
所以我有 TP-Link 路由器,我想嗅探通過路由器的所有資料包。我現在正在使用 Wireshark,但無法取得通過路由器的資料包。
那麼到目前為止我嘗試過的:
1)如果我在筆記型電腦上創建熱點,並在筆記型電腦的熱點上連接其他設備,那麼我就可以看到透過我的電腦的資料包。但這還不是我所需要的全部。
2)我買了一條網路線,一端連接到我的電腦端口,另一端連接到路由器的LAN端口。我在wireshark中選擇了LAN Traffic,但我仍然無法存取通過路由器的資料包。
3) 我可以強制所有網站在我自己的網路上運行 http 而不是 https 嗎?
有其他方法可以做到這一點嗎?
謝謝你!
答案1
請記住:如今,所有具有多個連接埠的設備都配有交換器。因此,您只有透過 DNS 中毒或 ARP 欺騙才有機會將流量重新導向到您的電腦。
不,您不能強制網站僅使用 HTTP。首先,現在的主要網站除了重新導向到 HTTPS 之外,甚至不透過 HTTP 提供任何服務。其次,HSTS 標頭阻止瀏覽器透過HTTP 存取它們,並且在第一次造訪時設定僅HTTPS 標誌,因此它可能已經在Google、Facebook、Twitter 等的每台電腦上設定。流量的一種方法正在使用像 mitmproxy 這樣的解決方案。
我不知道你是否願意走那麼遠,但很多時候我已經用TP-Links上的OpenWRT替換了工廠固件(此時我正在通過這樣刷新的OpenWRT @ TL-WDR3600訪問互聯網)。有 tcpdump 軟體包,因此任務非常簡單 - 使用 tcpdump -w 編寫一個文件,然後透過 scp 從路由器取得該文件並在 PC 上使用 Wireshark 分析它。
畢竟OpenWRT的功能如此豐富,所以即使失去保固對我來說也不用擔心。我也嘗試過DD-WRT,不,它不如OpenWRT,但仍然比原始韌體好得多。
答案2
您需要將路由器設定為將所有流量(如果您的路由器支援)鏡像到您連接 PC 的連接埠。
或者,您可以嘗試使用 ARP 欺騙進行 MIM 攻擊,強制流量通過您的電腦(僅在您自己的網路上執行此操作)。
有些網站只允許 https 連線。您可以在網路上設定代理來監控 http 流量。