Рассмотрим на конкретных примерах, как на роутере с установленным OpenWRT и пакетом Tcpdump в режиме реального времени, на хостовой машине можно анализировать трафик с конкретных интерфейсов маршрутизатора средствами Wireshark в операционной системе Windows
Таймкоды
00:00 Введение
- Возможность анализа трафика в реальном времени.
- Прошивка роутера на OpenWRT для анализа исходящих пакетов.
- Видео демонстрирует возможности OpenWRT.
00:43 Задача и необходимые инструменты
- Связка между Wireshark и роутером для аналитики трафика.
- Необходимые инструменты: Wireshark, консольная версия pings, tcpdump.
- Примеры использования в виртуальной среде.
02:01 Инструкция по установке
- Скачивание и установка Wireshark и pings.
- Добавление переменных среды для удобства.
- Подготовка к выполнению основной команды.
03:29 Основная команда
- Подключение к роутеру и запуск tcpdump.
- Указание интерфейса и порта для захвата трафика.
- Wireshark показывает пакеты в реальном времени.
05:30 Пример 1: Шифрование DNS-трафика
- DNS-запросы отправляются в открытом виде.
- Установка пакета для шифрования DNS-трафика.
- Проверка работы пакета после его установки.
12:00 Пример 2: Проверка подключения к роутеру
- Анализ трафика для проверки подключения к роутеру.
- Указание порта для анализа.
- Проверка пакетов и выявление проблем с подключением.
13:44 Пример 3: Анализ трафика камеры видеонаблюдения
- Подключение к реальному физическому роутеру.
- Анализ трафика камеры для определения местоположения облака.
- Демонстрация результатов анализа.
14:42 Анализ трафика камеры
- Снимаем трафик только с конкретного IP-адреса 192.168.208.8.
- Используем приватный ключ для подключения.
- Директива
backигнорирует сообщение о разрешении доступа.
15:38 Подключение к камере через VPN
- Копируем команду и запускаем в консоли.
- Подключаемся к камере через VPN на телефоне.
- Наблюдаем за активным трафиком при передаче видеопотока.
16:38 Определение IP-адреса облака
- Восстанавливаем захват и видим IP-адрес 37.18.121.156.
- Проверяем IP-адрес через сервис определения.
- Обнаруживаем, что IP-адрес принадлежит СберКлауд.
16:56 Хранение данных на серверах Сбербанка
- Данные с камеры хранятся на серверах Сбербанка.
- Это вызывает подозрения, так как камера принадлежит китайскому производителю.
- Производитель использует концепцию white label для своих продуктов.
18:37 Заключение и рекомендации
- Если ваша камера связана с производителем Xenk Mei, стоит задуматься.
- Доступ к камере будет закрыт через OpenVPN.
- Автор не утверждает, а показывает факт, что камера подключается к определенным серверам.
19:54 Итоги и рекомендации по обучению
- Видео показывает верхушку айсберга перехвата и анализа трафика.
- Рекомендуется изучить фильтры захвата и отображения Wireshark и TCPdump.
- Автор предлагает курс по OpenVPN с нуля до профи, который скоро выйдет.
