Пользователь
0,0
рейтинг
17 апреля 2010 в 03:38

Сниффер витой пары из Wi-Fi роутера tutorial

image

Трафик проходящий по витой паре может быть прослушан абсолютно незаметно для участников соединения.
В этом посте будет показано как изготовить автономный сниффер с возможностью сохранения дампа на диск и управляемый по Wi-Fi.


Теория


В сетях стандарта 10/100Base-T передача сигнала происходит по двум парам жил.
Tx — отправка
Rx — прием
Задача состоит в том, чтобы подключить прослушиваемую пару к принимающей паре сниффера.


Практика



Подойдет любой роутер на который можно установить прошивку DD-WRT (или OpenWRT) с возможностью подключения диска.
Список поддерживаемых моделей.

Например старый Linksys WRT-54GL.
image
В нем штатно нет возможности подключения флешек, но довольно просто можно впаять SD или MMC карту. Замечу только, что карту перед пайкой лучше отформатировать на компьютере в файловой системе ext2 и GPIO выставлять вручную как в этой инструкции. Я припаял контакты напрямую к карточке, но для сохранения возможности извлекать карту можно использовать гнездо от картридера или переходник microSD->SD



Прошивка DD-WRT — это миниатюрный Linux. Который при наличии свободно места на диске легко превращается в полнофункциональную систему с менеджером пакетов.

На роутерах с объемом памяти мене 32мб (как в моем случаи 16мб), ядро урезанно и процесс установки менеджера пакетов несколько отличается от такового в полных версиях прошивки с поддержкой jffs.

Далее подрозумевается, что роутер уже прошит (без поддержки jffs), карта памяти или USB-флешка уже установлена и смонитрованна в /mmc. Подключаемся telnet-ом, логин root, пароль установленный на веб-морду.

Создаем папку:

mkdir /mmc/opt


Монтируем ее на карту(эту команду необходимо добавить в стартовый скрипт через веб-интерфейс):

mount -o bind /mmc/opt /opt


Запускаем установщик ipkg-opt (нужен интернет):

cd /mmc 

wget http://www.3iii.dk/linux/optware/optware-install-ddwrt.sh

sh ./optware-install-ddwrt.sh


Установка займет несколько минут. Далее:

ipkg-opt install libuclibc++


Теперь менджер пакетов готов к работе. Обновить список пакетов: ipkg-opt update. Вывести список доступных пакетов: ipkg-opt list.
Для сбора трафика необходим tcpdump:

ipkg-opt install tcpdump


Слушающим портом будет WAN, в системе он eth0. Подсоединяем крокодильчики к интересующей паре (обычно Tx интересней) и запускаем дамп:

tcpdump -i eth0


В зависимости от схемы обжима, цвета пар могут быть разными. Определить нужную можно только экспериментально, по значению destination и source.
Крокодильчики лучше припаять к многожильному гибкому кабелю, иначе хрупкие жилы будут отламываться.



Запуск tcpdump можно так же добавить в стартовый скрипт системы для автоматического запуска после перезагрузок.
К роутерму можно подключаться по wi-fi и скачивать файлы например по sftp (нужно включить SSH в веб-интерфейсе).
Павел Жовнер @zhovner
карма
114,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (122)

  • +29
    Блестяшее решение. Еще один шаг на пути к повсеместному домашнему использованию https + VPN + полного шифрования трафика.
    • +9
      Большинство провайдеров используют только шифрование авторизации в PPTP и PPPOE оставляя сам трафик не зашифрованным. Очень затратно шифровать до каждого абонента.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +2
          Аргумент — это попросту не нужно. Пользователю лучше знать, что ему нужно шифровать, а что нет. Если нужно — он воспользуется SSL. А шифровать весь поток трафика только потому, что в docsis это есть — глупо.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              Притом, что для шифрования всего подряд нужно больше вычислительных мощностей, которые стоят денег. А поскольку это попросту не нужно, то получается выбрасывание денег на ветер.
        • –5
          >Data Over Cable Service Interface Specifications (DOCSIS) — стандарт передачи данных по коаксиальному кабелю

          Что как я понимаю, уже не актуально.
          • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Его телевизионные кабельщики используют.
          • 0
            актуально, в центре Москвы Акадо — у нас доксис, я выжимаю из соединения до 3-5 мегабайт\с хотя модему уже лет 5 поидее они скоро перейдут на Docsis 2
          • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              Все перечисленные вами компании имеют инфрастуктуру в которую вбуханы миллиарды и даже при всём желании им приходится продолжать жизнь этой технологии, так же как и ADSL.
              Но в перспективе эти технологии тупиковые. В России в большинстве сетей не было такого тяжолого наследия потому можна прокладывать современные сети.
    • –2
      < Блестяшее решение. Еще один шаг на пути к повсеместному домашнему использованию https + VPN + полного шифрования трафика.

