Intercepte o tráfego HTTPS de um dispositivo monitor de consumo de energia IP

Question

Intercepte o tráfego HTTPS de um dispositivo monitor de consumo de energia IP

#1 resposta do (1 votos)

0

Eu tenho este dispositivo conectado à minha rede doméstica e estou curioso sobre o que ele está enviando para a Internet. Parece gerar muito tráfego.

Eu conectei ao meu laptop e compartilhei a conexão usando a opção Network Manager no Ubuntu. Então, tentei ver o tráfego da rede com o Wireshark.

Parece enviar todos os dados para um servidor externo oculto na postagem usando HTTPS. É isso aí? Não há nada que eu possa fazer?

O servidor de destino tem um certificado autoassinado, mas provavelmente o dispositivo tem esse certificado como aceito. Posso replicar este certificado, se necessário?

Eu tentei redirecionar todo o tráfego para um servidor local com esta regra iptables, mas provavelmente estou perdendo alguma coisa. Não parece funcionar. Eu nem recebo uma entrada no meu log do Apache (e sim, na verdade está escutando na porta 443):

iptables -t nat -I PREROUTING --src 10.42.0.73 --dst 81.91.XX.XX -p tcp --dport 443 -j DNAT --to-destination 127.0.0.1:443

E esta é a saída do Wireshark quando eu faço isso:

Parece que a conexão não pode ser estabelecida. Mas o meu Apache não deveria reagir e escrever pelo menos uma entrada de log? O que estou fazendo de errado? Esta é uma boa abordagem ou devo tentar outras coisas?

(Por favor note que eu escondi o IP de destino completo na regra e na captura de tela)

wireshark https sniffing

por Jorge Suárez de Lis 05.04.2014 / 20:23

1 resposta

Tags wireshark https sniffing

como obter valores de itens do zabbix em dois momentos diferentes para o acionador? Como instalar o Cygserver

score 1 · Accepted Answer

Você não pode replicar o Certificado SSL - se ele estiver sendo validado, você está cheio com relação ao sniffing do tráfego entre o dispositivo e o servidor - mas é possível que não esteja sendo validado.

Dependendo de como (como) o dispositivo valida o servidor para o qual está enviando, talvez seja possível executar um ataque man-in-the-middle nos dados HTTPS. Você pode fazer algo assim com SSLSplit no roteador. (Espero que isso falhe se validar corretamente a conexão SSL, mas você pode ter sorte).

Além disso, no caso improvável de o dispositivo suportar um servidor proxy, você poderá forçá-lo por meio de um servidor proxy local que interceptará o tráfego. (Não consigo encontrar muita informação sobre o dispositivo - o que é uma pena)