Таймкоды сделаны при помощи Нейросети YandexGPT
В этом видео
Интро
0:00
хотели бы вы видеть свой трафик в режиме
0:02
реального времени так как его видит ваш
0:05
провайдер возможно ли это анализировать
0:08
исходящие пакеты от вашего роутера а
0:10
соответственно и всех устройств вашей
0:12
сети которые выходят в глобальную сеть в
0:15
том виде в каком они приходят поставщику
0:17
услуг интернета Да это конечно же
0:19
Возможно если Вы Однажды приняли
0:22
правильное решение и прошили свой роутер
0:25
на Open vrt А если этого ещё не
0:28
произошло то надеюсь что данная видео
0:30
подтолкнет вас к принятию этого решения
0:33
и продемонстрирует возможности Open vrt
0:35
ещё с одной очень интересной стороны
0:38
чего вы не сделаете ни на одном другом
0:40
роутере на его родной заводской прошивке
0:44
Итак Наша задача заключается в том чтобы
0:46
организовать некую связку между вайр
0:49
шарком установленным на локальном ПК и
0:51
Ван портом роутера так чтобы трафик
0:54
проходящий через роутер в режиме
0:56
реального времени отображался в шарте
0:59
что предоставит нам мощнейшие
1:01
возможности для аналитики диагностики
1:04
мониторинга и обеспечения безопасности
1:06
Сети Что же нам необходимо для решения
1:09
поставленной задачи это wireshark
1:12
установленный на ПК это консольная
1:15
версия те под названием Pink это tcp
1:18
Dump установленный на Open vrt переходим
1:22
к
Предварительные настройки
1:23
реализации я вам покажу три очень
1:25
простых примера два из которых будут
1:28
продемонстрированы в рамках виртуальной
1:30
среды У меня есть виртуальный Windows 10
1:33
который выходит в интернет через
1:35
виртуальный роутер на котором
1:36
установлена Open ВРТ прошивка Open
1:40
настоящая Windows 10 настоящий поэтому
1:43
от реальной ситуации это ничем
1:46
отличаться не будет можете представить
1:48
что у меня есть настоящий физический
1:50
компьютер на котором установлена десятка
1:52
которая выходит в интернет через
1:54
настоящий физический роутер на котором
1:57
установлено Open vrt здесь разобрались
2:01
переходим к нашей инструкции которую вы
2:03
как всегда можете скачать в Telegram
2:05
канале боевое вождение переходим к
2:08
пункту номер один по ссылочки скачиваем
2:12
устанавливаем wir Shark переходим по
2:15
ссылочки скачиваем устанавливаем Путик
2:18
который в себе содержит консольную
2:20
версию под названием Pin дальше
2:23
открываем консоль подключаемся к Open
2:25
vrt и устанавливаем в Open vrt tcp дам
2:33
[музыка]
2:42
подкачивающего конечно же не делать но
2:45
тогда при выполнении нашей команды нам
2:47
придётся прописывать полный путь к нашим
2:50
исполняемым файлам что будет не очень
2:53
удобно поэтому мы идм мой компьютер
2:55
правая кнопка свойства
3:00
вни дополнительные параметры системы
3:02
переменные среды системные переменные
3:05
раздел пас здесь нажимаем изменить кем
3:09
на пустом месте нажимаем обзор и
3:11
добавляем наши папки Я в качестве
3:13
примера вот добавлю папку ТМП Просто у
3:16
меня уже путь здесь прописаны добавили
3:21
ой ой ой в принципе все подготовительные
3:25
работы у нас выполнены переходим к
Разбор основной команды
3:27
разбору основной команды Итак для
3:30
захвата всего трафика с конкретного
3:33
интерфейса Нам необходимо выполнить вот
3:36
такую команду Давайте её пошагово
3:39
разберём я в принципе всё Расписал
3:42
проговори Что здесь происходит Значит мы
3:45
подключаемся к нашему роутеру указываем
3:47
конкретно протокол ssh под логином Root
3:51
на
3:53
ip-10
3:55
168 1 на порт дцать второй по умолчанию
