Captura de tráfico de teléfonos móviles en wireshark

¿Cómo puedo capturar el tráfico de teléfonos móviles en wireshark?

Aquí hay algunas sugerencias:

  1. Para teléfonos Android, cualquier red : Rootee su teléfono, luego instale tcpdump en él. Esta aplicación es un contenedor tcpdump que instalará tcpdump y le permitirá iniciar capturas utilizando una GUI. Consejo: Deberá asegurarse de proporcionar el nombre de interfaz correcto para la captura y esto varía de un dispositivo a otro, por ejemplo -i eth0 o -i tiwlan0 – o use -i cualquiera para registrar todas las interfaces.

  2. Para teléfonos con Android 4.0+ : Android PCAP de Kismet utiliza la interfaz USB OTG para admitir la captura de paquetes sin necesidad de root. No he probado esta aplicación, y existen algunas restricciones sobre el tipo de dispositivos compatibles (consulte su página)

  3. Para teléfonos Android : tPacketCapture utiliza el servicio VPN de Android para interceptar paquetes y capturarlos. He utilizado esta aplicación con éxito, pero también parece afectar el rendimiento con grandes volúmenes de tráfico (por ejemplo, transmisión de video)

  4. Para dispositivos iOS 5+, cualquier red : iOS 5 agregó una instalación de interfaz virtual remota (RVI) que le permite utilizar los progtwigs de rastreo de paquetes de Mac OS X para capturar trazas desde un dispositivo iOS. Mira aquí para más detalles

  5. Para todos los teléfonos, wi-fi solamente: configure su PC como un punto de acceso inalámbrico , luego ejecute wireshark en la PC

  6. Para todos los teléfonos, solo wi-fi: obtenga un dispositivo de captura que pueda ojear wi-fi. Esto tiene la ventaja de que también te da encabezados 802.11x, pero es posible que te pierdas algunos de los paquetes

  7. Capture usando un servidor VPN : es bastante fácil configurar su propio servidor VPN usando OpenVPN. A continuación, puede enrutar su tráfico a través de su servidor configurando el dispositivo móvil como un cliente VPN y capturando el tráfico en el extremo del servidor.

Además de la excelente respuesta de Rupello, un truco “sucio” pero muy efectivo:

Para todos los teléfonos, cualquier red (local) : configure su PC para Man-In-The-Middle su dispositivo móvil.

Use Ettercap para hacer spoofing de ARP entre su dispositivo móvil y su enrutador, y todo el tráfico de su dispositivo móvil aparecerá en Wireshark. Vea este tutorial para detalles de configuración

Otra opción que no se ha sugerido aquí es ejecutar la aplicación que desea supervisar en el emulador de Android desde el SDK de Android. A continuación, puede capturar fácilmente el tráfico con wireshark en la misma máquina.

Esta fue la opción más fácil para mí.

Wireshark + OSX + iOS:

Excelente visión general hasta el momento, pero si desea información específica sobre Wireshark + OSX + iOS:

  • instala Wireshark en tu computadora
  • conecte el dispositivo iOS a la computadora a través de un cable USB
  • conectar el dispositivo iOS y la computadora a la misma red WiFi
  • ejecute este comando en una ventana de terminal OSX: rvictl -sx donde x es el UDID de su dispositivo iOS. Puede encontrar el UDID de su dispositivo iOS a través de iTunes (asegúrese de estar usando el UDID y no el número de serie).
  • Ir a Wireshark Capture->Options , aparece un cuadro de diálogo, haga clic en la línea rvi0 luego presione el botón de Start .

Cuadro de diálogo Opciones de captura de Wireshark

Ahora verá todo el tráfico de red en el dispositivo iOS. Puede ser bastante abrumador Un par de punteros:

  • no use iOS con una VPN, no podrá comprender el tráfico encriptado
  • usa filtros simples para concentrarte en el tráfico interesante
  • ip.addr==204.144.14.134 ve el tráfico con una dirección de origen o destino de 204.144.14.134
  • http solo ve el tráfico http

Aquí hay una ventana de muestra que representa el tráfico TCP para la descarga de PDF desde 204.144.14.134:

Tráfico de Wireshark TCP para descarga de PDF desde 204.144.14.134

Para teléfonos Android, utilicé tPacketCapture: https://play.google.com/store/apps/details?id=jp.co.taosoftware.android.packetcapture&hl=en

Esta aplicación fue un salvavidas que estaba depurando un problema con el fracaso del protocolo de enlace SSL / TLS en mi aplicación de Android. Intenté configurar una red ad hoc para poder usar wireshark en mi computadora portátil. A mi no me sirvió. Esta aplicación me permitió rápidamente capturar el tráfico de la red, compartirlo en mi Google Drive para poder descargarlo en mi computadora portátil y poder examinarlo con Wireshark. ¡Impresionante y sin necesidad de root!

La aplicación para Android Packet Capture implementa una VPN que registra todo el tráfico de red en el dispositivo Android. No necesita configurar ningún servidor VPN / proxy en su PC. No necesita root Admite el descifrado de SSL que tPacketCapture no. También incluye un buen visor de registro.

Haga que su computadora portátil sea un punto de acceso wifi para su teléfono (cualquiera) y conéctela a Internet. Sniff Traffic en su interfaz wifi usando wireshark.

¡conocerás muchas cosas anti privacidad!

De manera similar a hacer que su PC sea un punto de acceso inalámbrico, pero puede ser mucho más fácil, está utilizando el anclaje inverso. Si tienes un teléfono HTC, tienen una buena opción de anclaje inverso llamada “transferencia de Internet”, en la red / configuración de uso compartido de red móvil. Enruta todo tu tráfico a través de tu PC y puedes ejecutar Wireshark allí.

Instala Fiddler en tu PC y úsalo como proxy en tu dispositivo Android.

Fuente: http://www.cantoni.org/2013/11/06/capture-android-web-traffic-fiddler

Para Android , utilicé tPacketCapture anteriormente, pero no funcionó bien para una aplicación que transmite algunos videos. Ahora estoy usando Shark . Sin embargo, debe ser root para usarlo.

Utiliza TCPDump (comprueba los argumentos que puedes aprobar ) y crea un archivo pcap que Wireshark puede leer. Los argumentos predeterminados suelen ser lo suficientemente buenos para mí.