Wireshark für Android?
Was ist die beste Methode um die ganze Netzwerkaktivität eines Android Smartphones anzuzeigen. Gibt es dafür ein Proxy Software für Linux? Burpsuite zeigt nur den HTTP Verkehr an.
2 Antworten
Aus meiner Sicht geht das nur mit externen Geräten. Die Apps kommunizieren in der Regel verschlüsselt, Wireshark benötigt auch den richtigen Treiber auf der Schnittstelle, um die Daten abzugreifen. Der lässt sich nur mit Root-Rechten installieren. Deshalb braucht es einen externen TLS-Proxy, um die Daten zu entschlüsseln und zu analysieren.
Bei mir werkelt immer eine App namens "GlassWire Pro" mit.
Die zeigt stets an, welche App grade wieviel Daten up/downloadet, auf Wunsch sogar im Minutentakt. Ansonsten gibts sogar 'ne nette Graphenfunktion die dir Peaks anzeigt, es gibt Usage-Alerts wenn eine App ans Netz geht, einen sehr akuraten Datenvolumenzähler, Datenlimitwarner mit Autoabschaltung auf Wunsch, ect.ect.
GlassWire gibts aber auch für Windows, woher es die meisten ursprünglich kennen.
Üff, ..is' des abba bissel viel umständlich für den Alltagsgebrauch. Du stehst also des morgens an der Bahnhaltestelle und willst dir die Zeit vertreiben indem du Schreibkram und Mails erledigst, ..und dann erst den Proxy über Heimkompi einfädeln bevor du ans Netz gehst?
Wozu so kompliziert, wenn man doch eigentlich nur seine Apps davon abhalten will unnötig zu 'leaken'. Ich hab bei mir die meisten sowieso vom Netz getrennt mit "NetGuard" Firewall und GlassWire wacht darüber, ob 'ne App trotzdem versucht Kontakt aufzubauen.
Die Frage lautet: "Was ist die beste Methode um die ganze Netzwerkaktivität eines Android Smartphones anzuzeigen." - da steht nix von "abhalten" "unnötig zu leaken" und auch nichts von "morgens an der Bahnhaltestelle". Das gefragte Problem kannst Du NUR über ein externes Gerät lösen - virtualisieren wäre auf einem Smartphone ebenfalls eine eher unmögliche Angelegenheit.
Du komplizierst viel zu sehr, das ist meine Meinung.
Ich hab den FS so verstanden, das er/sie einfach nach 'ner alltagstauglichen Lösung sucht sein Gerät unter Kontrolle zu halten. Ich denke mal, -vermutlich aus Wunsch nach Privacyschutz was so das gängigste Argument ist Netzwerkaktivität eines Smartphones beobachten zu wollen. Daher hab ich auch das 'leaken von Apps' hinzugenommen, quasi als Illustration.
Das Smartphones üblicherweise abverlangt wird "mobil" jederzeit nutzbar zu sein, kannst auch du sicher nicht leugnen - daher das Beispiel mit der morgendlichen Bahnhaltestelle. Deine vorgeschlagene Lösung ist einfach schlecht verwertbar für einen Handybesitzer.
Woher weißt Du wer da fragt? Seit wann sind alle Handybesitzer gleich? Da oben hat jemand eine Frage gestellt, die habe ich beantwortet. Du hast dir ein Stück dazu gebastelt, der aber nicht aus der Frage hervorgeht. Wie auch immer, man kann ein Handy als Spielzeug betrachten, oder da ernsthaft dran gehen. Ich lese in jedem Fall die Frage und halte mich dann daran.
Schön. Also zwei verschiedene peoples - zwei verschiedene aproaches. ...Umso besser, -kann der FS sich ja freuen über 'ne Auswahl von Antworten die nicht alle gleich sind.
Warum IDS? Um zu blocken muss es ein IPS sein - ja, kann Snort auch. Die Konfiguration von Snort ist jedoch nicht trivial. Außerdem ging es ja nur darum, "die ganze Netzwerkaktivität eines Android Smartphones anzuzeigen". Da ist Snort fehl am Platze.
Also was ich wollte ist das ich mein Verkehr dann auf dem PC ansehen kann weil ich mein Handy sonst rooten müsste. Das muss auch kein TLS Proxy sein weil ich die Pakete nicht entschlüsseln will und die Webseiten die HSTS verwenden dann sowieso nicht funktionieren. Bisher mache ich das als MITM aber das ist auch nicht so zuverlässig. Deshalb wollte ich eine normale Proxy Software für Linux. Aber die App die hier empfohlen wurde kann man auch für andere Zwecke gut gebrauchen.
Nee, das kannst Du mit Snort durchaus auch:
NetzwerkanalysewerkzeugSnort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als Sniffer, ähnlich wie tcpdump, den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerkdialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.
(aus Wikipedia)
Eventuell sind Squid und Snort tatsächlich so "Kanonen auf Spatzen". Vielleicht guckst Du dir das hier mal an:
https://www.kuketz-blog.de/mitmproxy-app-verkehr-mitschneiden/
Also was ich wollte ist das ich mein Verkehr dann auf dem PC ansehen kann weil ich mein Handy sonst rooten müsste. Das muss auch kein TLS Proxy sein weil ich die Pakete nicht entschlüsseln will
Wenn Du nicht entschlüsselst, siehst Du allenfalls IP-Adressen und den aufgerufenen Server. Wenn das reicht?
und die Webseiten die HSTS verwenden dann sowieso nicht funktionieren.
Meine Erfahrung ist anders.
Deshalb wollte ich eine normale Proxy Software für Linux.
Das wäre z. B. Squid.
Ich kenne Snort sehr gut. Natürlich muss Snort, um die Pakete zu analysieren, diese irgendwie vom Interface abgreifen. Dazu kann es dieselbe Bibliothek verwenden wie Wireshark und tcpdump, nämlich libpcap. Das zusammenführen der Pakete kann man, wenn man das benötigt, einfacher in Wireshark erledigen. Das aufzeichnen selbst kannst Du mit Wireshark oder im Hintergrund mit tcpdump erledigen. Snort ist ein ziemliches Monster und für diese Zwecke mit Kanonen auf Spatzen geschossen.
Genau so meinte ich das. mitmproxy ist ein TLS-Proxy, der recht einfach zu installieren ist. Diesen Artikel hatte ich gesucht, aber nicht mehr gefunden. Ich wusste nicht mehr, dass ich das bei Kuketz gelesen hatte.
Und wie kann ich bei Wireshark filtern das ich nur.die Pakete die von mein Handy kommen und dann zum Ziel (Ziel IP Adresse) gesendet werden sehe? Wenn ich die ip Adresse von mein Handy filtere dann sehe ich wie die Pakete zum Proxy gesendet werden aber nicht die Ziel IP Adresse. Wenn ich als IP Source die Proxy IP nehme dann sehe ich die Ziel Adressen der Pakete aber dann sehe ich auch die Pakete die aus mein PC kommen und nicht von mein Handy weitergeleitet werden.
Ein Proxy mit IDS auf einem externen Rechner über den Du den Netwerkverkehr deines Smartphones leitest.