Zajem omrežnega prometa iz Mikrotika v Wireshark
V tokratnem prispevku si bomo pogledali kako zajamemo WiFi omrežni promet mobilnega telefona v PCAP (Packet Capture) datoteko, ki jo nato lahko analiziramo z orodjem Wireshark. Zajem omrežnega prometa poteka s pomočjo TZSP protokola. TZSP ali TaZmen Sniffer Protocol je tim. enkapsulacijski protokol, v katerega “zavijemo” zajeti omrežni promet, ki ga potem preko UDP posredujemo drugam (npr. v nadaljnjo analizo ali v sistem za zaznavanje vdorov (IDS)). Primarno je bil protokol razvit za zajem brezžičnega prometa (802.11) in njegovo posredovanje v žično omrežje. Za zajem bomo poleg mobilneg telefona potrebovali še Mikrotik usmerjevalnik ter računalnik z Ubuntu Linuxom.
V opisanem primeru predpostavimo, da bomo zajemali brezžični promet mobilnega telefona, ki je preko WiFi povezan na Mikrotik usmerjevalnik z IP naslovom 192.168.88.1
. Zajem bomo izvedli na prenosnem računalniku z nameščenim operacijskim sistemom Ubuntu Linux, ki je prav tako povezan na Mikrotik usmerjevalnik (brezžično ali s kablom) in ima IP naslov 192.168.88.252
.
Preden začnemo zajem, bomo poleg navedenih IP naslovov potrebovali še MAC naslov mobilne naprave, katere promet bomo zajemali, saj bomo zajem prometa filtrirali po tem MAC naslovu. Zajem sicer poteka v dveh delih. Omrežni promet je najprej potrebno zajeti na usmerjevalniku Mikrotik, ki ga zavije v TZSP protokol in posreduje prenosniku. V drugem delu pa prenosnik posredovane podatke sprejme in posreduje aplikaciji Wireshar ali shrani neposredno v PCAP datoteko.
Namestitev Wireshark
Na računalniku, kjer bomo izvajali zajem najprej odpremo požarni zid: sudo ufw allow from any to any port 37008 proto udp
.
Nato namestimo Wireshark in zajem omogočimo uporabnikom brez administratorskih privilegijev: sudo dpkg-reconfigure wireshark-common
. Lokalnega uporabnika (v našem primeru matej) je seveda potrebno dodati v skupino wireshark: sudo gpasswd -a matej wireshark
; po tem pa je potrebna odjava in ponovna prijava tega uporabnika.
Zagon zajema na računalnik
Najprej si na računalnik prenesemo Mikrotikovo orodje trafr
, s katerim bomo zajemali posredovane podatke na računalniku: wget http://www.mikrotik.com/download/trafr.tgz
. Orodje razpakiramo: tar xzf trafr.tgz
.
Ker je trafr 32-bitna aplikacija, moramo na 64-bitnih sistemih imeti nameščene kompatibilnostne knjižnice, ki omogočajo poganjanje 32-bitnih aplikacij. V nasprotnem primeru bo zagon aplikacije (z ukazom ./trafr
) vrnil napako:
-bash: ./trafr: No such file or directory
Z ukazom file trafr
lahko vidimo, da je aplikacija v resnici 32-bitna:
trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped
Rešitev je preprosta, na Ubuntu sistemu je potrebno namestiti podporne knjižnice:
dpkg --add-architecture i386
apt-get update && apt-get install -y libc6:i386
Na starejših Ubuntu sistemih je potrebno namestiti knjižnico ia32-libs
, na drugih distribucijah Linuxa (npr. CentOS ali RHEL) pa glibc.i686
.
Ko je Mikrotikovo orodje trafr
nameščeno, zajem zaženemo z ukazom: ./trafr -s 192.168.88.1 | wireshark -k -i -
. V tem primeru bo zajem potekal neposredno v Wireshark, predpostavka pa seveda je, da se Mikrotik usmerjevalnik nahaja na IP naslovu 192.168.88.1
.
Če hočemo zajem narediti neposredno v PCAP datoteko, uporabimo ukaz:
./trafr "phone_`date +'%H-%M-%S_%d-%m-%Y'`.pcap" 192.168.88.1
Zajem na Mikrotiku
V drugem delu je potrebno zagnati še zajem podatkov še na Mikrotiku. Na Mikrotik oz. v RouterOS se prijavimo preko orodja Winbox ali preko spletnega vmesnika in odpremo novo terminalsko okno (new Terminal).
Sedaj vpišemo ukaz s katerim nastavimo zajem podatkov in njihovo posredovanje na prenosni računalnik: /tool sniffer set streaming-enabled=yes streaming-server=192.168.88.252 filter-mac-address=EE:B5:BF:DF:03:54
.
V danem primeru ima prenosni računalnik IP naslov 192.168.88.252
, zajem podatkov mobilnega telefona pa filtriramo po njegovem MAC naslovu, ki je v našem primeru EE:B5:BF:DF:03:54
.
Zdaj je potrebno zajem podatkov še dejansko aktivirati. To storimo z ukazom: /tool sniffer start
.
Mimogrede, z ukazom /tool sniffer print
lahko pogledamo nastavitve zajemanja.
Mikrotik bo sedaj pričel zajemati podatke mobilnega telefona z MAC naslovom EE:B5:BF:DF:03:54
in jih posredovati na prenosni računalnik z IP naslovom 192.168.88.252
. Prenosni računalnik pa bo prejete podatke posredoval v Wireshark oziroma shranjeval v PCAP datoteko. Od tam naprej jih lahko analiziramo z različnimi orodji za analizo omrežnega prometa.
Ključne besede: mobilna telefonija