Detección de paquetes para dispositivos IoT

2

Estoy buscando hacer algún rastreo de paquetes en algunos de mis dispositivos IoT para ver cuánto están llamando a casa y ver algunos puertos que puedo bloquear para evitar que lo hagan.

Son una combinación de dispositivos inalámbricos y con cables, por lo que un simple modo promiscuo de Wireshark no es suficiente. Estoy ejecutando un enrutador Netgear en este momento, así que tampoco puedo ejecutar el sniff desde allí.

¿Mi mejor opción es un ataque MITM con envenenamiento ARP? No quiero pasar por todo el esfuerzo para intentar configurar algún tipo de proxy para oler.

Me gustaría hacer esto desde Linux. ¿Es Ettercap la mejor herramienta para esto en estos días?

    
pregunta hemlock 08.04.2018 - 16:31
fuente

3 respuestas

1

Si puede colocar 2 interfaces en el cuadro de Linux, no se necesitan envenenamientos ni ataques. Configurar interfaces para WAN y amp; LAN, agregue el servidor DHCP y algunas reglas de NAT, y puede monitorear fácilmente el tráfico con cualquier herramienta, incluyendo ethercap, tcpdump, wireshark, etc. y luego bloquear esas secuencias no deseadas.

Si 2 interfaces no son útiles, haga lo mismo arriba en una interfaz: deshabilite DHCP en el enrutador, dé a Linux una dirección estática, haga el resto como se muestra arriba y deje que Linux haga el trabajo.

    
respondido por el MTG 08.04.2018 - 16:43
fuente
0

Es muy probable que estos dispositivos telefonen a casa a través de TLS, por lo que si desea ir por la ruta de la parodia de arp, tendría que usar sslstrip para ver el tráfico.

Recomendaría arpspoof + sslstrip y algunos comandos iptable adicionales para que esto funcione.

Por ejemplo:

  1. Habilite el reenvío de IP en Linux (ya que los paquetes que le interesan no tienen su IP como destino)

    sudo echo 1 > /proc/sys/net/ipv4/ip_forward

  2. Asegúrese de que los paquetes que le interesan pasan por sslstrip para que pueda ver realmente el contenido no cifrado:

    sudo iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000

    sudo iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 10000

  3. Envenenar la tabla arp del dispositivo IoT de destino

    arpspoof -t X.X.X.X -r A.A.A.A

    Donde X.X.X.X es la IP del dispositivo IoT y A.A.A.A es la IP de la puerta de enlace de la red dada.

  4. Supervise el tráfico con wireshark utilizando el siguiente filtro:

    ip.addr == X.X.X.X && http

Si tiene la posibilidad de ingresar un proxy en el dispositivo IoT, recomendaría burpsuite y su proxy HTTP / interceptar solución.

    
respondido por el Calle Bergström 08.04.2018 - 19:10
fuente
0

Anteriormente he usado Linux y Ettercap para rastrear paquetes y hacer exactamente lo que has mencionado.

Recuerdo que deshabilité el proxy en ese entonces. Si estás olfateando tus propios dispositivos, realmente no importa ser honesto.

    
respondido por el Kosovic 08.04.2018 - 19:33
fuente

Lea otras preguntas en las etiquetas