 432.73 КБ )
UPD: сразу обнаружилась бага: если в Shark нажать на «открытие файла» при запущенном процессе перехвата, появляется неубиваемое сообщение Shark error: Empty file opened
Скрин:
забоянил баг автору на xda.
Сообщение отредактировал о4карег — 26.08.10, 12:49
BOJIKOJIAK,
касательно документации — не обнаружил
А софтинка интересна, более чем. Перспектива перспективой, а на данный момент всё это упирается в отсутствие драйвера с поддержкой режима монитора, который аппаратно в Broadcom BCM4329 поддерживается (насколько удалось выяснить)
Shark for Root native
Версия 1.0.2
Только для тех, кто имеет tcpdump в /system/xbin. Для остальных версия 1.0.2 ниже
Скачать: lv.n3o.sharknative_2.apk ( 73.94 КБ )
Shark for Root
Версия 1.0.2
Скачать: lv.n3o.shark_2.apk ( 433.36 КБ )
Shark Reader
Версия 0.1.5
Скачать: lv.n3o.sharkreader_2.apk ( 96.28 КБ )
Источник
Wireshark для всех. Лайфхаки на каждый день
Пакет с сертификатами от Хабра
Wireshark — очень известная программа для захвата и анализа сетевого трафика, незаменимый инструмент хакера, сетевого инженера, программиста, специалиста по безопасности. Да вообще любого любознательного человека, который хочет детально изучить трафик со своего или чужого мобильного телефона, фитнес-браслета, телевизора.
Wireshark в реальном времени перехватывает сетевые пакеты и сохраняет, например, в файлах pcap (Packet Capture). Их потом используют для изучения трафика, восстановления информации, анализа работы сети, обнаружения атак. Это альтернатива и дополнение к стандартной утилите tcpdump , с графическим интерфейсом, фильтрами и более широкими возможностями.
Практические варианты использования
В Wireshark миллион функций, но буквально каждый человек с минимальными знаниями может использовать его с пользой. Ниже примеры основных сетевых задач.
Расшифровка трафика SSL/TLS
Chrome и Firefox могут записывать логи сессионных ключей, которые используются для шифрования трафика SSL/TLS. Наша задача — включить запись этих логов, а потом загрузить их в Wireshark для анализа. Предполагается, что у нас есть физический доступ к компьютеру пользователя, трафик которого мы хотим расшифровать. Или к серверу, который устанавливает зашифрованное соединение с пользователем.
Сначала включаем запись ключей.
Старые билды Windows 10
В старых билдах Windows 10 работает старый метод. Заходим в Панель управления → Система и безопасность → Система. На вкладке «Дополнительные параметры системы» нажимаем кнопку «Переменные среды».
Добавляем для пользователя новую переменную SSLKEYLOGFILE и указываем путь до файла.
В результате получаем логи с ключами, начало файла:
Новые билды Windows 10
В более новых версиях после установки Windows 10 старый способ добавления переменных окружения может больше не работать. Тогда есть альтернативный вариант с помощью команды в оболочке PowerShell.
[Environment]::SetEnvironmentVariable(«PATH», «C:\TestPath», «User»)
Первый параметр — это имя переменной, второй — значение, третий — для какого уровня переменная (пользовательский или системный).
[Environment]::SetEnvironmentVariable(«SSLKEYLOGFILE», «D:\wireshark», «User»)
Linux и Mac OS X
Под Linux и Mac OS X можно использовать такую команду для изменения переменной окружения и ведения логов — с запуском браузера из того же терминального окна, поскольку переменные окружения всегда работают в пределах одной сессии.
После накопления лога запускаем Wireshark.
Заходим в «Параметры», там на вкладке «Протоколы» (Protocols) находим раздел TLS (раньше он назывался SSL) — и указываем путь к файлу с логами и ключом, который использовался в сессии симметричного шифрования: (Pre)-Master-Secret log filename.
Например, при заходе пользователя на сервер Gmail в окне инспектирования пакетов QUIC мы видим обычные пакеты QUIC, зашифрованные ключом TLS.
