Sniffing dei pacchetti per dispositivi IoT

Naviga le tue risposte
2

Sto cercando di fare qualche pacchetto sniffing su alcuni dei miei dispositivi IoT per vedere quanto stanno telefonando a casa e vedere alcune porte che posso bloccare per impedirgli di farlo.

Sono un mix di dispositivi wireless e cablati quindi una semplice modalità promiscua non è sufficiente per Wireshark. Al momento sto utilizzando un router Netgear, quindi non posso eseguire l'analisi da lì.

La mia migliore opzione è un attacco MITM usando l'avvelenamento ARP? Non voglio fare tutto il possibile per provare a configurare una sorta di proxy da annusare.

Mi piacerebbe farlo da Linux. Ettercap è lo strumento migliore per questo in questi giorni?

    
posta hemlock 08.04.2018 - 16:31
fonte

3 risposte

1

Se riesci a mettere 2 interfacce sulla scatola Linux, l'avvelenamento e gli attacchi non sono affatto necessari. Interfacce di installazione per WAN & LAN, aggiungi server DHCP e alcune regole NAT e puoi facilmente monitorare il traffico con tutti gli strumenti inclusi ethercap, tcpdump, wireshark, ecc. E successivamente bloccare quei flussi indesiderati.

Se 2 interfacce non sono a portata di mano, fai lo stesso sopra su un'interfaccia: Disabilita DHCP sul router, assegna a Linux un indirizzo statico, fai il resto come sopra e lascia che Linux faccia il lavoro.

    
risposta data 08.04.2018 - 16:43
fonte
0

Questi dispositivi molto probabilmente telefonano su TLS, quindi se vuoi seguire la rotta spoof dell'arp dovrai usare sslstrip per vedere effettivamente il traffico.

Vorrei raccomandare arpspoof + sslstrip e alcuni comandi iptable aggiuntivi per farlo funzionare.

Ad esempio:

  1. Abilita l'IP forwarding in Linux (poiché i pacchetti che ti interessano non hanno il tuo IP come destinazione)

    sudo echo 1 > /proc/sys/net/ipv4/ip_forward

  2. Assicurati che i pacchetti a cui sei interessato passino attraverso sslstrip per poter vedere effettivamente il contenuto non crittografato:

    sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

    sudo iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 10000

  3. Avvelenare la tabella arp del dispositivo IoT di destinazione

    arpspoof -t X.X.X.X -r A.A.A.A

    Dove X.X.X.X è l'IP del dispositivo IoT e A.A.A.A è l'IP del gateway della rete data.

  4. Monitora il traffico con wireshark usando il seguente filtro:

    ip.addr == X.X.X.X && http

Se hai la possibilità di inserire un proxy nel dispositivo IoT, ti consiglio burpsuite e il loro proxy / intercetta http soluzione.

    
risposta data 08.04.2018 - 19:10
fonte
0

In precedenza ho utilizzato Linux e Ettercap per sniffare i pacchetti e fare esattamente ciò che hai menzionato.

Ricordo allora disabilitare il proxy . Se stai annusando i tuoi dispositivi, non è davvero importante essere sinceri.

    
risposta data 08.04.2018 - 19:33
fonte

Leggi altre domande sui tag

chiarimento su come le tabelle arcobaleno utilizzano più funzioni di riduzione per evitare collisioni Nessus per le tecnologie operative