      Никто не будет так напрягаться как автор поста, чтобы спереть пароль от вконтактика или аськи.
  • –9
    Я в восторге!

    Много лет все треплются о том, что мол-де витуха фонит, и это все прослушать можно. Но пока никто не предлагал простого и работоспособного решения.
    • +2
      А причем здесь «фонит»? Вы можете точно так же подключать просто одну из пар к своему компьютеру и запустить тот же wireshark. Автор просто привел решение этакого более-менее автономного и незаметного самописца (если так можно выразиться).
    • 0
      Хм, еще год назад (или даже два) в Хакере была статья про то же самое.
  • +3
    Те это одной наводки достаточно? Или крокодильчики прокусывают изоляцию?
    • +9
      Прокусывают
  • 0
    вот за что я хабр люблю — постоянно задумываться заставляет.
  • –9
    А я придумал лучше способ ворования траффика. Ставим вайфай точку в людное место и сниффим весь траффик, через нее проходящий.
    • +11
      да, но улыбнулся с «а я придумал...» )
  • +4
    Эээ… А зачем такие сложности? В свое время использовали более простое решение:

    Кабель разрезается в точке прослушки (вне помещения абонента), обжимаются края, втыкаются в простенький неуправляемый свитч с питанием по витой паре. И второй витой парой сигнал уводится в любое место, где стоит старенький ноут с правильно настроенным линуксом, который снифит весь трафик.

    После окончания снифа свитч убирается и витая пара соединяется через переходник.
    • +6
      Способ проще, но точно не изящнее.
      Во-первых, вы прервёте сервис на время обрезания, обжимки, установки свитча. Если жертва — серьёзная компания, могут провести расследование и обнаружить вас.
      Во-вторых, свитч где-то нужно ещё поставить. Если ставить у себя, то нужно кидать витуху в две стороны.
      • +3
        При должной сноровке кабель обжимается за 10 секунд.
        Свитч ставиться разумеется заранее.

        Вы серьезно думаете что линк даун на 10 секунд вызовет расследование? Вы очень хорошего мнения о ИТ-отделах компаний, по крайней мере по состоянию пару лет назад.

        Если уж сильно хочет поиграть в Джеймс Бондов можно электричеством мигнуть ;)) Далеко не всегда все оборудование упсируется + есть простое (хотя и не логичное объяснение линк дауну).

        Свитч ставить у себя не рекомендуется категорически. Вдруг будут трассировать? А вот в слаботочках, над фальшпотолком и.т.п.все ставиться на ура.

        Учитывая что по состоянию пару лет назад в большинстве офисов что-то постоянно ремонтировалось и достраивалось — рабочая спецовка и чемодан с инструментами работали как шапка-невидимка.

        Ладно, не буду плохому учить :))))
        • +1
          В такой схеме вас всегда можно найти на другом конце кабеля.
        • +1
          Обжать 2 кабеля за 10 секунд. Круто, как в фильме)
          Вообще согласен с вами, конечно, сам ведь ИТшник)
          А вот про трассировку не понял — это вы про что? И как это может привести ко мне? Если вы имеете ввиду физически идти по кабелю, то не имеет значения, где он стоит — кабель-то всё равно в ваш комп идёт.
    • +1
      Только нужен не свитч, а старый хаб, чтобы прослушивать весь трафик, а не только широковещательный.
      • +3
        свич с зеркалированием порта =)
        хаб уже большая редкость я думаю…
        • +1
          Тогда уже управляемый свитч с зеркалированием.
          Хабы еще встречаются в этой жизни :(
          • 0
            понятное дело, что управляемый, или вы собрались настраивать зеркалирование джампером? =)
            а можно ссылку где продается хаб?
            • 0
              Думаю, на аукционах онлайн можно найти.
        • 0
          Есть гораздо проще решение — просто берется ферритовое кольцо и на него наматываются три катушки. Соответственно две — разорванная линия абонента, а третья — нужный отвод. Поскольку Ethernet изначально был ориентирован именно на общую шину, такой фокус не является хаком, а фактичеси обычное использование протокола.

