Schnüffeln Sie Pakete vom Router

Ich habe also einen TP-Link-Router und möchte alle Pakete, die durch den Router gehen, aufspüren. Ich verwende derzeit Wireshark, kann aber die Pakete, die über meinen Router gesendet werden, nicht abrufen.

Was ich bisher ausprobiert habe:

1) Wenn ich einen Hotspot auf meinem Laptop erstelle und andere Geräte an den Hotspot meines Laptops anschließe, kann ich Pakete sehen, die durch meinen PC gehen. Aber das ist noch nicht alles, was ich brauche.

2) Ich habe ein LAN-Kabel gekauft. Ein Ende ist an meinen PC-Port und das andere Ende an den LAN-Port des Routers angeschlossen. Und ich habe LAN-Verkehr in Wireshark gewählt. Trotzdem kann ich nicht auf die Pakete zugreifen, die über den Router gesendet werden.

3) Kann ich alle Websites zwingen, in meinem eigenen Netzwerk auf http anstatt auf https zu laufen?

Gibt es eine andere Möglichkeit, dies zu tun?

Dankeschön!

— JohnMD
quelle

Sie benötigen ein Abzweiggerät in der Leitung zwischen dem Router und dem ISP-Demark, um zu sehen, dass der gesamte Datenverkehr in den und aus dem Router gelangt. Was die Verschlüsselung betrifft, können Sie keine Website erzwingen, die HTTPS für die Verwendung von HTTP verwenden soll. Der Webserver verfügt über Protokoll-Handler, die an bestimmte Ports angeschlossen sind, und ein reiner HTTP-Server erledigt sein gesamtes Geschäft über einen Nicht-80-Port. Das heißt, Sie würden Kauderwelsch bekommen und scheitern. Das Beste, was Sie hoffen können, ist, ein Gerät einzuschalten, um das verwendete Zertifikat transparent auszutauschen, damit Sie den Datenverkehr entschlüsseln können.

— Frank Thomas

Antworten:

Denken Sie daran: Heutzutage hat alles, was mit mehr als einem Port zu tun hat, einen Switch. Sie haben also die Möglichkeit, den Datenverkehr nur durch DNS-Vergiftung oder ARP-Spoofing auf Ihren Computer umzuleiten.

Nein, Sie können Websites nicht zwingen, nur HTTP zu verwenden. Erstens bieten große Websites heutzutage außer der Weiterleitung zu HTTPS nicht einmal Dienste über HTTP an. Zweitens verhindert der HSTS-Header, dass Browser über HTTP auf sie zugreifen, und das Nur-HTTPS-Flag wird beim ersten Zugriff gesetzt, sodass es wahrscheinlich bereits auf jedem Computer für Google, Facebook, Twitter usw. gesetzt ist verwendet Lösungen wie mitmproxy.

Ich weiß nicht, ob Sie so weit gehen wollen, aber ich hatte oftmals die werkseitige Firmware durch OpenWRT auf TP-Links ersetzt (im Moment greife ich über ein solches reflashed OpenWRT @ TL-WDR3600 auf das Internet zu). Es gibt das tcpdump-Paket, daher ist die Aufgabe ziemlich einfach: Schreiben Sie eine Datei mit tcpdump -w, holen Sie diese Datei über scp vom Router und analysieren Sie sie mit Wireshark auf dem PC.

Schließlich ist OpenWRT so funktionsreich, dass selbst der Verlust der Garantie für mich kein Problem darstellt. Ich habe auch DD-WRT ausprobiert und nein, es ist nicht so gut wie OpenWRT, aber dennoch sind beide viel besser als die ursprüngliche Firmware.

— Nikita Kipriyanov
quelle

Geniale Erklärung !! Ich danke dir sehr. Ich habe einen Zweifel, dass mitmproxy im gesamten Netzwerk oder nur in einem installierten PC funktioniert.

— JohnMD

Wenn es Ihnen gelingt, den Router so einzurichten, dass der gesamte HTTP (S) -Verkehr an Ihren Mitmproxy umgeleitet wird, funktioniert dies für das gesamte Netzwerk. Ich habe es nicht alleine versucht, aber es sollte auch mit OpenWRT möglich sein.

— Nikita Kipriyanov

Okay danke! Wie kann ich https-Verkehr mit mitmproxy lesen? Ich meine, wenn jemand Daten auf https postet?

— JohnMD

Mitmproxy richtig einrichten, ja. Dazu müssen Sie jedoch eine spezielle MitM-Zertifizierungsstelle erstellen und auf jedem Computer im Netzwerk als vertrauenswürdig festlegen. Dies wird in der Dokumentation behandelt, Sie müssen es nur sorgfältig lesen und implementieren.

— Nikita Kipriyanov

Vielen Dank! Ist es möglich, eine HTTPS-Verbindung mit mitmproxy aufzuspüren, auch wenn ich kein Zertifikat auf der Clientseite generieren möchte? Weil ich keinen Zugang zum Gerät des Opfers habe.

— JohnMD

Sie müssen Ihren Router so einstellen, dass er den gesamten Datenverkehr (sofern er vom Router unterstützt wird) an den Anschluss spiegelt, den Sie an Ihren PC angeschlossen haben.

Alternativ können Sie einen MIM-Angriff mit ARP-Spoofing versuchen, um den Datenverkehr über Ihren Computer zu leiten (nur in Ihrem eigenen Netzwerk).

Auf einigen Websites sind nur https-Verbindungen zulässig. Sie können einen Proxy in Ihrem Netzwerk einrichten, um den HTTP-Verkehr zu überwachen.

— Sim
quelle

Okay! Danke, für die schnelle Antwort. In der zweiten Frage habe ich gefragt, ob ich derzeit mit dem LAN-Kabel mit dem Router verbunden bin. Warum kann ich immer noch nicht auf Pakete zugreifen?

— JohnMD

Ihr Router arbeitet lokal als Switch (Port-Isolation) und nicht als Hub.

— Sim

@JohnMD Sie sind über einen eingebauten Switch mit dem Router verbunden . Dies bedeutet, dass nur der für Ihren Computer bestimmte Datenverkehr auf Ihren Computer übertragen wird. Wenn Ihr Computer das einzige mit dem Switch verbunden ist, dann würden Sie die gesamten Verkehr sehen. Ist es nicht, also tust du es nicht. Es ist möglich, dass Sie Ihre Ethernet-Karte in den Promiscuous-Modus versetzen müssen, wenn Wireshark / WinPcap dies nicht berücksichtigt.

— Andrew Morton