+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

беспроводной сниффер, стримящий на сервер

беспроводной сниффер, стримящий на сервер, RouterOS

steen

Guest

11.04.2015 08:03:00

Привет, ребята! Пытаюсь настроить беспроводной сниффер на mikrotik и отправлять поток на Linux-машину для дальнейшей обработки. Идея в том, чтобы находить украденные вещи, даже если они не зарегистрированы на наших точках доступа. Мне удалось передавать поток в wireshark без проблем, но это не решает мою задачу. В конечном итоге мне нужно «логировать» отфильтрованный трафик в базу данных mysql для дальнейшей обработки в реальном времени или почти в реальном времени.

Пробовал trafr, который вроде может вытащить поток, но он сразу же закрывается после получения первых пакетов данных из потока сниффера mikrotik.

Запуск trafr:
[root@lina ~]# ./trafr -s | tcpdump -r - -n
reading from file -, link-type EN10MB (Ethernet)
Выглядит нормально!
Запускаю беспроводной сниффер на mikrotik — и trafr просто завершается…
[root@lina ~]#
Хммм… Может кто знает, в чем проблема с trafr? Может, он просто не предназначен для сниффинга по беспроводной сети, а только для Ethernet, кто знает? Есть ли другой Linux «сервер», который может корректно принимать поток, убирать инкапсуляцию TZSP и логировать в файл или сокет? Может, tcpdump или tshark/wireshark умеют такое волшебство?

tatsugot Guest	#2 0 24.08.2016 12:23:00 Я пытаюсь сделать что-то похожее и сталкиваюсь с той же проблемой, что ты сделал?

Sob Guest	#3 0 25.08.2016 12:45:00 Еще одна программа, которая может принимать TZSP — это tzsp2pcap.

jo2jo

Guest

26.11.2016 05:38:00

Привет, взгляни на это: https://gist.github.com/jabberd/b9d6a29098a5b8f1ee45 Последний шаг позволил мне конвертировать tzsp-захваты (поток с mikrotik, делающего потоковый вайрлесс-сниффинг на машину с wireshark/tcpdump, которая слушает на eth-интерфейсе) в .cap файлы, которые полностью читаются всеми приложениями. Спасибо автору github-дока/гайда и автору приложения “bittwiste” (http://bittwist.sourceforge.net/) и mikrotik! (До того как я нашёл этот документ, я потратил почти 12 часов, пытаясь вручную вырезать tzsp-данные из своих захватов разными способами, включая использование bittwiste (я забывал про опцию “-M 105”), но безуспешно…)

Правка: на случай, если этот github-файл вдруг исчезнет, вот команда для bittwiste (обрати внимание на букву “e”, есть 2 приложения — bittwist и bittwiste):

1. Настроить streaming server:
/interface wireless sniffer set streaming-server=X.X.X.X
/interface wireless sniffer set streaming-enabled=yes
/interface wireless sniffer set multiple-channels=yes

2. Настроить список сканирования или конкретный канал(ы) (частоты в MHz):
/interface wireless set scan-list=default

3. Запустить сниффер:
/interface wireless sniffer sniff interface=wlan1

4. Ловить трафик на X.X.X.X с помощью tcpdump:
tcpdump -i eth0 -w in.pcap

Можно также использовать trafr или wireshark для этой задачи.

5. Конвертировать in.pcap в нужный формат:
bittwiste -M 105 -I in.pcap -O out.pcap -D 1-63

-M 105 — IEEE 802.11
-D 1-63 — убрать ведущие TZSP заголовки

Источник: пользователь “jabberd” https://gist.github.com/jabberd/b9d6a29098a5b8f1ee45

jabberd Guest	#5 0 28.02.2017 12:17:00 Упомянутый выше gist был обновлён (например, теперь явно прослушивается UDP 37008, а не весь трафик интерфейса, а также добавлена заметка о преобразовании Ethernet TZSP).

R1CH Guest	#6 0 28.02.2017 23:41:00 Я быстро сделал форк tzsp2pcap, который добавляет фейковый заголовок radiotap и использует тип канального уровня DLT_IEEE802_11_RADIO. Благодаря этому вывод сразу можно использовать в tcpdump, aircrack-ng и других программах. https://github.com/notr1ch/tzsp2pcap

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры