我有一个移动应用程序,可以连接到我的汽车 wifi 并报告数据。该应用程序必须连接到汽车提供的 AP 才能工作 - 我已经测试过汽车是否连接到公共互联网 API,并且手机是否检索这些数据,但情况并非如此。似乎手机直接地以某种方式连接到汽车(通过提供的 AP)。
我正在尝试查看此处的网络流量以复制所提供应用程序之外的功能。
我尝试过的事情:
通过代理查看 HTTP 和 HTTPS 流量(通过代理运行应用程序)
为此,我按要求将手机直接连接到 AP,但通过mitmproxy在同一网络上的笔记本电脑上运行代理手机 HTTP 和 HTTPS 流量。运行应用程序显示流量,但没有显示我所关注的相关项目(应用程序中的更新)
运行 wireshark
我在连接到同一网络(如上所述)的笔记本电脑上运行了 wireshark 并捕获了所有流量。然后我加载了应用程序并查看了捕获的内容。设备之间似乎没有直接的网络连接。有一个来自 AP 的广播消息,给出了 API 的地址和描述,但手机似乎从未连接到它 - 我认为这可能与我的需求无关。(我尝试 telnet 到描述的地址/端口,它返回了看起来像 xml 的内容,但我无法发送任何流量来获取更多信息)
我尝试过的任何方法似乎都无法显示两个设备之间有意义的流量。
我是否遗漏了某些显而易见的东西?我还能尝试什么来查看手机与汽车之间的通信?
答案1
使用 Wireshark 捕获 802.11 网络上其他两个设备之间的单播流量需要使用 802.11 监控模式,这很难实现。如果您只在混杂模式下进行捕获(这在集线器上的有线以太网数据包捕获或通过托管交换机上的端口镜像很常见),那么您将看不到任何往返于其他无线设备的单播流量。
如果网络使用 WPA2-PSK(或原始 WPA-PSK 甚至 WEP),您应该在 Wireshark 网站上了解如何执行 802.11 监控模式数据包捕获,以及如何解密捕获的单播数据帧。
以下是您需要处理的一些要点:
- 在您的 Wireshark 机器中,您必须有一个支持 802.11 监控模式的 WNIC 和驱动程序。
- 具有监控模式的 WNIC 必须支持 AP 和目标无线设备(您的手机)所支持的所有 802.11 传输类型。例如,如果您的 AP 和手机都支持 802.11ac,但监控模式 WNIC 不支持,它将无法接收这些 802.11ac 传输。即使所有三个设备都支持 802.11ac,如果 AP 和手机支持 2 个空间流(又称“2x2:2”),但监控模式 WNIC 仅支持 1 个空间流(1x1:1),那么您的 Wireshark 机器将无法看到您的手机或 AP 使用 2 个空间流传输的任何内容。
- 如果您的 Wireshark 机器距离 AP 和无线客户端太远,它可能无法获得足够的信号强度来可靠地接收数据包。
- 如果您的汽车 AP 使用 WPA2-PSK(或原始 WPA-PSK),并且您没有禁用安全性的选项,那么为了解密往返于手机的流量,您必须捕获手机加入网络时发生的 WPA2-PSK 四次握手。捕获该握手并知道网络的 PSK 或密码,允许您解密从该会话捕获的所有数据包。但如果手机进入睡眠状态或以其他方式离开并重新加入网络,则这是一个新会话,如果您想解密该新会话中的任何数据包,您需要确保捕获该新会话的 WPA2 四次握手。