          Из плюсов — отсутствие необходимости в питании в точке врезки и 100% надежность при правильном подходе.
          • 0
            Не совсем понятно, расскажите подробнее.
            При длине кабеля ~20 метров от точки врезки до снифера потерь небыло.
            • +2
              Если в кратце, то


              На картинке изображена полная схема, позволяющая на один порт повесить до трех клиентов (в режиме хаба). Соответственно, если мы хотим сделать ответвление — надо сделать три катушки. Две являются гальванической развязкой разрыва основной линии. Третья — наша слушалка.

              Подробности: nag.ru/articles/reviews/15639/oborudovanie---svoimi-rukami-chast-1.html
              • +1
                Прошу прощения, не обновил страницу. Теперь понятно. Ну… более или менее.
          • 0
            А где-то чуть подробнее можно узнать? Что-то я не понимаю, как с катушки снимается информация? И почему линия абонента «разорванная».
      • 0
        Вы совершенно правы, имелся ввиду хаб, но в 30:21 пятницы написалось то, что написалось :)
        Если использовать свитч — то нужен управляемый с зеркалированием портов.
        • +4
          30-21 пятницы это 6-21 субботы?
        • –1
          Мне что то помнится, что хабы они того… Только 10 мегабит вроде, т.к. коллизии. Этож палево сразу.
  • –26
    не ну раз уж несколько портов — фигли, можно всё слушать сразу. Ненавижу, блин, умников вроде вас. Ну понятно — вот хорошая статья по поводу модернизации роутеров, но зачем именно в таком криминальном ключе всё это подавать? Те, кто может это использовать в благих целях (уж не знаю как) — не нуждается в таких статьях для чайников, а вы помогаете тем, кто хочет нагадить, но не знает как.
    • –11
      Здравствуй, поколение школоты на хабре!
  • –1
    Очень интересно и подробно. Но тоже интересует вопрос: неужели действительно изоляция не прокусывается? Если дело лишь в наводке хотелось бы почитать техническую часть, посвящённую этому — как происходит, влияют ли другие пары?
    • +3
      Всё прокусывается, там даже на фотографии видно.
      • +1
        Не, на фотографии не видно. Но я сам тоже склоняюсь к этому варианту.
    • +2
      Можно и без прокусывания. См. мой комментарий выше: habrahabr.ru/blogs/DIY/90678/#comment_2752786
  • +14
    Уроки Большого Брата на Хабрахабре.
  • –1
    хм, обычно даже незначительнео повреждение/расплетение проводов ухудшают качество сигнала в витой паре — каков эффект здесь?
    • +2
      Практика иногда противоречит теории. Мы однажды тянули кабель для домашней сети от одного подъезда к другому, он проходил через щиток с телефонными и телевизионными проводами, по крыше и опять по щитку спускался вниз. Кабель 2 раза наращивался. Общая длинна примерно 110 метров. С одной стороны был вставлен в свитч, с другой — в компьютер. Тест скорости выдавал стабильные 9 мегабайт/сек. Кабель — обычная 8-ми жильная витая пара не экранированная.
      • +2
        мы однажды рискнули и сделали проброс витой пары на 182 метра от многоэтажки к частному дому. Работает и по сей день. порядка 50 мегабит — стабильно. Кабель R&M медь 5e
    • +2
      У нас местный провайдер так разводит проводку, что сердце замирает: в подъезде на каждом этаже расплетенные провода чуть ли не на скрутке держатся. И ничего — работает без проблем.
      • 0
        *ужастики с nag.ru подтверждают — сердце действительно замирает*
  • +3
    Интересный материал, но кроме правильных пар жил в витухе, надо будет найти кабель на 220 для питания такого девайса (:
    • –2
      Думаю самый дешёвый нетбук на 5 справиться с этой задачей.
    • +1
      И снова обращаю внимание сюда: habrahabr.ru/blogs/DIY/90678/#comment_2752786

      Если точка врезки находится где нибудь в заднице, то можно от нее протянуть отвод до места с розеткой. Где уже собственно ставится активное оборудование. Ну или PoE на худой конец.
  • 0
    /me пошел покупать FTP
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        Foiled twisted pair — экранированная витуха
      • +9
        Вероятно имелась ввиду бронированная витая пара

        • 0
          у меня такая проведена на чердак по шахте с силовым кабелем (собственно из-за этого брал экранированную), думаете в нее нельзя будет врезаться?!
          • 0
            Можно конечно.
  • 0
    А что еще можно сделать из WI-FI?
  • +21
    А если вы просто хотите нагадить абоненту, то на те же жилы можно подать 220В =)
    • +11
      Неудобно, легче пьезиком от защигалки пощелкать. Проклятая штука сжигает любую технику.
      • 0
        Любую или только сетевуху\роутер (в зависимости от того, что идет к абоненту)?
        • +2
          Я ей в своё время добивал глючащие винты, чтобы надёжно сдать их по гарантии. Убивает любые чипы без следа.
          • 0
            Я имел ввиду, что если на витую пару подать заряд, то выгорит только сетевая карта или что-то еще в компьютере?
            • 0
              На деле не проверял, но в теории должно сжигать по цепочке все устройства друг за другом. По идее, если щелкать основательно и компьютер состоит в нескольких сетях, то искра может нанести ущерб и устройствам других сетей.
              • 0
                Это где вы такую зубодробительную теорию выкопали???
                В теории вообще ничего не должно выгореть. А на практике могут сгореть какие-то уж очень сильно кривые сетевухи, сделаные с нарушением всего и вся.
                • –1
                  Сжигал так всякую мелочь типа часов и калькуляторов, наблюдал, как распространяется искра. Думаю, выгорит и очень многое.
                  Если Вы уверены в своих словах, проверьте на практике.
                  • 0
                    А у мелочи типа часов и калькуляторов разве есть внешние сетевые интерфейсы?
                    На практике у меня было обслуживание кабельных линий телеметрии в десятки километров. И искры не от зажигалки, а от молнии :).
                    С одной стороны линии были развязки и грозоразрядники — там вообще проблем небыло. С другой стороны линии сгорал ровно один стабилитрон :).
                    На сетевухах развязки стоят.
                    • 0
                      У меня такой практики не было, так что я могу говорить только об очень малых масштабах, никак не о десятках километров кабеля :) Я, в общем-то, имел ввиду ситуацию с отсутствием всякой защиты — щелкать пьезиком в линию абонента из подъезда.
                      • 0
                        Не поможет. Т.к. грозозащита стоит везде сейчас. Иначе бы от любой грозы сетевухи дохли все сразу. А так лишь иногда :)
                        • 0
                          На пользовательских сетевухах молниезащиты нет, и в медных сетях в грозу они продолжают гореть.
                          • 0
                            Как минимум там должен стоять супрессор и токоограничительный резистор. Возможно даже микроразрядник. От сильных наводок молний он спасает далеко не всегда, но не будь его любая гроза вызвала бы смерть всех сетевок в округе.
            • 0
              Вообще, на любом нормальном сетевом порту стоит гальваническая развязка и конденсаторы… Так что не факт, что что-то сильно выгорит.
              • 0
                Гальваническая развязка снимает помехи от линии и защиту устройства от полного выгорания. Если сгорит гальваника в порту (а горит она вполне себе легко), то один хрен порт становится дохлым. Ремонт правда дешевый, но вы будете пытаться починить сетевуху? ;)
                • 0
                  Это я к тому, что маловероятно, что что-нибудь сдохнет ЗА сетевухой.
                  • 0
                    Ну дохлая сетевка, особенно в мамке, тоже не много радости. Это же ходить, искать, покупать. А обычную PCI хер где купишь щас. Еще три года назад нигде в городе найти не мог, а щас и подавно. Разве у знакомых за пиво выпросить.
      • +1
        надеюсь не пойдет волна сожженных пьезиком устройств…
    • +1
      Оплетка невыдержит, еще расплавится/сгорит, нунафиг, лучше пьезой от зажигалки.
      • +1
        Она правда так эффективна?
        • +3
          Проверьте :D Желательно на своем оборудовании
          • 0
            около 40 минут пытался убить этой пъезой материнку, так и не получилось, может есть какая хитрость? куда только не щелкал ею
    • +1
      там емкости на входе, так что возможно, ничего не будет.
      • 0
        так ведь 220 тоже переменный ток (хотя частота бесспорно пониже)
  • +3
    tcpdump -i eth0 при раздаче 100mbps в торентах за небольшой промежуток времени забьёт всю память. Разумнее снифить www pop smtp etc.
    • +1
      Необходимо делать выборку интересующих пакетов. Я специально не писал полный команды для tcpdump-а, в том числе и сохранения дампа на диск.
    • +1
      tcpdump здесь не догма, насколько я понимаю, а просто демонстрация
    • 0
      У tcpdump, кстати, есть проблемка кажется. Когда свой сниффер писал (и использовал tcpdump как шаблон) то наткнулся на нее. Буфер для хранения пакетов в системе ограниченный. Соответственно, когда tcpdump скидывает улов на диск, некоторое время он не читает трафик, и буфер переполняется, пакеты из теряются и в дампе не присутствуют. Некузяво. Пришлось делать в несколько процессов — один «тупой сниффер» все ловит и кладет в большую shared memory, а другой оттуда уже выгребает и дампает на диск. Так проверял на стомегабитке и 10мегабитных аттачах — все ловится полностью.
      • 0
        Вы имеете ввиду tcpdump из busybox или обычный?
        • 0
          Обычный линуксовый. Эта проблема была при записи в файл полного трафика. Может быть на консоль он бы успевал все печатать, или даже скидыать на диск только заголовки — может быть тоже.

