我正在尝试对设备进行逆向工程,以便能够在本地访问其 API。目前,它正在与在线服务器通信,我可以登录该服务器查看其数据。
设置
该设备通过以太网直接连接到我的台式机。台式机上的另一个端口有上行链路到互联网。我已通过 Windows UI 桥接连接。我已在网桥上禁用 IPv6,以便让我的生活更轻松。
监控
我已经设置 Wireshark 来监听网桥,并根据其 IPip.src == 192.168.1.10 || ip.dst == 192.168.1.10
或以太网地址进行过滤eth.src == ##### || eth.dst == #####
。
捕获包括初始连接。我在启动时看到了一些 SOAP 通信,并能够向其询问其元数据,例如序列号和固件版本。但我没有看到任何包含实际数据的数据包。
问题
通过在线网站,我可以看到设备产生的实际数据,所以我确信它以某种方式发送了数据。但在初始设置后,根本没有发送或接收任何数据包。
当重新连接(物理)时,我确实从服务器收到了 TLSv1 数据包,但我从未看到发送的数据。
请告诉我为什么我这么愚蠢,以及如何解决。谢谢!
答案1
看来您正在嗅探虚拟桥接接口。此接口将仅接收指向该接口的流量以及作为发现过程的一部分的一些其他数据包。请记住,桥接器的工作原理与常规以太网交换机大致相同:一旦交换机了解了哪些 MAC 地址可通过哪些端口访问,这些 MAC 地址的流量将仅发送到这些端口。
只有在学习过程中,数据包才会涌入所有端口。这就是您所看到的。
要获取所有流量,您需要嗅探桥接的“真实”接口之一上的流量,最好是要监控的设备所连接的接口。然后您将看到所有流量。
当然,由于实际的数据交换似乎是加密的,因此您将无法检查其内容。但也许该设备的安全性较弱,您可以执行中间人攻击。