4:00
который у ssh если у Вас какой-то другой
4:03
номер порта Значит указываете его с
4:06
паролем 1 2 3 4 5 6 7 8 И вот эта
4:11
команда Что она делает да давайте её
4:13
целиком разберём Значит она говорит
4:16
нашему openwrt Запусти tcp Dump на
4:20
интерфейсе
4:21
eth1 что это за интерфейс Е1 этаж 1 –
4:26
Это мой One интерфейс где это пос
4:31
интерфейсы One вот et1 также это можно
4:35
посмотреть через нашу консоль команда
4:39
IP я вижу что у меня One интерфейс у
4:42
которого айпишник 192
4:45
168220
4:47
называется 1 Что происходит в этой
4:51
команде значит Open vrt запускает tcp на
4:55
нашем интерфейсе под названием
4:58
E1 передаёт все эти захваченные данные к
5:02
нам на хостой машину Wi Shark Wi Shark
5:05
эти данные открывает и в режиме
5:06
реального времени демонстрируют нам
5:08
пакеты которые летят Через наш интерфейс
5:11
при этом мы исключаем передачу тех
5:14
данных которые ходят через двадцать
5:16
второй порт потому что мы по этому порту
5:18
и подключены поэтому какой порт указан
5:22
здесь такой порт указываете и здесь в
5:25
принципе команду мы разобрали можем
5:27
переходить к конкретным примерам
Пример №1. Анализ исходящего DNS трафика
5:30
и первый пример который я хотел бы
5:32
разобрать – это шифрование ДНС трафика
5:35
многие из вас знают что ДНС запросы
5:38
которые уходят от вас в интернет Они
5:39
отправляются в открытом виде и провайдер
5:42
буквально может видеть каким доменом
5:45
именам вы обращаете во-первых Может вы
5:48
не хотите чтобы провайдер смотрел на
5:50
какие домены Вы ходите во-вторых на
5:52
основании доменного имени Провайдер
5:54
может блокировать вам доступ к
5:56
конкретному ресурсу что в этом случае
5:58
делают Поль поте Open vrt они
6:01
устанавливают соответствующие пакеты
6:03
которые шифруют это ДНС трафик Ну вот
6:06
как определить на самом ли деле начал ли
6:09
шифроваться трафик после установки
6:11
пакета и не утекают ли в принципе
6:13
какие-то ДНС запросы вот для этих целей
6:16
мы и воспользуемся нашей реализацией
6:19
значит что нам необходимо сделать мы
6:22
смотрим какой интерфейс как он
6:25
называется для нашего Ван порта он у
6:27
меня называется G1
6:29
посмотрели вбили его сюда то есть Нам
6:33
необходимо проанализировать тот трафик
6:36
который от нас уходит с исходящего н
6:39
интерфейса поэтому мы берём интерфейс
6:41
One в принципе дальше команда готова
6:44
единственное для себя я поправлю это на
6:46
192 168 220 потому что это особенности
6:51
моей виртуальной реализации копирую
6:54
команду делаю чуть тише запускаю
6:58
командную у Windows Вставляю команду
7:02
сюда и её запускаю у меня запускается
7:05
wihar я сразу поставлю фильтрацию по
7:08
icmp пакетам чтобы мне потом не блюрить
7:13
лишний раз экран на монтаже И вот теперь
7:16
когда у нас запустился р Shark у вас там
7:18
по идее уже побежал трафик необходимо
7:21
проверить Всё ли нормально работает вот
7:24
я сейчас подключаюсь на свою виртуальную
7:26
машину вы это делаете со своей реальной
7:29
машины за которой вы сидите так как у
7:31
вас это всё происходит на реальном
7:32
физическом роутере Давайте просто
7:35
попробуем что-то наружу нгану запускаем
7:39
командную строку
7:43
Ping
7:45
11 смотрим наш Shark Вот наши запросы
7:49
побежали то есть всё работает всё хорошо
7:52
Теперь давайте посмотрим нанс запросы
7:55
которые уходят от нашего компьютера вот
7:58
он уже обращал куда-то в micros Давайте
8:01
откроем какой-то сайти это пока Я закрою
8:05
чтобы не
8:06
мешало Вот там ещё какие-то вон ДНС
8:10
запросы телеметрия
8:13
Отлично Так обратимся давайте на
8:17
какой-нибудь Озон чтобы это наглядно
8:20
прямо было
8:22
Ozon.ru
8:24
смотрим сюда Вон они побежали запросы
8:28
Зона зона зон Вот и сейчас мы установим
8:32
пакет который будет шифровать ДНС трафик
8:35
если пакет установится и начнёт
8:37
корректно работать ни одного ДНС запроса
8:41
из нашей внутренней локальной сети мы
8:44
больше увидеть не должны Давайте
8:46
попробуем это сделать
8:49
пока закроем наш
8:52
перехват прервали командный Ctrl c это я
8:56
пока сверну устанавливаю Open
9:01
vrt соответствующий пакет обновлю на
9:05
всякий
9:07
случай немножко подождём отлично
9:11
окг Install Один из таких пакетов
9:14
называется
9:16
https
9:18
DNS
9:21
прокси пакет скачивается устанавливается
9:24
и запускается Да он запущен можем на это
9:30
на всякий случай проверим
9:32
Да это C
9:34
нед
9:36
статус видим что наш пакет htp to DNS
9:40
Proxy запущен соответственно уже весь
9:44
DNS трафик от наших локальных устройств
9:47
на уровне роутера должен шифроваться и в
9:49
зашифрованном виде уже отправляться в
9:52
интернет давайте это проверим опять
9:54
берём нашу
9:56
команду копировать
10:00
вставить запускаем
10:02
её ставим фильтр по
10:06
ДНС и пробую зайти на тот же
10:13
Озон сюда
10:15
зайду здесь
10:18
обновлю Как видите здесь С трафиком
10:21
пусто то есть ДНС запросы у нас уже вс
10:24
прекрасно работает ну откроем ещ
10:26
какой-нибудь сайти
10:30
не то
10:32
нажал Яндекс открывается но здесь у нас
10:36
ничего не отображается значит всё
10:38
прекрасно работает и чтобы в этом
10:41
убедиться окончательно Давайте просто
10:44
остановим службу https DNS Proxy как
10:48
только мы её остановим все DNS запросы
10:52
опять в открытом виде должны посыпаться
10:54
в сторону провайдера останавливаем
10:56
службу моментально погнали запросы
10:59
да Видите вот они побежали на Яндекс
11:03
пошли
11:04
запросы если я обновлю Озон ЕС и по
11:09
озону сейчас это всё дело побежит Вот
11:12
так я в сторону
11:14
отодвинула обновить и вот они куча
11:17
запросов побежали То есть как видите
11:20
наша реализация прекрасно работает Если
11:23
мы опять запускаем
11:25
службу подм пока она запу
11:28
вот
11:30
номером
11:32
6029 если мы
11:35
начнём здесь что-то обновлять куда-то
11:39
заходить уже никакие ДНС запросы не
11:42
отправляются Единственное что может
11:44
отправлять ДНС запросы Это
11:46
непосредственно наша служба https DNS
11:49
прокси вот и всё таким вот простым
11:52
образом мы с вами проверили
11:54
работоспособность установленной службы
11:57
которая шифрует ДНС трафик пример номер
Пример №2. Анализ входящего трафика от удаленного хоста
12:01
два он тоже очень простенький но очень
12:03
показательный Давайте представим
12:05
ситуацию что на своём роутере сорт вы
12:08
подняли какую-то службу там какой-то
12:10
сервер файловый FTP Web прокси VPN
12:13
абсолютно неважно Говорите товарищу
12:15
чтобы он к вам подключился но он
12:18
подключиться не может что мы со своей
12:20
стороны можем сделать чтобы хотя бы
12:23
понять А есть ли попытки подключения к
12:26
нашему роутеру на порт службы которая у
12:30
нас работает Давайте представим что
12:33
допустим он подключается к нам на
12:35
какой-то порт
12:36
88 что мы делаем мы запускаем анализ
12:40
Откуда мы запускаем снаружи ведь
12:42
пользователь подключается к нам снаружи
12:44
на One Интерфейс Это у меня eth1 я
12:48
копирую свою команду Вставляю её в
12:51
консоль и запускаю анализ всего трафика
12:55
на н интерфейсе здесь указываю порт
