Оглавление > Режимы дампирования трафика

PCAPdroid предлагает несколько способов для экспортирования захваченного трафика. Они называются режимом дампирования и могут быть изменены из настроек приложения.

2.1 Без дампа

Данный режим не экспортирует трафик никоим образом. Этот вариант подходит если целью является анализ трафика напрямую из вкладки соединений PCAPdroid.

2.2 HTTP Сервер

Данный режим запускает HTTP сервер, к которому вы можете получить доступ с любого ПК в локальной сети, и загрузить PCAP-файл, содержащий захваченный трафик. Этот режим используется по умолчанию и не нуждается в конфигурировании или какой-то специфической системе.

Для того чтобы корректно загрузить PCAP-файл, следуйте инструкциям ниже:

1. Убедитесь что выбран режим “HTTP сервер” на главном экране приложения
2. Начните захват трафика
3. На другом устройстве откройте URL отображенный в приложении, например http://192.168.43.1:8080 в случае если на устройстве запущена точка доступа Wi-Fi. Посещение адреса автоматически начнет загрузку PCAP-файла. Если у Вас не отображает прогресс загрузки - не беспокойтесь, все в порядке! Это вызвано тем, что данные идут потоком и браузеру не известно каким будет конечный размер загруженного дампа.
4. Получив нужный трафик, остановите захват в приложении. Это так же прекратит поток данных в загружаемый PCAP-файл и ваш браузер успешно завершит загрузку дампа.

2.3 PCAP-файл

В этом режиме захваченный трафик сохранится в памяти устройства как PCAP-файл. Имя файла и путь для сохранения могут быть выбраны после нажатия на кнопку старта захвата (будет системный диалог для выбора места и имени). Некоторые Android-TV устройства не имеют такой возможности, в таких случаях имя для PCAP-файла подбирается автоматически и сохраняется он в папку Загрузки (Downloads). Когда захват трафика в этом режиме будет остановлен, у Вас появится диалог о том что дальше делать с этим файлом - поделиться PCAP-файлом, удалить его или просто оставить в памяти устройства.

2.4 UDP Экспортер

Данный режим является “продвинутым” и предназначен специально для того, чтобы проводить анализ трафика в реальном времени. В этом режиме PCAPdroid инкапсулирует PCAP записи в UDP поток, отсылаемый на удаленый UDP приемник. IP и порт приемника могут быть заданы в настройках PCAPdroid.

ПРИМЕЧАНИЕ: UDP - ненадежный транспортный протокол, что означает возможность потери или перемешивания пакетов, особенно при wifi соединении, поэтому данный режим может сформировать частичный дамп. Предпочитайте использование режима “TCP Экспортер”

Для использования этого режима вам нужна ОС Linux или Windows с установленным Wireshark.

Захват на ОС Linux

Загрузите скрипт udp_receiver.py для python. Данный скрипт будет получать UDP пакеты, разбирать их и выводить в stdout записи PCAP в бинарном виде. Перенаправляя этот вывод в нужную вам программу для мониторинга трафика можно анализировать данные в реальном времени.

Некоторые примеры комбинирования этого режима с распространенными инструментами:

• Анализ трафика с wireshark:

udp_receiver.py -p 1234 | wireshark -k -i -

• Мониторинг активных соединений и их адресов в ntopng:

udp_receiver.py -p 1234 | ntopng -m “10.215.173.0/24” -i -

• Запись трафика в PCAP-файл:

udp_receiver.py -p 1234 | tcpdump -w dump.pcap -r -

На заметку: вместо Python-скрипта для приема UPD можно использовать socat для достижения аналогичного результата. В таком случае необходимо использовать опцию -b как указано ниже:

socat -b 65535 - udp4-listen:1234

Использование nc не будет работать по причине того, что слишком большие пакеты будут урезаться.

Захват на ОС Windows

Вы можете проводить захват в Windows в реальном времени с помощью Wireshark и “UDP listener remote capture” интерфейса (udpdump)

1. При установке Wireshark, убедитесь, что выбрали udpdump среди дополнительных опций
2. Скопируйте pcapdroid.lua и pcapdroid_udpdump.lua плагины в папку плагинов Wireshark (обычно это %APPDATA%\Wireshark\plugins)
3. Перезапустите Wireshark и убедитесь, что оба плагина PCAPdroid отображаются в Помощь -> О Wireshark -> Плагины
4. Запустите захват в Wireshark в режиме UDP listener
5. В настройках PCAPdroid задайте для UDP экспортера IP адрес вашего Windows ПК, а также порт 5555
6. Выберите UDP экспортер в качестве режима дампа в главном окне PCAPdroid и запустите захват

Теперь вы должны увидеть корректно разобранные пакеты в Wireshark. Если вы видите 127.0.0.1 в качестве IP-адреса назначения и только поле Data без каких-либо разделителей, проверьте еще раз, что плагины корректно загрузились.

ПРИМЕЧАНИЕ: при захвате через udpdump, дешифрование PCAPNG на данный момент не поддерживается. Вместо этого используйте дамп в виде PCAP-файла

2.5 TCP Экспортер (pcap-over-ip)

Начиная с версии 1.8.6, PCAPdroid поддерживает отправку трафика через TCP, что также известно как “pcap-over-ip”. Это рекомендуемый режим для анализа трафика в реальном времени, т.к. предоставляется через надежный транспортный протокол.

Пример анализа трафика в реальном времени через Wireshark:

nc -lvp 1234 | wireshark -k -i -