          Правда я это тестировал года 4 назад наверное, тогда машины и винты были послабее. Но зато сейчас 1Gbps сеть — совсем не удивительное дело, и я не уверен что он справится.

          Можете попробовать такой тест — поставить фильтр в iptables и посчитать количество пакетов в какой-то сессии (скажем, в скачивании 100Мb файла по HTTP с соседнего сервера, чтобы скорость была близкой к физической). И в это же время сделать tcpdump -s0 -w /tmp/x.pcap…

          А потом посмотреть сколько пакетов наловил tcpdump и сравнить с количеством, сколько их было по статистике iptables.
  • +1
    Предложение по улучшению:
    Поставить прощивку с поддержкой Multi Wan (железо должно поддерживать) и слушать как входящий, так и исходящий трафик.
  • 0
    Это все круто конечно, но что с питанием?
    Более дешевое решение — просто всунуть хаб :) Правда тогда и скорость упадет, и войфая/флеш не будет. Но если стибрят — не жалко
  • +1
    вот если бы так АДСЛ можно было снифферить. Подключиться к телефонной линии, декодировать частоту АДСЛ и оттуда снимать траффик.
    • +1
      заставили задуматься. Почему бы собственно и нет? Нам ведь вполне известно, что на выходе у модема.
      • 0
        Тоже думал об этом. Пока практического решения не знаю, там нужно выяснить модуляцию, инкапсуляцию, VPI/VCI
        • 0
          Или я ошибаюсь, или как раз VPI/VCI выяснить не проблема, в одной местности не так много операторов, а эти параметры в пределах одного оператора обычно совпадают.
        • 0
          Как назло мелкопортовых adsl-концентраторов не бывает.
          но, наверное, еще можно где-нибудь купить zyxel aes-100 на 8 портов.
          • 0
            И как с его помощью снифать линию?
            • 0
              ставите в разрыв adsl-концентратор, настраиваете его как бридж и в сетевой выход концентратора подключаете еще один adsl-модем.
              абонент заметит только возросшую задержку и возможно пропавший adsl2, тк этот концентратор очень старый.
    • 0
      в ADSL обычно используют PPPoE
      • +1
        pppoe ничего не шифрует
  • +2
    Вообще-то уже было про снифф с витой пары, правда, без WiFi.

    Можно ещё добавить про то, как можно врезаться не прерывая контакт:



    Называется 3M UB2A.

