התקנה והגדרה של Wireshark

הצגת המקור ב-GitHub

Wireshark הוא כלי קוד פתוח שיכול לפענח פרוטוקולי רשת בשרשור. לדוגמה, IEEE 802.15.4, 6LoWPAN, IPv6, MLE (Mesh Link יהיה), UDP, ו-CoAP.

הכלי Syspinel snifer מתחבר למכשיר שרשור NCP או RCP וממיר אותו לנחש חבילות גדול, וכך נוצר זרם pcap (צילום חבילות) לשמירה או מפורץ ישירות ב-Wireshark.

כדי להשתמש ב-Wireshark עם Pyspinel, עיין בהמלצות להתקנה בשלב הבא. בנוסף, צריך להגדיר את Wireshark להצגת חבילות של שרשורים בדיוק ולקבל מדידות של RSSI.

התקנת Wireshark

Linux

פתח מסוף והפעל את הפקודות הבאות כדי להוריד ולהתקין את Wireshark:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get install wireshark

מומלץ להפעיל את Wireshark כמשתמש שאינו root. לשם כך, יש להגדיר מחדש את החבילה:

sudo dpkg-reconfigure wireshark-common

כשמופיעה תיבת הדו-שיח "האם לאפשר למשתמשים שאינם משתמשי-על להיות מסוגלים ללכוד חבילות?", בוחרים באפשרות כן, ולאחר מכן מוסיפים את המשתמש wireshark ומעדכנים את הרשאות הקבצים:

sudo adduser $USER wireshark
sudo chmod +x /usr/bin/dumpcap

macOS ו-Windows

מורידים ומתקינים את Wireshark. כדי לשפר את האבטחה של מערכת ההפעלה, כדאי לעיין ב-Wireshark — מידע ספציפי לפלטפורמה על הרשאות צילום.

הגדרת פרוטוקולי Wireshark

כדי להגדיר פרוטוקולים, בוחרים באפשרות העדפות... ב-Wireshark ומרחיבים את הקטע פרוטוקולים.

6LoWPAN

בוחרים באפשרות 6LoWPAN מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

  1. מבטלים את הסימון של מזהה נגזר לפי RFC 4944.
  2. מעדכנים את הקשר 0 בקידומת של Mesh Local עבור רשת שרשורי היעד.

OT Snifer Wireshark 6LoWPAN

Wireshark משתמש בתצורות הקשר כדי לנתח את כתובת IPv6 הדחוסה ולהציג את כתובות IPv6 המקור והיעד כראוי.

כדי להציג את הכתובות של קידומות אחרות ברשת שפועלות בשער הרשת, יש לעדכן מזהי הקשר אחרים באמצעות הקידומות האלו.

כדי לקבל את מזהה ההקשר לקידומת ספציפית ברשת, אפשר להציג את ה-TLV של נתוני רשת השרשורים בכל הודעת תגובה של MLE. למשל:

Context 1: fd00:7d03:7d03:7d03::/64

קואפ

בוחרים CoAP מרשימת הפרוטוקולים ומגדירים את CoAP UDP Port ל-61631. כך מובטח שהודעות TMF (כגון שידול לכתובת) יוצגו.

IEEE 802.15.4

בוחרים באפשרות IEEE 802.15.4 מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

  1. מגדירים את 802.15.4 Ethertype (בהקסדצימלי) ל-"0x809a".
  2. מגדירים את Security Suite ל "הצפנת AES-128, הגנת 32 ביט".
  3. לוחצים על הלחצן עריכה... לצד מפתחות פענוח, שבהם מוסיפים את המפתח הראשי לשרשור הרשת לפענוח חבילות.

    1. לוחצים על + כדי להוסיף מפתח פענוח.
    2. הזן את המפתח הראשי של רשת השרשורים בעמודה מפתח פענוח.
    3. מזינים את "1" כאינדקס של מפתח הפענוח.
    4. בוחרים באפשרות Hash של שרשור מתיבת הרשימה של עמודות מפתח הצפנה.

      OT Snifer Wireshark IEEE 802.15.4

    5. לוחצים על אישור כדי לשמור את מפתח הפענוח.

שרשור

בוחרים באפשרות שרשור מרשימת הפרוטוקולים ומאמתים או משנים את ההגדרות הבאות:

  • מזינים "00000000" עבור מונה הרצף של שרשורים.
  • בטל את הסימון של השתמש במזהה PAN בתור שתי שמונה הספרות הראשונות של המפתח הראשי.
  • מסמנים את האפשרות קבלת רצף שרשורים באופן אוטומטי.

לחץ על הלחצן אישור כדי לשמור שינויים בפרוטוקול.

ייתכן שניתן יהיה לנתח חלק מתנועת ה-thread של פרוטוקול ZigBee. כדי להציג כראוי את שני הפרוטוקולים האלה, ערוך את הפרוטוקולים המופעלים ב-Wireshark:

  1. ב-Wireshark, עבור אל Analysis ולאחר מכן לחץ על פרוטוקולים מופעלים.
  2. מבטלים את הסימון של הפרוטוקולים הבאים:

    1. LwMesh
    2. זיגבורי
    3. כוח ירוק של ZigBee

הגדרת Wireshark RSSI

כדי להציג RSSI ב-Wireshark:

  1. בוחרים באפשרות העדפות... ומרחיבים את הקטע פרוטוקולים, ולאחר מכן לוחצים על IEEE 802.15.4.
  2. מגדירים את פורמט FCS:

    • אם IEEE 802.15.4 TAP מושבת: מטא-נתונים של TI CC24xx.
    • אם IEEE 802.15.4 TAP מופעל: ITU-T CRC-16. אם אתם עוקבים אחר המדריך לטיפול בחבילות עבור המוליך הצפון הנורדי סדק, nRF52840 DK, עיינו ב--tap סימון לקבלת מידע נוסף.
  3. לוחצים על אישור כדי לשמור ולחזור לתפריט העדפות.

  4. בקטע העדפות, בוחרים באפשרות מראה ולאחר מכן באפשרות עמודות.

  5. הוספת רשומה חדשה:

    • כותרת: RSSI
    • סוג: מותאם אישית
    • שדות: wpan.rssi

OT Snifer Wireshark RSSI