Но в нижней части экрана появляется новая вкладка Decrypted QUIC, которая показывает расшифрованное содержимое этих пакетов.
Такой метод расшифровки трафика клиента не требует установки Wireshark на его компьютер, достаточно только скачать дамп с ключами, а потом использовать его вместе с дампом трафика.
По современному российскому законодательству провайдеры обязаны некоторое время хранить трафик пользователей, в том числе зашифрованный трафик TLS/SSL. Теперь понятно, какой примерно механизм может использоваться для его расшифровки и анализа. Злоумышленник должен иметь сессионные ключи для симметричного шифрования. Крупнейшие российские интернет-компании типа «Яндекс» и Mail.ru послушно выполняют требования российского законодательства — и предоставляют эти ключи (см. приказ ФСБ № 432 от 12.08.2016 г. о порядке получения ключей шифрования).
Примечание. Этот способ не ограничен только HTTP. Точно так же можно перехватывать и расшифровывать трафик SSL/TLS в других потоках. Например, зашифрованный трафик от сервера MySQL.
Анализируем трафик с другого компьютера
Если нужно разобраться с сервером в продакшне, то удобно скопировать оттуда файлы pcap — и проанализировать трафик на личном компьютере.
Записываем пакеты на сервере с помощью сниффера пакетов tcpdump, который входит в стандартный комплект *nix:
Затем копируем файлы к себе на компьютер:
Здесь уже запускаем Wireshark и открываем полученный файл.
Есть вариант отслеживать серверный трафик в реальном времени со своего домашнего/рабочего компьютера. Например, весь трафик, кроме портов 22 и 53:
Примерно то же самое с компьютера под Windows:
Ищем проблемы
Чтобы выделить конкретное TCP-соединение, находим любой интересующий пакет, щёлкаем по нему правой кнопкой мыши — и применяем фильтр диалога.
Теперь из всего записанного трафика остались только пакеты, принадлежащие конкретно этому соединению.
На скриншоте мы видим пакеты с начала установки соединения TLS: пакет с приветствием клиента, ответный пакет с приветствием сервера, предъявленный сертификат, список шифров и так далее. Содержимое каждого пакета можно изучить отдельно. Очень удобно.
Типичный паттерн — использовать Wireshark для диагностики конкретных проблем. Например, в случае разрыва TLS-соединения мы можем зайти и посмотреть, кто его разорвал (клиент или сервер), на каком этапе это произошло и по какой причине.
Содержимое пакетов
Побайтовое содержимое каждого пакета — это настоящая магия. Конкретно эта функциональность Wireshark позволяет выявить самые серьёзные баги. Например, несколько лет назад выяснилось, что гигабитные Ethernet-контроллеры Intel 82574L отключаются, если отправить на них специально сконструированный пакет с определённой последовательностью байтов — так называемый «пакет смерти». Именно благодаря Wireshark выяснилось, какие конкретно байты в пакете приводят к гарантированному отключению сетевой карты.
Вот запись конкретных пакетов: pod-http-post.pcap и pod-icmp-ping.pcap. Можем их скачать, открыть в Wireshark и посмотреть своими глазами.
Отключение сетевого интерфейса Intel происходит, если по адресу 0x47f находится значение 2 или 3, то есть 32 HEX или 33 HEX. Если там 4, то всё нормально.
Для атаки подходил любой пакет: HTTP POST, ICMP echo-request и проч. Например, на веб-сервере можно сконфигурировать ответ 200 таким образом, что «убивает» сетевые интерфейсы на клиентских машинах. Довольно любопытная ситуация.
Поиск пакетов по содержанию
Выше мы применили фильтр диалога, чтобы выдать все пакеты для конкретного TCP-соединения. Однако фильтры можно писать и вручную. Вот некоторые примеры запросов:
- frame contains «google» — поиск всех пакетов со словом “google” в любом месте пакета
- tcp.port == 443 — порт 443
- dns.resp.len > 0 — все DNS-ответы
- ip.addr == 95.47.236.28 — конкретный IP-адрес для получателя или отправителя
… и так далее. Фильтры гораздо богаче, чем у tcpdump, так что именно анализ трафика лучше делать в Wireshark.
