Paketmitschnitt / Sniffing 

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
Antworten
der_Kief
erfahrener Kabelkunde
Beiträge: 59
Registriert: 07.11.2013, 14:42
Wohnort: BW

Paketmitschnitt / Sniffing

Beitrag von der_Kief » 10.01.2019, 14:38

Hi,

Paketmitschnitt scheint ja mit der aktuellen Firmware nicht mehr zu funktionieren !

Hat jemand eine Ahnung wie ich die Fritzbox am WAN-Port sniffen kann ?
Folgender Hintergrund:
Habe nun im internen Netz einen OpenWRT DNS Resolver laufen der auf DNS-over-TLS konfiguriert ist.
Ich wurde nun gerne sehen ob die DNS Requests nach außen auch wirklich verschlüsselt sind.
Wenn ich im internen Netz sniffe sehe ich nur die unverschlüsselten Request an den OpenWRT Resolver
2play 200/20Mbits/s
FB6490 FW7.01
PLZ 732xx - LKR Esslingen

Exiver
erfahrener Kabelkunde
Beiträge: 71
Registriert: 15.06.2014, 23:33

Re: Paketmitschnitt / Sniffing

Beitrag von Exiver » 10.01.2019, 15:26

Du könntest es auf der OpenWRT Box direkt sniffen, z.B. mit sowas hier:

tcpdump -n '(not dst net 192.168.0.0/24)' and port 53 -vvv


Hierbei musst du noch dein Netz anpassen und ggf. das Interface festlegen (z.b. -i eth0)

der_Kief
erfahrener Kabelkunde
Beiträge: 59
Registriert: 07.11.2013, 14:42
Wohnort: BW

Re: Paketmitschnitt / Sniffing

Beitrag von der_Kief » 10.01.2019, 15:45

wird schwierig werden da auf der OperWRT Box kaum mehr Speicher frei ist und ich tcpdump nachinstallieren müsste.

Was genau meinst Du mit Netzwerk anpassen ?
2play 200/20Mbits/s
FB6490 FW7.01
PLZ 732xx - LKR Esslingen

Exiver
erfahrener Kabelkunde
Beiträge: 71
Registriert: 15.06.2014, 23:33

Re: Paketmitschnitt / Sniffing  [GELÖST]

Beitrag von Exiver » 10.01.2019, 15:59

tcpdump hat i.d.R. nur ein paar kb, das sollte also eigentlich schon draufpassen (hab ich eigentlich auf allen OpenWRT Boxen die ich jemals hatte).

Anpassen heißt, in dem Beispielbefehl musst du 192.168.0.0/24 durch dein Netz ersetzen, je nachdem welche IP-Adressen du in deinem Heimnetz verwendest. Der Befehl verhindert nur, dass die lokalen DNS-Anfragen im Sniffer auftauchen. Du setzt fest, dass Anfragen an Port 53 aufgezeichnet werden, aber nur wenn das Ziel keine interne IP ist. Somit zeigt er dir nur die Pakete an, die von deinem OpenWRT resolver ausgehend (Richtung Internet) gesendet werden.

der_Kief
erfahrener Kabelkunde
Beiträge: 59
Registriert: 07.11.2013, 14:42
Wohnort: BW

Re: Paketmitschnitt / Sniffing

Beitrag von der_Kief » 10.01.2019, 16:23

yepp ... hat doch noch drauf gepasst :-)

Scheint in der Tat alles ausgehende verschlüsselt zu sein ....
2play 200/20Mbits/s
FB6490 FW7.01
PLZ 732xx - LKR Esslingen

why_
Übergabepunkt
Beiträge: 297
Registriert: 31.08.2015, 01:06

Re: Paketmitschnitt / Sniffing

Beitrag von why_ » 10.01.2019, 20:39

Du kannst auch einfach ausgehend port 53 droppen, dann wird das auf jedenfall nichts mehr mit unverschlüsseltem DNS.
Bild
cust-own_400000_40000_ds_sip_wifi-on.bin
TC4400 @ Arris CMTS

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste