K tomu wiresharku: vůbec se ho nebojte. Nemusíte hned dumat nad filtry. Začátek je fakt jednoduchej.
Stáhnete, nainstalujete Next Next Finish. (Pokud se instalátor bude ptát, zda má nainstalovat podporu pro čenichání USB, tak si zvolte sám, zda to využijete :-) za mě spíš ne.)
Po spuštění je pro mě osobně trochu nepřehledná uvítací obrazovka, kde si musíte vybrat ze síťových rozhraní to správné (metalický Ethernet). Vyberete a už se sype výpis provozu.
Samotný Wireshark je jenom čmuchal, a poslouchá *veškerý* provoz, co se na fyzickém rozhraní šustne, tuším v promiskuitním režimu - samozřejmě směrem dovnitř (a zároveň vidí taky provoz směrem od Vás ven, což může trochu kalit vodu, pokud jsou Vindózy ukecané).
Záznam se dá v základním "gridovém náhledu" podle potřeby zastavit a znovu spustit. Tzn. pokud máte nabraná data co jste potřeboval (resp. dal jste tomu trochu času a asi už stačilo), tak si zastavte záznam, ať zbytečně nežere další paměť a nešvenkuje Vám zobrazením. Tuším když záznam znovu spustíte, tak se Vás Wireshark zeptá, zda chcete předchozí záznamový buffer vysypat/zahodit, nebo máte možnost uložit do souboru (přípona .pcap nebo .pcapng) pro pozdější analýzu či dokumentaci.
Vyzkoušejte si to předem na normálním provozu Vašeho počítače - je to zcela neškodné.
Před ostrým odposlechem APC karty si možná radši předem nastavte (ve Windowsech, ve vlastnostech adaptéru) na dotyčném rozhraní nějakou pevnou IPv4 adresu, ať Vám do toho nekvoká ještě taky Váš vlastní DHCP klient ve windowsech, a případně seberte fajfku IPv6, tam se taky děje nějaká chytristika těsně po startu.
Není potřeba předem študovat "capture filtr".
Obecně se nebojte, nabrat trochu smetí navíc.
Wireshark prakticky všechny pakety přehledně určí a označí, o který provoz se jedná.
Pokud nezajímavého smetí bude moc (bude zaclánět ve výhledu) tak můžete následně vhodně nasadit "display filtr" (= nabrané smetí zůstane v RAM bufferu, ale vy si ho podle potřeby přechodně skryjete). Jednotlivé řádky se dají také snadno obarvit custom pravidly, můžete si přidávat vlastní sloupce s atributy různých protokolů z dissectovaných paketů apod.
Pokud pominu tohle základní wireshark know-how (learning curve), tak úplně první můj krok s tou introvertní kartou by byl, že bych do ní píchnul noťas, nastartoval wireshark a zkoumanou APC kartu bych restartoval vypnutím napájení. Čerstvě po naběhnutí je šance, že se začne vyptávat, ideálně na DHCP. A pokud má nastavenou pevnou adresu, tak by se mohla třeba zeptat aspoň ARPem na něco (gateway, DNS apod.) Wireshark Vám ukáže, bez ohledu na souhlasně či mimochodně nastavený subnet, co karta drndá směrem ven na svém ethernetovém portu. Pokud je síťovka v noťasu gigabitová, nebo stovková s podporou auto-MDI-MDIX, tak nemusíte řešit ani přímý vs. křížený patchcord. Pokud se rozsvítí link, měl byste vidět jakákoli data co protější zařízení pošle.
Jako DHCP server s podporou custom options bych zmínil třeba ISC dhcpd v Linuxu (ale pokud tohle máte, tak byste se tu asi neptal) nebo do Windowsů existuje klikací Jounin TFTPd64, který taky umí servírovat DHCP jako vedlejší vlastnost, včetně konfigurace jedné custom option.
Download:
https://bitbucket.org/phjounin/tftpd64/downloads/Formát té custom option je popsán v CHM helpu. Pokud si vyberete "portable" download (zip), tak Windows 10 ukazují v CHM souboru prázdné stránky. Je to výsledek nějakého bezpečnostního atributu, který jde ručně povolit - viz
https://community.spiceworks.com/t/solved-windows-10-chm-help-files-showing-up-blank/556912 (pokud stáhnete instalátor, patrně se do téhle situace nedostanete.)
Jestli si budete hrát s Jounin TFTPD, tak bacha ať zapnutým DHCP nekolidujete se stávajícím DHCP serverem ve své LAN :-) = nejlíp se odpojte od stávající LAN, než poprvé zapnete TFTPD. Koukám že ta DHCP služba/komponenta je by default zapnutá, je na to jedna fajfka v klikací globální konfiguraci Jounin TFTPD.
27 Odpovědí
6189 Zhlédnutí