Трафик с мобильного телефона
Аналогичным образом можно проанализировать трафик с фитнес-часов по Bluetooth или трафик любого мобильного приложения под Android. Для этого нужно записать пакеты PCAP на мобильном устройстве — и передать их для анализа в Wireshark на рабочем ПК.
Есть несколько мобильных программ для записи PCAP. Например, приложение
PCAPdroid для Android:
PCAPdroid
В принципе, можно не передавать записанные файлы PCAP, а анализировать их прямо на мобильном устройстве. В некоторых мобильных снифферах есть и зачаточные функции анализатора пакетов, см. Packet Capture и Termux (о нём ниже).
Packet Capture
Wireshark имеет и прямой интерфейс Androiddump, чтобы снимать данные с телефона напрямую через Android SDK.
Трафик с телевизора и других бытовых приборов
Чтобы изучить трафик с телевизора, смартфона жены или других бытовых приборов, которые подключены в домашнюю сеть по Ethernet и WiFi, придётся записывать PCAP на маршрутизаторе. Иногда достаточно встроенных инструментов. Если у вас маршрутизатор с прошивкой DD-WRT, то можно прямо на устройстве запустить tcpdump :
Для прошивки OpenWrt есть вариант зеркалировать трафик с помощью iptables-mod-tee.
Можно зеркалировать и записывать трафик с помощью дополнительного физического хаба или врезки в сеть. Подробнее см. в документации.
Другой способ — перехватить беспроводной трафик WiFi с помощью утилиты Airodump-ng без подключения к маршрутизатору. Но это больше подходит для анализа трафика на чужих хотспотах.
Далее всё по накатанной — загружаем файлы в Wireshark, запускаем фильтры.
Кстати, Wireshark поддерживает также анализ трафика USB: встроенный сниффер USBPcap и импорт пакетов из сторонних снифферов, таких как Npcap и RawCap.
Termshark
Если вы анализируете объёмные логи на удалённом сервере, но не хотите копировать всё на свою машину, может пригодиться Termshark — удобный пользовательский интерфейс в консоли для анализатора TShark, по внешнему виду напоминающий Wireshark.
Функции
- Чтение файлов pcap и прослушивание трафика с активных интерфейсов в реальном времени (где разрешён tshark)
- Фильтрация pcap или активных интерфейсов с помощью фильтров отображения Wireshark
- Повторная сборка и инспектирование потоков TCP и UDP
- Просмотр сетевых сеансов по каждому протоколу
- Копирование выделенных пакетов из консоли в буфер обмена
- Инструмент написан на языке Go, на каждой платформе компилируется в единый исполняемый файл: есть уже собранные версии для Linux, macOS, вариантов BSD, Android (termux) и Windows
Вот как выглядит версия под Android:
Wireshark как веб-приложение
Если по каким-то причинам вы не можете запустить Wireshark на локальной машине, можно воспользоваться облачным сервисом CloudShark, который сделан на удивление качественно.
Основная функция — совместная работа и публикация разборов пакетов по URL. Например, cloudshark.org/captures/05aae7c1b941. Файлы загружаются в облако и анализируются в браузере. Это нужно, если вы хотите спросить совета на форуме, поделиться информацией с коллегами или опубликовать разбор пакетов для широкой аудитории. Кстати, удобно использовать с мобильного телефона, ведь под Android есть приложения для захвата пакетов, а вот хорошего анализатора нет.
Сервис платный, есть 30-дневный пробный период.
В общем, Wireshark — просто фантастическая программа на все случаи жизни.
Кроме реальной практической пользы, анализатор даёт примерное представление о том, как работает фильтрация DPI у российских провайдеров. Там всё устроено примерно так же. Система в реальном времени сканирует трафик, фильтрует конкретно пакеты от Twitter — и замедляет их доставку пользователям на территории России. В частности, этим непотребством занимается Роскомнадзор с 10 марта 2021 года.
На правах рекламы
Если для работы необходим сервер в аренду на Linux или Windows, то вам однозначно к нам — активация услуги через минуту после оплаты!
Источник