Man kennt das, manchmal möchte man halt wissen was ein Internet fähiges Gerät alles so treibt sobald man Ihm eine Netzverbindung und Strom gibt. Zum Beispiel mit welchen Servern verbindet sich die neue Netzwerk Überwachungskamera.
Nun gibt es einige Möglichkeiten das ganze zu bewerkstelligen, ich nutze dazu normalerweise einen Linux Laptop mit zwei Netzwerkschnittstellen. Das kann auch eine Wlan Schnittstelle sowie einmal Ethernet sein. Normalerweise schließe ich dann das zu analysierende Gerät an die Ethernetschnittstelle an, per Wlan ist der Laptop mit dem Internet verbunden.
Jetzt benötigen wir nur noch das Programm dnsmasq und einige Kommandos auf der CLI um unseren Laptop beizubringen das er dem Gerät per DHCP eine Adresse zuweist und den Verkehr über sich leitet. Den können wir dann ganz Gemütlich per Wireshark, tcpdump etc. mitschneiden.
In diesem Beispiel gehe ich davon aus das wlan0 die Schnittstelle mit der Internet Verbindung und eth0 die Schnittstelle mit der Verbindung zu dem von uns zu untersuchenden Gerät ist.
Zuerst brauchen wir eine passende dnsmasq.conf:
https://gist.github.com/bjoerns1983/fc8805d6bc5f2672388d9cae4dc08b96
Damit können wir nun dnsmasq starten, so haben wir schon einmal einen laufen DHCP Server für unser „Opfer“.
Nun müssen wir unserem System noch mit auf den Weg geben wie es die Weiterleitung umzusetzen hat, dazu nutzen wir folgende befehle um unser Interface richtig zu parametrieren und iptables anzupassen.
https://gist.github.com/bjoerns1983/d8663e7affab2722f123b2e6b0c3dc78
Damit sollte nun alles richtig eingestellt sein. Nun könnt Ihr Wireshark sagen das es den Netzwerkverkehr auf Interface eth0 belauschen soll und Ihr bekommt nur den Verkehr des zu analysierenden Gerätes angezeigt.
Hoffe das hilft dem ein oder anderen weiter.