我有这个设备连接到我的家庭网络,我很好奇它会向互联网发送什么。它似乎会产生大量流量。
我已将其连接到我的笔记本电脑,并使用 Ubuntu 中的网络管理器选项共享了连接。然后,我尝试使用 Wireshark 查看网络流量。
它似乎使用 HTTPS 将所有数据发送到帖子中隐藏的外部服务器。就这样?我无能为力吗?
目标服务器有一个自签名证书,但设备可能已接受此证书。如果需要,我可以复制此证书吗?
我尝试使用此 iptables 规则将所有流量重定向到本地服务器,但我可能遗漏了一些东西。它似乎不起作用。我甚至没有在我的 Apache 日志中看到任何条目(是的,它实际上在监听端口 443):
iptables -t nat -I PREROUTING --src 10.42.0.73 --dst 81.91.XX.XX -p tcp --dport 443 -j DNAT --to-destination 127.0.0.1:443
这是我执行该操作时 Wireshark 的输出:
似乎无法建立连接。但我的 Apache 难道不应该做出反应并至少写入日志条目吗?我做错了什么?这是一个好方法吗?还是我应该尝试其他方法?
(请注意,我在规则和屏幕截图中都隐藏了完整的目标 IP)
答案1
您无法复制 SSL 证书 - 如果它正在被验证,您就无法嗅探设备和服务器之间的流量 - 但它可能没有被验证。
根据设备是否(如何)验证其发送数据的服务器,您可能能够对 HTTPS 数据进行中间人攻击。您可以使用以下命令执行类似操作SSL拆分在路由器上。(如果它正确验证了 SSL 连接,希望这会失败,但你可能会很幸运)。
此外,万一您的设备支持代理服务器,您可能能够强制通过本地代理服务器来拦截流量。(我找不到有关该设备的太多信息 - 真遗憾)