На данный момент я использую usbmon для обнюхивания USB. для большей понятности я хочу использовать wireshark. Раньше я использовал wireshark для перехвата пакетов Ethernet. Но что захватывать, чтобы нюхать USB-пакеты? Я имел в виду, что мне нужно начать с выбора интерфейса для захвата в wireshark. но что бы я выбрал там для usb?

12
Neel Basu 11 Фев 2011 в 19:49
Насколько я могу судить, в настоящее время это невозможно с помощью wireshark в Windows.
 – 
CWMan
22 Фев 2011 в 18:23
Wireshark может нюхать USB только в Linux. Самый простой способ прослушивания пакетов — использовать vmware. vusb-analyzer.sourceforge.net/tutorial.html
 – 
Orwellophile
1 Дек 2013 в 21:25

4 ответа

Возьмите новейший wireshark. Используйте lsusb до и после плагина в устройстве, чтобы вы знали, к какой шине USB он подключен.

Введите терминал:

su -c "modprobe usbmon" && su -c "wireshark"

(Сначала загрузите модуль ядра, который позволяет обнюхивать usb для root, второй загрузите wireshark от имени root)

Затем выберите usbmonX, где X обозначает номер шины USB (lsusb показывает эти цифры).

После этого вам все еще нужно фильтровать пакеты по идентификатору устройства / поставщика или чему-то еще, специфичному для устройства, поскольку wireshark покажет все пакеты от всех устройств, подключенных к этой шине. (Опять же lsusb до/после подключения устройства поможет).

10
przemo_li 23 Июн 2015 в 10:30
Запуск wireshark от имени пользователя root может быть опасным, поэтому лучше настроить дополнительного пользователя wireshark. Это делается автоматически в стандартных дистрибутивах, таких как Fedora и Ubuntu. Таким образом, установка wireshark с помощью диспетчера пакетов будет самым простым решением, в любом случае вы можете столкнуться с проблемами с разрешениями, такими как «Не удается открыть файл шины USB /sys/kernel/debug/usb/usbmon/2t: Отказано в доступе», это можно легко решить. установив несколько разрешений для файлов. Руководство здесь: ludovicrousseau.blogspot.com/2014/10 /…
 – 
Kamil
10 Окт 2015 в 20:53

Вы ознакомились с документацией для этого на веб-сайте Wireshark?

В libpcap 1.0.x устройства для захвата на USB имеют имя usbn, где n — номер шины. В libpcap 1.1.0 и более поздних версиях они называются usbmonn.

3
Miles Strombach 11 Фев 2011 в 22:54
Извините, но я все равно не понял. Я хочу слушать разговор с помощью My Pen Drive или USB-клавиатуры. Есть 3 варианта для начала захвата etc0, ppp0, lo, тогда как мне получить USB Conversation
 – 
Neel Basu
12 Фев 2011 в 13:52
1
Обновите libpcap до последней версии (и/или, возможно, вашего дистрибутива Linux), а затем используйте Wireshark для захвата интерфейсов с именами, похожими на «usbmon1».
 – 
Tyson
23 Июл 2011 в 18:24

Быстрое замечание, так как я только начал использовать wireshark для прослушивания пакетов USB в Linux. насколько я понимаю, вам нужен загруженный модуль usbmon (который, если вы его используете, должен быть). Кроме того, я, кажется, припоминаю, что, хотя wireshark можно настроить так, чтобы пользователи без полномочий root прослушивали пакеты Ethernet, для некоторых ограничений требовался root-доступ для пакетов USB (по крайней мере, на момент написания). Подобно тому, что говорили другие, в моей системе Ubuntu 12.10 интерфейсы USB имеют такие имена, как «usbmon1 USB-шина номер 1» и так далее. (вы можете посмотреть на http://biot.com/blog/usb-sniffing-on- линукс) указанная ссылка имеет изображение, показывающее фильтр, который можно использовать для выбора только трафика с номера устройства (из lsusb).

Я надеюсь, что это полезно

0
dullfire 24 Окт 2013 в 01:54

@przemo_li Вы хотите отфильтровать по адресу устройства, чтобы увидеть связь как с хоста, так и с устройства. Фильтр для этого usb.device_address ==.

0
The Lightning Stalker 4 Сен 2017 в 17:04