25.07.2020 22:11:28 |
Автор: Прочитав статью взял свой старенький TP-Link mr3240 v1.2 на котором была дефолтная прошивка. немного танцев с бубном и вот на нем уже полноценный снифер с Openwrt на борту, 8Ah батарейка, Wireguard и флешечка для хранения дампов в случае чего.
Установку openwrt описывать не буду т.к мануалов и так куча.
начнем наверно с установки tcpdump и подготовки самого WRT
логинимся в роутер по SSH дефолт root без пароля
далее
opkg update && opkg install openwrt
img
далее немного настроек в Switch openwrt переходим 192.168.1.1
Network -> Switch
будем слушать порт wan и 4 порт, при этом появится интерфейс влана eth0.3, если оставить настройки дефолтными то на 4 порту мы будем слышать только широковещательные сообщения т.к процессор не будет обрабатывать все адресованные не ему сообщения,
в случае со статьей вдохновившей меня мы слушали только одну пару либо RX либо TX в моём случае мы слушаем обе на интерфейсах eth1 и eth0.3
суть в том чтоб подключить пары Rx и Tx на пары Rx пары каждого интерфейса
img
для этого я собрал такой топорный кабель
Кабель
теперь вопрос о том как же удобно слушать просто запустить tcpdump и хранить всё на роутере не вариант от слова совсем, только в редких случаях конечно где объем не трафика не большой.
по этому решено использовать pipe через ssh plink для windows подходит прям идеально и смотреть всё в wireshark.
нашел на просторах интернета простой скриптик в котором нужно указать интерфейс и так далее
@REM ----------------------------------------------------@REM remotecap.cmd@REM Example command for captruing eremote network packet@REM using wireshark and tcpdump.@REM First written by j2doll. September 10th 2016.@REM https://github.com/j2doll/wireshark-remote-command-win@REM http://j2doll.tistory.com@REM ----------------------------------------------------@REM install putty and wireshark on your windows pc.@SET PLINK_PATH="C:\Program Files\PuTTY\plink.exe"@SET WIRESHARK_PATH="C:\Program Files\Wireshark\Wireshark.exe"@SET REMOTE_SERVER=192.168.1.1@SET REMOTE_ACCOUNT=root@SET REMOTE_PASSWORD=@SET REMOTE_INTERFACE=eth0.3@REM execute command%PLINK_PATH% -batch -ssh -pw %REMOTE_PASSWORD% %REMOTE_ACCOUNT%@%REMOTE_SERVER% "tcpdump -s0 -U -w - -i %REMOTE_INTERFACE%" | %WIRESHARK_PATH% -i - -k
конечно можно было бы и доделать это всё есть скриптик на питоне который объединяет два pipe в один и видно было бы удобно, но для моих целей это было вовсе не нужно
дальше вставляем кабель между девайсами и дополнительные пары в wan и 4 порт роутера запускаем две версии скрипта в одной REMOTE_INTERFACE=eth0.3 во второй REMOTE_INTERFACE=eth1.
пара желтых кабелей была для снифера в них я использовал только зеленую пару как и описывал выше, накручена она на оранжевую пару цветной к цветному, полосатый к полосатому второй кабель так же к зеленой паре.
я использовал в качестве жертв ноутбук и map lite, синий и серый кабеля как раз для них спаяны они на прямую то есть как должно быть цвет к цвету.
Чутка картиночек
дальше всё это запитал от аккума добавил wwan подкрутил wireguard и снифить можно из дома естественно если есть куда подкинуть wwan в месте где мы слушаем))
на этом всё.
Категории: