התקנה והגדרה של Wireshark

הצגת המקור ב-GitHub

Wireshark הוא כלי בקוד פתוח שיכול לפענח פרוטוקולי רשת ב-Thread stack, כמו IEEE 802.15.4,‏ 6LoWPAN,‏ IPv6,‏ MLE‏ (יצירת קישורים לרשתות תלת-ממדיות),‏ UDP ו-CoAP.

כלי הסניפר של Pyspinel מתחבר למכשיר Thread NCP או RCP וממיר אותו לסניפר חבילות פרומזואלי, יוצר שידור pcap (תיעוד חבילות) שאפשר לשמור או להעביר ישירות ל-Wireshark.

כדי להשתמש ב-Wireshark עם Pyspinel, אפשר לעיין בהמלצות להתקנה בשלב הבא. צריך גם להגדיר את Wireshark כך שיציג בצורה נכונה את חבילות ה-Thread ויקבל מדידות RSSI.

התקנת Wireshark

Linux

פותחים טרמינל ומריצים את הפקודות הבאות כדי להוריד ולהתקין את Wireshark:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get install wireshark

מומלץ להריץ את Wireshark כמשתמש שאינו root. כדי לעשות זאת, צריך להגדיר מחדש את החבילה:

sudo dpkg-reconfigure wireshark-common

בתיבת הדו-שיח 'האם משתמשים שאינם סופר-משתמשים יוכלו לצלם חבילות?', בוחרים באפשרות כן, מוסיפים את המשתמש wireshark ומעדכנים את הרשאות הקובץ:

sudo adduser $USER wireshark
sudo chmod +x /usr/bin/dumpcap

macOS ו-Windows

מורידים ומתקינים את Wireshark. כדי לבצע אופטימיזציה של האבטחה למערכת ההפעלה, אפשר לעיין במאמר Wireshark – מידע ספציפי לפלטפורמה על הרשאות לכידת נתונים.

הגדרת פרוטוקולים של Wireshark

כדי להגדיר את הפרוטוקולים, בוחרים באפשרות Preferences… ב-Wireshark ומרחיבים את הקטע Protocols.

6LoWPAN

בוחרים באפשרות 6LoWPAN מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

1. מבטלים את הסימון של האפשרות Derive ID according to RFC 4944.
2. מעדכנים את Context 0 בתחילית המקומית של רשת Mesh היעד ב-Thread.

‏Wireshark משתמש בהגדרות הקשר כדי לנתח את כתובת ה-IPv6 המצומצמת ולהציג בצורה נכונה את כתובות המקור והיעד של ה-IPv6.

כדי להציג את הכתובות של תחיליות אחרות ברשת שהוגדרן בשער, צריך לעדכן את מזהי ההקשר האחרים עם התחיליות האלה.

כדי לקבל את מזהה ההקשר של קידומת ספציפית ברשת, בודקים את ה-TLV של נתוני רשת השרשור בכל הודעת תגובה של נתוני MLE. לדוגמה:

Context 1: fd00:7d03:7d03:7d03::/64

CoAP

בוחרים באפשרות CoAP מרשימת הפרוטוקולים ומגדירים את CoAP UDP Port לערך 61631. כך מוודאים שהודעות TMF (כמו בקשה לקבלת כתובת) יוצגו.

IEEE 802.15.4

בוחרים באפשרות IEEE 802.15.4 מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

1. מגדירים את 802.15.4 Ethertype (ב-hex) לערך '0x809a'.
2. מגדירים את Security Suite ל-'AES-128 Encryption, 32-bit Integrity Protection'.

3. לוחצים על הלחצן Edit… (עריכה) לצד Decryption Keys (מפתחות פענוח), שבו מוסיפים את מפתח המאסטר של רשת Thread לפענוח חבילות.

   1. לוחצים על + כדי להוסיף מפתח פענוח.
   2. מזינים את מפתח המאסטר של רשת Thread בעמודה Decryption key.
   3. מזינים '1' כמפתח לפענוח.

   4. בוחרים באפשרות Thread hash (גיבוב של שרשור) מתיבת הסימון של העמודה Key hash (גיבוב מפתח).

      

   5. לוחצים על OK כדי לשמור את מפתח הפענוח.

שרשור

בוחרים באפשרות Thread מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

• מזינים '00000000' בשדה Thread sequence counter.
• מבטלים את הסימון של התיבה Use PAN ID as first two octets of master key.
• מסמנים את האפשרות קבלת מונה רצף של שרשור באופן אוטומטי.

לוחצים על הלחצן OK כדי לשמור את השינויים בפרוטוקול.

יכול להיות שחלק מתעבורת הנתונים ב-Thread תנותח כפרוטוקול ZigBee. כדי להציג בצורה נכונה את שני הפרוטוקולים האלה, צריך לערוך את הפרוטוקולים המופעלים ב-Wireshark:

1. ב-Wireshark, עוברים אל Analyze (ניתוח) ולוחצים על Enabled Protocols (פרוטוקולים מופעלים).

2. מבטלים את הסימון של הפרוטוקולים הבאים:

   1. LwMesh
   2. ZigBee
   3. ZigBee Green Power

הגדרת RSSI ב-Wireshark

כדי להציג את RSSI ב-Wireshark:

1. בוחרים באפשרות Preferences… (העדפות…) ומרחיבים את הקטע Protocols (פרוטוקולים), ואז לוחצים על IEEE 802.15.4.

2. מגדירים את פורמט ה-FCS:

   • אם ה-TAP של IEEE 802.15.4 מושבת: מטא-נתונים של TI CC24xx.
   • אם ה-TAP של IEEE 802.15.4 מופעל: ITU-T CRC-16. אם פועלים לפי המדריך לניפוי חבילות עבור Nordic Semiconductor nRF52840 DK, אפשר לעיין בדגל --tap לקבלת מידע נוסף.

3. לוחצים על אישור כדי לשמור את ההגדרות ולחזור לתפריט העדפות.

4. בקטע העדפות, בוחרים באפשרות מראה ואז באפשרות עמודות.

5. הוספת רשומה חדשה:

   • Title: RSSI
   • טיפוס: Custom
   • שדות: wpan.rssi