    И, конечно же, нужно использовать ещё один ethernet порт чтобы слушать исходящий траф.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        очень похоже на спец. штуку, которая врезается в провод, и, проколов изоляцию, прижимает жилу; позволяет еще один прицепить так же. Как вариант, можно сделать обходной кабель, между точками соединения сделать нужный разрыв, соединить, потом снять обходной.
      • +1
        «металлическое лезвие» в форме буквы П, кусает провод в двух местах(одновременно).
        и уже к «лезвию» подключают третий провод, которым снимать сигнал.

        не знаю понятно ли моё объяснение…
  • +7
    Вот вам подтверждение того, что нужно думать от жопы. Это и так очевидно, но выскажусь тут немножко.

    Некоторые люди доверяют технике, например на моем прежнем месте работы заменивший меня админ исходит из доверия к защищенности юникс-системы, невозможности эксплойтов, ненужности шифрования и т.д.

    Переубедить его быть параноиком мне категорически не удалось, и не удастся уже.

    Но может быть тут кто-нибудь образумится?

    В вопросах надежности и безопасности всегда нужно думать от жопы.
    • +1
      Очень должно помочь принудительное выставление на другую сторону баррикад. Например, заставить его взломать ваш почтовый ящик, или удаленно уронить сервер. Человек будет удивлен, что даже он (а не какой-то Нео из матрицы) может за день найти методы решения этой проблемы.

      Помню, как-то «в молодости» баловались на одной ломаной машине с DECовским юниксом, и что-то затупили жестко, чуть ли не ls набрали с опечаткой. А потом долго ржали после того, как озвучили мысль «Ну вот какие же мы идиоты. Но кто тогда они, раз мы их ломанули??»
  • +1
    Раньше чита маны про подключения к телефонной лапше без физического контакта с проводами (индукция). Нашел устройства — индуктивный щуп (http://www.tools.ru/gen_schup/200gx.htm).
    Можно ли его использовать для того, что бы подключиться к витой паре и при этом не нарушая оболочку?
    В описании к устройству было написано, что он позволяет выделить сигнал из пучка проводов, подобрать частоту и уровень сигнала… я не очень разбираюсь в таких вещах(
    • 0
      *читал.
      Я спросил не про конкретное устройство, а про такую схему подключения — бесконтактную.
      • 0
        Сильно сомневаюсь что цифровой сигнал можно будет снимать безконтактно, телефон все таки аналоговый. Хотя не уверен.
        • 0
          Т.е. поплывут частоты(амплитуда) и этот сигнал не получиться модулировать?
        • 0
          очень даже можно :)
          • 0
            Расскажите подробней
            • 0
              а что тут подробней рассказывать. Сигнал хоть аналоговый, хоть цифровой всё равно остаётся сигналом, наводки остаются наводками. Что мешает снять эти наводки с цифрового сигнала и точно так же их расшифровать?
  • +7
    Звонит клиент сети **** и говорит что у него не работает интеренет. Сказал что он решил сделать себе Wi-Fi. Обрубил провод, зачистил провода и распушил их…
    Интересно, почему же не работает Wi-Fi :)
    • 0
      Хороший способ, нужно взять на заметку :D
  • 0
    А чем Вы сделали 1ю иллюстрацию? Мне часто необходимо делать иллюстрации к сетевым схемам, знаю, что есть сервисы специальные, а найти не могу :(
  • 0
    bit.ly/d1TNL7 — компиляем софт под dir-320
    bit.ly/bSWawX — конфигурируем vlan'ы на dir-320
    bit.ly/aO9bYT — делаем бэкап на ddwrt
    • 0
      И теперь можно в usb подключать флешки или по прежнему только принтер?
  • 0
    Опробовал подобное решение в домашней сети на базе роутера Asus с прошивкой DD-WRT. Пока слушаю только одну пару.
    Если запускать tcpdump без выражения-фильтра и направлять вывод в файл (ключ -w), то там среди прочего трафика можно найти и http-запросы.
    Однако, если запускать tcpdump с фильтром 'port 80', то файл (-w) будет пуст.
    Есть предположение, что я не использую какие-то ключи, которые использовать необходимо.
    Посоветуйте, пожалуйста.

    PS> Wireshark под Windows замечательно работает с тем же выражением-фильтром (port 80). В консоли Wireshark я вижу только http-запросы пролетающие по прослушиваемой паре.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.