
TP-Link ルーターを持っていて、ルーターを通過するすべてのパケットをスニッフィングしたいと考えています。現在、Wireshark を使用していますが、ルーターを通過するパケットを取得できません。
これまで試したことは次のとおりです。
1) ノートパソコンにホットスポットを作成し、ノートパソコンのホットスポットに他のデバイスを接続すると、PC を通過するパケットを確認できます。しかし、必要なのはそれだけではありません。
2) LAN ケーブルを購入し、一方の端を PC ポートに接続し、もう一方の端をルーターの LAN ポートに接続しました。Wireshark で LAN トラフィックを選択しましたが、それでもルーターを通過するパケットにアクセスできません。
3) 自分のネットワーク上のすべての Web サイトを https ではなく http で実行するように強制できますか?
他にこれを行う方法はありますか?
ありがとう!
答え1
覚えておいてください: 最近は、複数のポートを持つものすべてにスイッチがあります。そのため、トラフィックをコンピューターにリダイレクトできるのは、DNS ポイズニングまたは ARP スプーフィングのみです。
いいえ、Web サイトに HTTP のみを使用するように強制することはできません。まず、今日の主要なサイトは、HTTPS へのリダイレクトを除いて、HTTP 経由のサービスさえ提供していません。次に、HSTS ヘッダーはブラウザーが HTTP 経由でアクセスすることを防止し、HTTPS のみのフラグは最初のアクセス時に設定されるので、Google、Facebook、Twitter などのすべてのマシンで既に設定されている可能性があります。基本的に、これらのサイトのトラフィックをスニッフィングする 1 つの方法は、mitmproxy などのソリューションを使用することです。
そこまでしたいかどうかはわかりませんが、私は何度も工場出荷時のファームウェアを TP-Links の OpenWRT に置き換えました (現時点では、TL-WDR3600 でフラッシュし直した OpenWRT 経由でインターネットにアクセスしています)。tcpdump パッケージがあるので、作業は非常に簡単です。tcpdump -w でファイルを書き込み、scp 経由でルーターからそのファイルを取得して、PC 上の Wireshark で分析します。
結局のところ、OpenWRT は非常に機能豊富なので、保証が切れても心配ありません。DD-WRT も試してみましたが、OpenWRT ほど優れているわけではありませんが、それでもどちらも元のファームウェアよりはるかに優れています。
答え2
すべてのトラフィックを PC を接続したポートにミラーリングするようにルーターを設定する必要があります (ルーターがサポートしている場合)。
あるいは、ARP スプーフィングによる MIM 攻撃を試して、トラフィックが自分のコンピューターを経由するように強制することもできます (これは自分のネットワークでのみ実行してください)。
一部のサイトでは、https 接続のみが許可されています。ネットワークにプロキシを設定して、http トラフィックを監視することができます。