我正在尝试使用 Wireshark 进行数据包嗅探和日志检查,很快意识到使用公共热点时我并没有达到应有的安全性。为了更好地保护自己,我尝试学习贸易工具就像这样,弄清楚我到底泄露了什么,以及如何找到它。
我有一台 2011 款 Macbook Pro,我正在使用命令(如果您有兴趣,Google 会帮助您创建符号链接)在特定频道上airport使用我的无线网卡()嗅探数据包数据。en1
sudo airport en1 sniff 6
在 60 秒内,我捕获了大约 2MB 的数据。我住在公寓大楼里,扫描显示(不出所料)大多数网络都在频道 6 上,所以我嗅探的就是这个。(这是还我的 WiFi 路由器使用的频道。
但是,对于这个问题:当我嗅探频道时,我使用第二台带有 WiFi 的设备(不安全的 HTTP)连接到 Facebook 并登录。这次练习的目标是确定我是否可以找到我自己的密码藏在包里的某个地方。
我尝试使用一些不同的过滤器Wireshark来缩小流量范围,但似乎没有什么能与我尝试的过滤器相匹配:
http.request.uri matches "facebook"
并且:
ip.addr == 66.220.149.76(这是的 IP m.facebook.com,我当时使用的是智能手机。)
但似乎没有流量符合过滤器。我对此很陌生,所以不确定我哪一步做错了。
- 我的路由器不广播 SSID 有关系吗?
- 我的过滤器的格式/定义是否正确?
- 我应该扫描其他频道吗?我的路由器专门设置为 6,而不是“自动”或任何其他选项。
答案1
您可能需要,它通过将 HTTP标头的内容与行中的 URIhttp.request.full_uri相结合来重新组装完整 URI 。您可能还需要“包含”而不是“匹配”。Host:GET /some/uri/here HTTP/1.1
http.request.full_uri contains "facebook"
不要浪费时间尝试过滤 IP 地址,除非它是您控制的域名和主机,并且您确定它只有一个 IP 地址。大多数知名网站都有多个 IP 地址。
您可能还对我在这里的回答感兴趣:使用加密 Wi-Fi AP 的其他人能看到你在做什么吗?