Устройство взаимодействует с сервером через мост, не удается перехватить все пакеты

Устройство взаимодействует с сервером через мост, не удается перехватить все пакеты
Устройство взаимодействует с сервером через мост, не удается перехватить все пакеты - jonathanlei0 @ Unsplash

Я пытаюсь перепрограммировать устройство, чтобы иметь возможность локального доступа к его API. В настоящее время оно взаимодействует с онлайн-сервером, на который я могу войти, чтобы увидеть его данные.

Установите

Устройство подключается напрямую через ethernet к моему рабочему столу. Другой порт на рабочем столе имеет подключение к Интернету. Я соединил эти соединения мостом через пользовательский интерфейс Windows. Я отключил IPv6 в сетевом мосте, чтобы облегчить себе жизнь.

Мониторинг

Я настроил Wireshark на прослушивание сетевого моста, фильтруя его IP ip.src == 192.168.1.10 || ip.dst == 192.168.1.10 или адрес Ethernet eth.src == ##### || eth.dst == #####.

Захват включает начальное подключение. Я вижу некоторые SOAP-коммуникации при запуске и могу запросить у него метаданные, такие как серийный номер и версию прошивки. Но я не вижу никаких пакетов с фактическими данными.

Проблема

На веб-сайте я могу видеть фактические данные, которые были получены устройством, поэтому я уверен, что оно каким-то образом отправило их. Но после первоначальной настройки не было отправлено или получено ни одного пакета.

При повторном подключении (физическом) я действительно получаю пакет TLSv1 от сервера, но я никогда не вижу отправленных данных.

Пожалуйста, подскажите, почему я туплю и как решить эту проблему. Спасибо!

Похоже, что вы обнюхивали интерфейс виртуального моста

Этот интерфейс будет принимать только направленный туда трафик + некоторые другие пакеты в рамках процесса обнаружения. Помните, что мост работает в основном как обычный Ethernet-коммутатор: Как только коммутатор узнал, какие MAC-адреса доступны через какие порты, трафик для этих MAC-адресов будет отправляться только на эти порты.

Только в процессе обучения пакеты рассылаются на все порты. Это то, что вы видели.

Чтобы получить весь трафик, вам нужно прослушать трафик на одном из "реальных" интерфейсов моста, предпочтительно на том, к которому подключено устройство для мониторинга. Тогда вы увидите весь трафик.


Конечно, поскольку фактический обмен данными зашифрован, вы не сможете проверить его содержимое. Но, возможно, устройство имеет слабую защиту, и вы сможете осуществить атаку "человек посередине".


NevaDev, 9 февраля 2023 г., 04:06