WireShark を使用してリモート Linux システム上のネットワーク トラフィックをライブ スニッファする方法
Wireshark は、Kali Linux のトップ Wi-Fi 侵入テスト ツールであり、世界最先端のネットワーク プロトコル アナライザーとして使用されています。これにより、ネットワーク上で何が起こっているかを顕微鏡レベルで確認できます。 Wireshark を使用すると、ネットワークを詳細まで分析して、何が起こっているかを確認できます。 Wireshark は、ライブ パケット キャプチャ、数百のプロトコルの詳細な検査、パケットの参照とフィルタリングに使用でき、マルチプラットフォーム ツールです。
Wireshark の主な機能は次のとおりです。:
- 何百ものプロトコルを詳細に検査し、常に追加されています。
- 強力な表示フィルターを使用したライブ キャプチャとオフライン分析。
- キャプチャされたネットワーク データは、GUI または TTY モード TShark ユーティリティ経由で参照できます。
- さまざまなキャプチャ ファイル形式の読み取り/書き込み: tcpdump (libpcap)、Pcap NG、WildPackets EtherPeek/TokenPeek/AiroPeek … これは長いリストです。 XML、PostScript®、CSV、またはプレーン テキストにエクスポートすることもできます。
- ライブ データは、イーサネット、IEEE 802.11、PPP/HDLC、ATM、Bluetooth、USB、トークン リング、フレーム リレー、FDDI など (プラットフォームに応じて) から読み取ることができます。
- IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP、WPA/WPA2 など、多くのプロトコルの復号化をサポートします。
このチュートリアルでは、Wireshark を使用してネットワーク トラフィックをライブ スニファーする方法を学びます。ロバート・ペンツ。なぜライブネットワークフローを盗聴したいのでしょうか? tcpdump だけでは正しい情報が得られない場合や、次のような追加情報が必要な場合があります。
- TTL セキュリティを有効にする前に、BGP パケットの TTL/ホップ数を確認したい
- 暗号化された SNMPv3 パケットを確認したい場合 (パスワードが提供されていれば、Wireshark はそれを復号化できます)
- DHCP パケットとその内容を確認したい
確かに、tcpdump を使用してリモート Linux ボックスをファイルにスニファーし、それを scp 経由でローカル システムにコピーし、トラフィックを詳しく調べるのは非常に簡単です。ただし、同じクエリに対して Wireshark を使用すると、より良い結果が得られます。
SSH を使用して、キャプチャされたトラフィックをローカルの Wireshark にパイプするだけです。確かに、これは数 GB のトラフィックに最適な方法ではありませんが、多くの場合、何かをチェックしたり、少量のトラフィックを監視したりするには、数個のパケットが必要なだけです。とにかく、まず Wireshark が現在のユーザーで dumpcap コマンドを実行できることを確認する必要があります。したがって、権限を確認する必要があります
ll /usr/bin/dumpcap
-rwxr-xr-- 1 root wireshark 88272 Apr 8 11:53 /usr/bin/dumpcap*
したがって、Ubuntu/Debian では、自分自身を Wireshark グループに追加し、それが適用されたことを確認する必要があります。id
コマンド (ログオフするか、新しいセッションを開始する必要があります)su - $user
予め)。これで、次のように呼び出すことができます。
ssh [email protected] 'tcpdump -f -i eth0 -w - not port 22' | wireshark -k -i -
ここからがすごいところです。複数のセットアップで Ubiqity Unifi アクセス ポイントを使用すると、ステーションがワイヤレス インターフェイス上のアクセス ポイントと通信するトラフィックを確認できます。このコマンドを使用すると、アクセス ポイントに SSH で接続し、アクセス ポイントと数百キロメートル離れたステーションのライブ トラフィックを確認できるようになります。通常の Web GUI ユーザーを使用して AP に SSH 接続できます (別の設定をしていない場合)。ブリッジ設定は次のようになります。
BZ.v3.7.8# brctl show
bridge name bridge id STP enabled interfaces
br0 ffff.00272250d9cf no ath0
ath1
ath2
eth0
通常の IP トラフィック用にそのインターフェイス (またはブリッジ) の 1 つを選択することも、次のように wifi0 を使用して 1 つ深いレベルに進むこともできます。
ssh [email protected] 'tcpdump -f -i wifi0 -w -' | wireshark -k -i -
それでおしまい。 Wireshark を使用すると、数百キロメートル離れたリモートの Linux PC/ラップトップ上でネットワーク トラフィックをライブ スニファーできます。この素晴らしいチュートリアルを提供してくれた Robert Penz に感謝することを忘れないでください。