13:01
тот на котором я жду подключения
13:03
допустим это восемьдесят восьмой и
13:06
банально вот даже при помощи браузера
13:08
Давайте смити попытку этого подключения
13:12
вот я подключаю снаружи на свой роутер
13:16
на порт
13:18
888 Я ему говорю Подключайся он пытается
13:21
подключиться и я вижу моментально пакеты
13:24
что от него они приходят то есть я уже
13:27
понимаю что по крайней мере Эти пакеты
13:30
где-то по дороге не теряются а со своей
13:33
стороны уже проанализировав Эти пакеты
13:35
Судя по флагу reset скорее всего этот
13:38
порт у меня закрыт фаерволе и занимаюсь
13:41
решением этой проблемы пример номер ри я
Пример №3. Анализ трафика устройства из внутренней сети
13:45
долго думал Какую бы интересную ситуацию
13:47
разобрать и тут вспомнил что буквально
13:50
недавно к себе на дачу Я купил китайскую
13:52
камеру для видеонаблюдения она облачная
13:56
к ней можно подключаться снаружи она по
13:59
детекции движения делает снимки
14:01
записывает видео и отправляет эти данные
14:04
в своё какое-то китайское облако я решил
14:07
что будет интересно посмотреть А где же
14:10
это китайское облако находится и то что
14:13
я увидел в итоге меня просто повергло
14:16
ступор Так что давайте все вместе на это
14:19
посмотрим Итак подключаться я буду к
14:21
своему реальному физическому роутеру у
14:24
него айпишник 192 168
14:27
200.1 так как камера находится внутри
14:30
моей локальной сети здесь в качестве
14:33
интерфейса Я указываю внутренний
14:35
интерфейс моего роутера он у меня
14:37
называется Bridge LAN BR LAN у вас Он
14:39
кстати будет называться скорее всего
14:41
точно так же так же я здесь делаю акцент
14:45
на том чтобы снимать траф только с
14:47
конкретного айпишник 192 1668
14:58
200.80 ние по приватному ключу для того
15:01
чтобы по нему подключаться добавляется
15:03
директива ми и указывается путь к
15:06
приватному ключу также была добавлена
15:08
директива bge которая игнорирует
15:11
сообщение когда вы подключаетесь по
15:13
приватному ключу у вас там выскакивает
15:15
сообщение о том что доступ разрешён
15:17
нажмите клавишу Enter так вот
15:20
выскакивали этого сообщения не даёт
15:22
корректно отработать нашей команде И
15:25
данные не улетают а директива позволяет
15:29
это сообщение и наша команда отлично
15:32
отрабатывает Теперь давайте посмотрим
15:34
куда на самом деле моя камера сливает
15:38
данные копируем команду вставляем в
15:42
консоль
15:43
запускаем ждём так уже какой-то трафик
15:47
по во она что-то
15:49
пингует чтобы подключиться чтобы узнать
15:53
какое облако льются данные с моей камеры
15:55
к ней надо подклю снаружи
15:59
провоцирую подключение через VPN
16:01
открываю свой телефон включаю VPN и
16:05
пытаюсь подключиться к своей камеры я
16:07
сделаю вот так Вот так мы с вами на это
16:09
будем смотреть на всё вживую запускаю
16:13
своё
16:14
приложение сейчас она начнёт логинится
16:18
туда в облако и когда мы включим
16:21
передачу
16:23
видеопоток трафик начнёт очень активно
16:25
бежать так вот когда он начнёт активно
16:28
бежать вот пытаюсь
16:30
подключиться этот айпишник Меня
16:32
интересует куда это всё льётся Я думаю
16:37
достаточно Выключаем телефон
16:40
восстанавливаем захват смотрим какой же
16:42
У меня айпишник тут часто мелькает Да
16:44
вот 192 168 200.80
16:59
мо облако
17:01
копируем
17:03
значение этого айпишник
Куда отправляются данные с моей камеры видеонаблюдения
17:09
открываем сервис определения вбиваем мой
17:12
айпишник
17:14
проверяем и что я
17:16
вижу я вижу что этот IP адрес
