Telefoncek.si

VizitkaO Pravokator.siPravno obvestiloPredavanja in knjigeVarnost GSM

Objavljeno: 12. 06. 2022

Zajem omrežnega prometa iz Mikrotika v Wireshark

V tokratnem prispevku si bomo pogledali kako zajamemo WiFi omrežni promet mobilnega telefona v PCAP (Packet Capture) datoteko, ki jo nato lahko analiziramo z orodjem Wireshark. Zajem omrežnega prometa poteka s pomočjo TZSP protokola. TZSP ali TaZmen Sniffer Protocol je tim. enkapsulacijski protokol, v katerega “zavijemo” zajeti omrežni promet, ki ga potem preko UDP posredujemo drugam (npr. v nadaljnjo analizo ali v sistem za zaznavanje vdorov (IDS)). Primarno je bil protokol razvit za zajem brezžičnega prometa (802.11) in njegovo posredovanje v žično omrežje. Za zajem bomo poleg mobilneg telefona potrebovali še Mikrotik usmerjevalnik ter računalnik z Ubuntu Linuxom.

V opisanem primeru predpostavimo, da bomo zajemali brezžični promet mobilnega telefona, ki je preko WiFi povezan na Mikrotik usmerjevalnik z IP naslovom 192.168.88.1. Zajem bomo izvedli na prenosnem računalniku z nameščenim operacijskim sistemom Ubuntu Linux, ki je prav tako povezan na Mikrotik usmerjevalnik (brezžično ali s kablom) in ima IP naslov 192.168.88.252.

Preden začnemo zajem, bomo poleg navedenih IP naslovov potrebovali še MAC naslov mobilne naprave, katere promet bomo zajemali, saj bomo zajem prometa filtrirali po tem MAC naslovu. Zajem sicer poteka v dveh delih. Omrežni promet je najprej potrebno zajeti na usmerjevalniku Mikrotik, ki ga zavije v TZSP protokol in posreduje prenosniku. V drugem delu pa prenosnik posredovane podatke sprejme in posreduje aplikaciji Wireshar ali shrani neposredno v PCAP datoteko.

Namestitev Wireshark

Na računalniku, kjer bomo izvajali zajem najprej odpremo požarni zid: sudo ufw allow from any to any port 37008 proto udp.

Nato namestimo Wireshark in zajem omogočimo uporabnikom brez administratorskih privilegijev: sudo dpkg-reconfigure wireshark-common. Lokalnega uporabnika (v našem primeru matej) je seveda potrebno dodati v skupino wireshark: sudo gpasswd -a matej wireshark; po tem pa je potrebna odjava in ponovna prijava tega uporabnika.

Zagon zajema na računalnik

Najprej si na računalnik prenesemo Mikrotikovo orodje trafr, s katerim bomo zajemali posredovane podatke na računalniku: wget http://www.mikrotik.com/download/trafr.tgz. Orodje razpakiramo: tar xzf trafr.tgz.

Ker je trafr 32-bitna aplikacija, moramo na 64-bitnih sistemih imeti nameščene kompatibilnostne knjižnice, ki omogočajo poganjanje 32-bitnih aplikacij. V nasprotnem primeru bo zagon aplikacije (z ukazom ./trafr) vrnil napako:

-bash: ./trafr: No such file or directory

Z ukazom file trafr lahko vidimo, da je aplikacija v resnici 32-bitna:

trafr: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.2.0, stripped

Rešitev je preprosta, na Ubuntu sistemu je potrebno namestiti podporne knjižnice:

dpkg --add-architecture i386
apt-get update && apt-get install -y libc6:i386

Na starejših Ubuntu sistemih je potrebno namestiti knjižnico ia32-libs, na drugih distribucijah Linuxa (npr. CentOS ali RHEL) pa glibc.i686.

Ko je Mikrotikovo orodje trafr nameščeno, zajem zaženemo z ukazom: ./trafr -s 192.168.88.1 | wireshark -k -i -. V tem primeru bo zajem potekal neposredno v Wireshark, predpostavka pa seveda je, da se Mikrotik usmerjevalnik nahaja na IP naslovu 192.168.88.1.

Če hočemo zajem narediti neposredno v PCAP datoteko, uporabimo ukaz:

./trafr "phone_`date +'%H-%M-%S_%d-%m-%Y'`.pcap" 192.168.88.1

Zajem na Mikrotiku

V drugem delu je potrebno zagnati še zajem podatkov še na Mikrotiku. Na Mikrotik oz. v RouterOS se prijavimo preko orodja Winbox ali preko spletnega vmesnika in odpremo novo terminalsko okno (new Terminal).

Sedaj vpišemo ukaz s katerim nastavimo zajem podatkov in njihovo posredovanje na prenosni računalnik: /tool sniffer set streaming-enabled=yes streaming-server=192.168.88.252 filter-mac-address=EE:B5:BF:DF:03:54.

V danem primeru ima prenosni računalnik IP naslov 192.168.88.252, zajem podatkov mobilnega telefona pa filtriramo po njegovem MAC naslovu, ki je v našem primeru EE:B5:BF:DF:03:54.

Zdaj je potrebno zajem podatkov še dejansko aktivirati. To storimo z ukazom: /tool sniffer start.

Mimogrede, z ukazom /tool sniffer print lahko pogledamo nastavitve zajemanja.

Zajeti promet v Wireshark

Zajeti promet v Wireshark.

Mikrotik bo sedaj pričel zajemati podatke mobilnega telefona z MAC naslovom EE:B5:BF:DF:03:54 in jih posredovati na prenosni računalnik z IP naslovom 192.168.88.252. Prenosni računalnik pa bo prejete podatke posredoval v Wireshark oziroma shranjeval v PCAP datoteko. Od tam naprej jih lahko analiziramo z različnimi orodji za analizo omrežnega prometa.

Kategorije: Informacijska varnost
Ključne besede: mobilna telefonija