We use cookies to ensure that we give you the best experience on our website.

Wireshark を使用してリモート Linux システム上のネットワーク トラフィックをライブ スニファーする方法

WireShark を使用してリモート Linux システム上のネットワーク トラフィックをライブ スニッファする方法

Wireshark は、Kali Linux のトップ Wi-Fi 侵入テスト ツールであり、世界最先端のネットワーク プロトコル アナライザーとして使用されています。これにより、ネットワーク上で何が起こっているかを顕微鏡レベルで確認できます。 Wireshark を使用すると、ネットワークを詳細まで分析して、何が起こっているかを確認できます。 Wireshark は、ライブ パケット キャプチャ、数百のプロトコルの詳細な検査、パケットの参照とフィルタリングに使用でき、マルチプラットフォーム ツールです。

Wireshark の主な機能は次のとおりです。:

  • 何百ものプロトコルを詳細に検査し、常に追加されています。
  • 強力な表示フィルターを使用したライブ キャプチャとオフライン分析。
  • キャプチャされたネットワーク データは、GUI または TTY モード TShark ユーティリティ経由で参照できます。
  • さまざまなキャプチャ ファイル形式の読み取り/書き込み: tcpdump (libpcap)、Pcap NG、WildPackets EtherPeek/TokenPeek/AiroPeek … これは長いリストです。 XML、PostScript®、CSV、またはプレーン テキストにエクスポートすることもできます。
  • ライブ データは、イーサネット、IEEE 802.11、PPP/HDLC、ATM、Bluetooth、USB、トークン リング、フレーム リレー、FDDI など (プラットフォームに応じて) から読み取ることができます。
  • IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP、WPA/WPA2 など、多くのプロトコルの復号化をサポートします。

このチュートリアルでは、Wireshark を使用してネットワーク トラフィックをライブ スニファーする方法を学びます。ロバート・ペンツ。なぜライブネットワークフローを盗聴したいのでしょうか? tcpdump だけでは正しい情報が得られない場合や、次のような追加情報が必要な場合があります。

  • TTL セキュリティを有効にする前に、BGP パケットの TTL/ホップ数を確認したい
  • 暗号化された SNMPv3 パケットを確認したい場合 (パスワードが提供されていれば、Wireshark はそれを復号化できます)
  • DHCP パケットとその内容を確認したい

確かに、tcpdump を使用してリモート Linux ボックスをファイルにスニファーし、それを scp 経由でローカル システムにコピーし、トラフィックを詳しく調べるのは非常に簡単です。ただし、同じクエリに対して Wireshark を使用すると、より良い結果が得られます。

SSH を使用して、キャプチャされたトラフィックをローカルの Wireshark にパイプするだけです。確かに、これは数 GB のトラフィックに最適な方法ではありませんが、多くの場合、何かをチェックしたり、少量のトラフィックを監視したりするには、数個のパケットが必要なだけです。とにかく、まず Wireshark が現在のユーザーで dumpcap コマンドを実行できることを確認する必要があります。したがって、権限を確認する必要があります

ll /usr/bin/dumpcap
-rwxr-xr-- 1 root wireshark 88272 Apr 8 11:53 /usr/bin/dumpcap*

したがって、Ubuntu/Debian では、自分自身を Wireshark グループに追加し、それが適用されたことを確認する必要があります。idコマンド (ログオフするか、新しいセッションを開始する必要があります)su - $user予め)。これで、次のように呼び出すことができます。

ssh [email protected] 'tcpdump -f -i eth0 -w - not port 22' | wireshark -k -i -

ここからがすごいところです。複数のセットアップで Ubiqity Unifi アクセス ポイントを使用すると、ステーションがワイヤレス インターフェイス上のアクセス ポイントと通信するトラフィックを確認できます。このコマンドを使用すると、アクセス ポイントに SSH で接続し、アクセス ポイントと数百キロメートル離れたステーションのライブ トラフィックを確認できるようになります。通常の Web GUI ユーザーを使用して AP に SSH 接続できます (別の設定をしていない場合)。ブリッジ設定は次のようになります。

BZ.v3.7.8# brctl show
bridge name bridge id STP enabled interfaces
br0 ffff.00272250d9cf no ath0
ath1
ath2
eth0

通常の IP トラフィック用にそのインターフェイス (またはブリッジ) の 1 つを選択することも、次のように wifi0 を使用して 1 つ深いレベルに進むこともできます。

ssh [email protected] 'tcpdump -f -i wifi0 -w -' | wireshark -k -i -

それでおしまい。 Wireshark を使用すると、数百キロメートル離れたリモートの Linux PC/ラップトップ上でネットワーク トラフィックをライブ スニファーできます。この素晴らしいチュートリアルを提供してくれた Robert Penz に感謝することを忘れないでください。

Also Read