EVE-NG에 Wireshark를 추가한 메모

네트워크의 검증은 ESXi에서 EVE-NG를 구축하는 데 사용되어 검증을 잘 진행하고 있다.
그중에서 가장 힘들었던 와이즈 해킹을 메모로 남기고 싶어요.
※ EVE-NG 자체 설치와 관련해 보도 예정은 없습니다.

Wireshark 설치

EVE-NG download 화면
이 화면의 Windowsintegration pack에서 설치 프로그램을 가져올 수 있기 때문에 설치 프로그램을 실행하여wireshark를 설치합니다.다른 것은 putty 등 다양한 다운로드가 있지만 여기서는 개의치 않는다.

Wireshark 를 시작할 수 있습니까?

적절한 구성을 만들어서 와이파이를 시작하세요.
노드를 오른쪽 단추로 누르고capture를 열고 그룹을 포획할 인터페이스를 지정한 다음 누르십시오.
여기서는 EVE-NG의 로그인 비밀번호 등을 변경하면 문제가 발생할 수 있다.
eve-ng은 EVE-NG 폴더 아래에 있는 wiresharkwrapper.bat 파일로 시작한 것 같습니다.
그 파일을 여는 내용은 다음과 같다.
〇wireshark_wrapper.bat

@ECHO OFF
SET USERNAME="root"
SET PASSWORD="eve"

SET S=%1
SET S=%S:capture://=%
FOR /f "tokens=1,2 delims=/ " %%a IN ("%S%") DO SET HOST=%%a&SET INT=%%b
IF "%INT%" == "pnet0" SET FILTER=" not port 22"

ECHO "Connecting to %USERNAME%@%HOST%..."

"C:\Program Files\EVE-NG\plink.exe" -ssh -batch -pw %PASSWORD% %USERNAME%@%HOST% "tcpdump -U -i %INT% -s 0 -w -%FILTER%" | "C:\Users\admin\Desktop\eWire\Wireshark\Wireshark.exe" -k -i -

두 번째 줄과 세 번째 줄에 도달한user/pass가 없으면 먼저 시작할 수 없습니다.
따라서 시작 시 프롬프트 화면에서 Access Denied로 바뀐 경우 wiresharkwrapper.bat 파일을 편집하세요.

시작하지만 연결이 끊어진 경우

엑세스 데니드가 돌파할 수 있다면 다음 질문입니다.
Wireshark 응용 프로그램 자체는 시작되지만 다음 정보가 출력될 수 있습니다.

"Connecting to "root"@192.168.0.11..."   
The server's host key is not cached in the registry. 
You have no guarantee that the server is the computer you think it is. The server's ssh-ed25519 key fingerprint is: ssh-ed25519 255 98:a6:a5:ea:39:c6:ed:3d:1f:a9:27:dd:1c:64:f5:e7
Connection abandoned.

서버의 호스트 키가 레지스트리에 캐시되지 않았기 때문에 SSH 연결을 차단해야 하기 때문에 이 문제를 해결하십시오.
여기서는 나도 잘 모르겠어.
찾아보니 윈도우즈 client install pack에서wireshark를 설치할 때 plink가 같이 있었어요.exe라는 실행 파일이 설치된 것 같습니다.plink.exe 자체가 PuTTY 명령줄 도구인 것 같습니다.다만, EVE-NG로wireshark를 시작하고 tcpdump를 실행할 때 이 plink는exe를 사용하여 SSH에 액세스합니다.
실제로 eve-ng의 다운로드 화면에는 설치 프로그램의 포장에 있는 내용을 plink에 기록한다.괄호 안에exe(for wireshark)가 쓰여 있다.따라서 우선wireshark의 터미널을 시작하고eve-ng 자체,plink에 이르기까지.exe를 통해 SSH 연결을 수행하려면 SSH 키를 캐시합니다.
이런 느낌이에요.

이렇게 Wireshark를 시작하면...

SSH를 제대로 연결했고 tcpdump도 움직이고 있어.
이렇게 되면 와이즈백도 조를 포착할 수 있겠지.
...왜 터미널을 바꾸면 포착이 안 돼요!?이렇게 바쁜 연말.
나는 내년에 수출량을 늘릴 것이라고 생각한다. 잘 부탁한다.
새해 복 많이 받으세요.