17:20
принадлежит сбе Cloud вы ещё не
17:22
понимаете О чём речь Давайте посмотрим
17:24
откроем в Яндексе
17:27
напишем сбе
17:30
Cloud что
17:32
это смотрим АБЕ Cloud у нас – это
17:36
облачная платформа созданная Сбербанком
17:40
а это значит что данные с моей камеры
17:42
хранятся на серверах принадлежащих
17:45
госструктура И не только моей камеры и
17:48
не только хранятся Если вы понимаете о
17:51
чём я я не хочу здесь разводить какие-то
17:53
теории заговора не этому мой канал
17:56
посвящён я вполне допускаю что китайский
17:59
производитель арендует вычислительные
18:01
мощности сбе Cloud под свои нужды или
18:03
использует их В качестве своего прокси
18:05
на территории России Но выбор мягко
18:08
говоря очень странный и наводит на
18:10
нехорошие мысли тут стоит отметить что
18:12
начинка купленная мной камеры она от
18:15
крупного китайского о производителя
18:18
модулей и плат для систем
18:20
видеонаблюдения под названием XM который
18:23
реализуют свои продукты используя
18:25
концепцию White Label то есть они не
18:27
делают ни камер ни регистраторов под
18:29
своим брендом но зато брендов внутри
18:32
которых стоят платы их производства
18:34
насчитываются десятки если не сотни
18:37
Поэтому если ваша IP камера или
18:39
видеорегистратор как-то связаны с
18:41
производителем XM или облаком xmi то на
18:45
вашем месте я бы задумался и если на
18:47
март далёкого 2018 года но это
18:50
статистика которую мне удалось найти в
18:52
онлайне насчитывалось около 9 млн
18:56
устройств то сейчас их однозначно
18:59
больше и страшно представить сколько
19:01
этих девайсов у нас потому что рынок
19:04
этого оборудования переориентироваться с
19:06
Азии на Россию что же касательно
19:08
конкретно моей камеры доступ в интернете
19:11
и будет конечно же закрыт что
19:12
Элементарно делается функционалом Open
19:14
ВРТ а подключаться к ней с удалёнки я
19:17
буду посредством протоколов которые для
19:19
этого предназначены и опять же прекрасно
19:21
интегрированы в Open на вопрос как я это
19:25
буду делать если эти протоколы у нас
19:27
заблокированы ответить не смогу потому
19:29
что данная тема под запретом всё тех же
19:31
госструктур и хочу напомнить ещё раз я
19:34
ничего не утверждаю Я всего лишь показал
19:37
факт куда стучится моя камера а что же с
19:41
этим фактом делать решать исключительно
19:43
Вам потому что возможно через объектив
19:46
вашей камеры смотрите Не только вы очень
19:50
бы хотелось услышать ваше мнение в
19:51
комментариях по этому вопросу Давайте
Итоги
19:54
подведём итог по этому видео то что я
19:57
вам показал в этом ролике это
19:59
малюсенькая
20:01
верхушечный берга под названием перехват
20:03
и анализ трафика поэтому если вам
20:06
нравится эта тема есть смысл в неё
20:08
погрузиться И хотя бы на базовом уровне
20:11
изучить фильтры захвата и фильтры
20:13
отображения шарки и tcp дампе А ещё и в
20:16
связке с Open vrt на выходе получается
20:19
очень горячая штука Ну а если вы хотите
20:22
основательно разбираться в Open vrt Да и
20:24
в принципе в работе сетей мой курс Open
20:27
vrt до Профи модуль первый скоро релиз
20:31
успейте сделать предзаказ с тремя
20:34
возможными суммирует ками по Open ВРТ
20:38
нет книг нет других аналогичных курсов
20:41
этому не учат в институтах и колледжах и
20:44
никто кроме меня вас этому не научит
20:47
переходите на Word driver.ru вся
20:49
информация о курсе там А на этом У меня
20:52
всё если понравился ролик Не забудьте
20:53
его оценить Ну и до встречи в следующем
20:55
видео