그래서 TP-Link 라우터가 있고 라우터를 통과하는 모든 패킷을 스니핑하고 싶습니다. 지금 Wireshark를 사용하고 있지만 라우터를 통과하는 패킷을 가져올 수 없습니다.
그래서 지금까지 시도한 것 :
1) 내 노트북에 핫스팟을 만들고 내 노트북의 핫스팟에 다른 장치를 연결하면 내 PC를 통과하는 패킷을 볼 수 있습니다. 하지만 그것이 내가 필요한 전부는 아닙니다.
2) LAN 케이블을 구입했습니다. 한쪽 끝은 내 PC 포트에 연결되고 다른 쪽 끝은 라우터의 LAN 포트에 연결됩니다. 그리고 Wireshark에서 LAN 트래픽을 선택했지만 여전히 라우터를 통과하는 패킷에 액세스할 수 없습니다.
3) 내 네트워크에서 모든 웹사이트가 https가 아닌 http에서 실행되도록 강제할 수 있나요?
다른 방법이 있나요?
감사합니다!
답변1
기억하세요: 요즘에는 두 개 이상의 포트가 있는 모든 것에 스위치가 있습니다. 따라서 DNS 감염 또는 ARP 스푸핑을 통해서만 트래픽을 컴퓨터로 리디렉션할 수 있습니다.
아니요. 웹사이트에서 HTTP만 사용하도록 강제할 수는 없습니다. 우선 요즘 주요 사이트들은 HTTPS로 리디렉션하는 것 외에는 HTTP를 통한 서비스조차 제공하지 않습니다. 둘째, HSTS 헤더는 브라우저가 HTTP를 통해 액세스하는 것을 방지하고 HTTPS 전용 플래그는 첫 번째 액세스 시 설정되므로 Google, Facebook, Twitter 등의 모든 시스템에 이미 설정되어 있을 가능성이 높습니다. 기본적으로 이러한 사이트의 트래픽을 스니핑하는 한 가지 방법 mitmproxy와 같은 솔루션을 사용하고 있습니다.
그렇게까지 가고 싶은지는 모르겠지만 TP-Links에서 공장 펌웨어를 OpenWRT로 여러 번 교체했습니다(지금은 새로 플래시된 OpenWRT @ TL-WDR3600을 통해 인터넷에 액세스하고 있습니다). tcpdump 패키지가 있으므로 작업은 매우 간단합니다. tcpdump -w로 파일을 작성한 다음 scp를 통해 라우터에서 해당 파일을 가져와 PC에서 Wireshark로 분석합니다.
결국 OpenWRT는 기능이 너무 풍부하기 때문에 보증 상실도 걱정할 필요가 없습니다. 나는 또한 DD-WRT를 시도했는데, 아니요, OpenWRT만큼 좋지는 않지만 여전히 둘 다 원래 펌웨어보다 훨씬 낫습니다.
답변2
모든 트래픽(라우터가 지원하는 경우)을 PC에 연결한 포트로 미러링하도록 라우터를 설정해야 합니다.
대안으로 ARP 스푸핑을 사용하여 MIM 공격을 시도하여 트래픽이 컴퓨터를 통과하도록 할 수 있습니다(이 작업은 자체 네트워크에서만 수행).
일부 사이트는 https 연결만 허용합니다. http 트래픽을 모니터링하기 위해 네트워크에 프록시를 설정할 수 있습니다.