Wireshark installieren und konfigurieren

Quelle auf GitHub ansehen

Wireshark ist ein Open-Source-Tool, das Netzwerkprotokolle im Thread-Stack decodieren kann, z. B. IEEE 802.15.4, 6LoWPAN, IPv6, MLE (Mesh-Linkeinrichtung), UDP, und COAP.

Das Pyspinel-Sniffer-Tool stellt eine Verbindung zu einem Thread-NCP- oder RCP-Gerät her und wandelt es in einen promiskuitiven Paket-Sniffer um. Dabei wird ein pcap-Paketerfassungspaket erstellt, der direkt gespeichert oder in Wireshark übertragen wird.

Lesen Sie die Installationsempfehlungen im nächsten Schritt, um Wireshark mit Pyspinel zu verwenden. Außerdem müssen Sie Wireshark so konfigurieren, dass Thread-Pakete richtig angezeigt und RSSI-Messungen empfangen werden.

Wireshark installieren

Linux

Öffnen Sie ein Terminal und führen Sie die folgenden Befehle aus, um Wireshark herunterzuladen und zu installieren:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get install wireshark

Wir empfehlen, Wireshark als Nicht-root-Nutzer auszuführen. Dazu konfigurieren Sie das Paket neu:

sudo dpkg-reconfigure wireshark-common

Wenn das Dialogfeld "Sollte nicht-Superuser in der Lage sein, Pakete zu erfassen?" angezeigt wird, wählen Sie Ja aus, fügen dann den Nutzer wireshark hinzu und aktualisieren die Dateiberechtigungen:

sudo adduser $USER wireshark
sudo chmod +x /usr/bin/dumpcap

macOS und Windows

Laden Sie die Wireshark App herunter und installieren Sie sie. Informationen zum Optimieren der Sicherheit für Ihr Betriebssystem finden Sie unter Wireshark – plattformspezifische Informationen zu Erfassungsberechtigungen.

Wireshark-Protokolle konfigurieren

Wählen Sie zum Konfigurieren von Protokollen in Wireshark Preferences... (Einstellungen...) aus und maximieren Sie den Abschnitt Protocols (Protokolle).

6LoWPAN

Wählen Sie 6LoWPAN aus der Liste der Protokolle aus und prüfen oder ändern Sie die folgenden Einstellungen:

  1. Entfernen Sie das Häkchen bei Derive-ID gemäß RFC 4944.
  2. Aktualisieren Sie Context 0 mit dem lokalen Mesh-Präfix für das Ziel-Thread-Netzwerk.

OT Sniffer Wireshark 6LoWPAN

Wireshark verwendet Kontextkonfigurationen, um die komprimierte IPv6-Adresse zu parsen und die IPv6-Quell- und Zieladressen korrekt darzustellen.

Wenn die Adressen für andere Präfixe im Mesh-Netzwerk angezeigt werden sollen, die auf dem Gateway konfiguriert sind, aktualisieren Sie andere Kontext-IDs mit diesen Präfixen.

Wenn Sie die Kontext-ID für ein bestimmtes Präfix mit Mesh-Netzwerk abrufen möchten, rufen Sie den TLV-Netzwerkdaten-TLV in einer beliebigen MLE-Datenantwortnachricht auf. Beispiel:

Context 1: fd00:7d03:7d03:7d03::/64

Coapa

Wählen Sie CoAP aus der Liste der Protokolle aus und setzen Sie CoAP UDP Port auf 61631. Dadurch wird sichergestellt, dass Mitteilungen für TMF (z. B. Adressanforderung) angezeigt werden.

IEEE 802.15.4

Wählen Sie IEEE 802.15.4 aus der Liste der Protokolle aus und prüfen oder ändern Sie die folgenden Einstellungen:

  1. Setzen Sie 802.15.4 Ethertype (in Hex) auf "0x809a".
  2. Setzen Sie die Security Suite auf "AES-128 Encryption, 32-bit Integrity Protection".
  3. Klicken Sie neben Entschlüsselungsschlüssel auf die Schaltfläche Bearbeiten..., wo Sie den Masterschlüssel des Thread-Netzwerks zur Paketentschlüsselung hinzufügen.

    1. Klicken Sie auf +, um einen Entschlüsselungsschlüssel hinzuzufügen.
    2. Geben Sie den Masterschlüssel des Thread-Netzwerks in die Spalte Entschlüsselungsschlüssel ein.
    3. Geben Sie "1" als Entschlüsselungsschlüsselindex ein.
    4. Wählen Sie Thread-Hash im Listenfeld Schlüssel-Hash aus.

      OT Sniffer Wireshark IEEE 802.15.4

    5. Klicken Sie auf OK, um den Entschlüsselungsschlüssel zu speichern.

Thread

Wählen Sie Thread aus der Liste der Protokolle aus und prüfen oder ändern Sie die folgenden Einstellungen:

  • Geben Sie unter Thread-Sequenzzähler den Wert "00000000" ein.
  • Entfernen Sie das Häkchen bei PAN als erste zwei Oktette des Masterschlüssels verwenden.
  • Klicken Sie das Kästchen Thread-Sequenzzähler automatisch abrufen an.

Klicken Sie auf OK, um die Protokolländerungen zu speichern.

Ein Teil des Thread-Traffics kann als ZigBee-Protokoll analysiert werden. Bearbeiten Sie die aktivierten Protokolle in Wireshark, um diese beiden Protokolle korrekt anzuzeigen:

  1. Rufen Sie in Wireshark die Option Analysieren auf und klicken Sie dann auf Aktivierte Protokolle.
  2. Entfernen Sie das Häkchen bei den folgenden Protokollen:

    1. LwMesh
    2. ZigBee
    3. ZigBee Green Power

Wireshark RSSI konfigurieren

So zeigen Sie RSSI in Wireshark an:

  1. Wählen Sie Einstellungen... aus, maximieren Sie den Bereich Protokolle und klicken Sie dann auf IEEE 802.15.4.
  2. Legen Sie das FCS-Format fest:

    • IEEE 802.15.4 TAP ist deaktiviert: TI CC24xx-Metadaten.
    • Wenn IEEE 802.15.4 TAP aktiviert ist: ITU-T CRC-16. Wenn Sie der Paketschnüffeln des Nordischen Halbleiters nRF52840 DK finden Sie--tap Flagge.
  3. Klicken Sie auf OK, um die Änderung zu speichern und zum Menü Einstellungen zurückzukehren.

  4. Wählen Sie unter Einstellungen die Option Darstellung und dann Spalten aus.

  5. Neuen Eintrag hinzufügen:

    • Titel: RSSI
    • Typ: Benutzerdefiniert
    • Felder: wpan.rssi

OT Sniffer Wireshark RSSI