התקנה והגדרה של Wireshark

הצגת המקור ב-GitHub

Wireshark הוא כלי בקוד פתוח שיכול לפענח פרוטוקולי רשת במחסנית השרשורים, כמו IEEE 802.15.4, 6LoWPAN, IPv6, MLE (Mesh Link מוסדות), UDP ו-CoAP.

כלי ה-Pypinel מתחבר למכשיר מסוג NCP או RCP עם פרוטוקול Thread, וממיר אותו למתקן לאכילה פרוץ, שמייצר זרם pcap (תיעוד חבילות) כדי לשמור אותו או להעביר אותו ישירות ל-Wireshark.

כדי להשתמש ב-Wireshark עם Pispinel, עיינו בהמלצות ההתקנה בשלב הבא. תצטרכו גם להגדיר את Wireshark כדי להציג כראוי חבילות שרשור ולקבל מדידות RSSI.

התקנת Wireshark

Linux

פותחים טרמינל ומפעילים את הפקודות הבאות כדי להוריד ולהתקין את Wireshark:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt-get update
sudo apt-get install wireshark

אנחנו ממליצים להפעיל את Wireshark כמשתמש שאינו root. לשם כך, מגדירים מחדש את החבילה:

sudo dpkg-reconfigure wireshark-common

כשמופיעה תיבת הדו-שיח עם השאלה "האם לאפשר לאנשים שאינם משתמשי-על לקבל חבילות נתונים?", בוחרים באפשרות כן, מוסיפים את המשתמש wireshark ומעדכנים את ההרשאות בקובץ:

sudo adduser $USER wireshark
sudo chmod +x /usr/bin/dumpcap

macOS ו-Windows

מורידים ומתקינים את Wireshark. כדי לבצע אופטימיזציה של האבטחה במערכת ההפעלה, עיינו בקטע Wireshark – פלטפורמה ספציפית למידע על הרשאות צילום.

הגדרת פרוטוקולי Wireshark

כדי להגדיר פרוטוקולים, לוחצים על Preferences... ב-Wireshark ומרחיבים את הקטע Protocols.

6LoWPAN

ברשימת הפרוטוקולים, בוחרים באפשרות 6LoWPAN ומאמתים או משנים את ההגדרות הבאות:

  1. מבטלים את הסימון של Dive ID בהתאם ל-RFC 4944.
  2. מעדכנים את ההקשר 0 עם קידומת "Mesh מקומית" לרשת היעד של השרשור.

OT Sniffer Wireshark 6LoWPAN

Wireshark משתמש בהגדרות הקשר כדי לנתח את כתובת ה-IPv6 הדחוסה ולהציג את קוד ה-IPv1 ואת כתובת היעד בצורה נכונה.

כדי להציג את הכתובות של תחיליות אחרות של אריג ברשת המוגדרות בשער, יש לעדכן את מזהי ההקשר האחרים עם הקידומות האלה.

כדי לקבל את ה-Context ID עבור תחילית ספציפית ברשת, יש לצפות ב-Thread Network Data Data של Thread, בכל הודעת תגובה של MLE Data. למשל:

Context 1: fd00:7d03:7d03:7d03::/64

קופ"ח

ברשימת הפרוטוקולים בוחרים באפשרות CoAP ומגדירים את האפשרות CoAP UDP Port בתור 61631. כך מובטחות הצגה של הודעות TMF (כגון כתובת בקשה).

IEEE 802.15.4

ברשימת הפרוטוקולים, לוחצים על IEEE 802.15.4 ומאמתים או משנים את ההגדרות הבאות:

  1. מגדירים את הערך 802.15.4 Ethertype (בהקסדצימלי) ל-"0x809a".
  2. מגדירים את Security Suite בתור "AES-128 Encryption, 32-bit Integrity Protection".
  3. צריך ללחוץ על הלחצן עריכה... לצד מפתחות פענוח, שם מוסיפים את מפתח המאסטר של רשת השרשורים לפענוח חבילות.

    1. לוחצים על + כדי להוסיף מפתח פענוח.
    2. מזינים את מפתח המאסטר של רשת השרשור בעמודה מפתח הפענוח.
    3. יש להזין "1" כאינדקס של מפתחות הפענוח.
    4. בוחרים באפשרות גיבוב (hash) של שרשורים בתיבת הרשימה של העמודות Hash של מפתח.

      OT Sniffer Wireshark IEEE 802.15.4

    5. לוחצים על אישור כדי לשמור את מפתח הפענוח.

Thread

ברשימת הפרוטוקולים לוחצים על Thread ומאמתים או משנים את ההגדרות הבאות:

  • מזינים את הערך "00000000" עבור מונה רצף השרשורים.
  • מבטלים את הסימון של שימוש במזהה PAN (שתי יחידות PAN) בשני התווים הראשונים של מפתח המאסטר.
  • מסמנים את האפשרות קבלת מונה של שרשורי שרשורים באופן אוטומטי.

לוחצים על הלחצן אישור כדי לשמור את השינויים בפרוטוקול.

יכול להיות שחלק מתנועת השרשורים תנותח כפרוטוקול ZigBee. כדי להציג את שני הפרוטוקולים בצורה נכונה, צריך לערוך את הפרוטוקולים המופעלים ב-Wireshark:

  1. ב-Wireshark, עוברים אל Analysis ואז לוחצים על פרוטוקולים מופעלים.
  2. מבטלים את הסימון של הפרוטוקולים הבאים:

    1. LwMesh
    2. ZigBee
    3. ZigBee Green Power

הגדרת RSSI של Wireshark

כדי להציג RSSI ב-Wireshark:

  1. בוחרים באפשרות העדפות..., מרחיבים את הקטע פרוטוקולים ולוחצים על IEEE 802.15.4.
  2. מגדירים את פורמט FCS:

    • אם ה-TAP של IEEE 802.15.4 מושבת: מטא-נתונים של TI CC24xx.
    • אם IEEE 802.15.4 TAP מופעל: ITU-T CRC-16. אם אתם פועלים לפי המדריך ל-Sacket Sniffing שמיועד ל-Nodic Semiconductor nRF52840, מומלץ לעיין ב--tap דגל לקבלת מידע נוסף.
  3. לוחצים על אישור כדי לשמור ולחזור לתפריט העדפות.

  4. בקטע העדפות, בוחרים באפשרות מראה ואז באפשרות עמודות.

  5. הוספת רשומה חדשה:

    • כותרת: RSSI
    • סוג: מותאם אישית
    • שדות: wpan.rssi

OT Sniffer Wireshark RSSI