hotwire

Hotwire هو تطبيق GTK GUI الذي يعزز البنية التحتية لـ Wireshark و Tshark لالتقاط حركة المرور واستكشاف محتويات ملفات TCPDump ، ولكنها تعرض البيانات بطريقة أكثر تركيزًا من Wireshark. يدعم Hotwire فقط عدد قليل من البروتوكولات (حاليًا PostgreSQL و HTTP و HTTP2) ، ولكن بالنسبة لهذه البروتوكولات ، فإنه يوفر عرضًا عالي المستوى وواضح لحركة المرور الشبكة ، مصممة لكل بروتوكول محدد. يمكن لـ Hotwire فتح ملفات TCPDump أو تسجيل حركة المرور من خلال ملف FIFO ، وبالتالي دون طلب امتيازات مرتفعة.

المنظر الرئيسي مقسوم في أربع أجزاء. من اليسار إلى اليمين ومن أعلى إلى أسفل:

1. الخوادم يهتم Hotwire فقط ببروتوكولات خادم العميل ، بحيث يمكنه تجميع الحزم حسب الخادم. نعرض أيضًا بيانات التعريف هناك ، مثل عدد المضيفين عن بُعد ، وعدد جلسات TCP ، والتفاصيل اعتمادًا على البروتوكول (اسم المضيف لـ HTTP ، اسم قاعدة البيانات لـ PGSQL) ؛
2. الرسائل. في حالة HTTP ، نقوم بتجميع طلب واستجابة في صف واحد ، في حالة PGSQL نؤدي إلى مجموعة الاستعلام والاستعلام في صف واحد أيضًا. من الممكن الفرز بأي عمود. يبرز اللون على اليسار دفق TCP ، لذلك من الأسهل تتبع الرسائل المتعلقة ببعضها البعض ؛
3. الاتصالات الواردة. هذه عقد للخادم المحدد حاليا فقط. يمكننا أن نرى المضيفين عن بُعد وتيارات TCP ، واختيار العناصر هنا سيقوم بتصفية شبكة الرسائل ؛
4. عرض تفاصيل الرسالة. عرض تفاصيل حول الرسالة المحددة حاليًا.

يدعم Hotwire حاليًا:

• http
• HTTP2
• PGSQL (بروتوكول سلك PostgreSQL)

لاحظ أنه بالنسبة لـ PGSQL ، يمكنك في كثير من الأحيان رؤية "عبارة غير معروفة". يمكن أن يحدث هذا ببيانات معدّة ، حيث يتم الإعلان عن البيان مرة واحدة ثم إعادة استخدامها. إذا لم يتم القبض على الإعلان في التسجيل ، فلن يكون لدى Hotwire أي طريقة لاسترداده ويجب أن تظهر "بيان غير معروف". لا يزال بإمكانه استرداد صفوف النتائج والمعلمات (بدون أنواع أو أسماء الأعمدة).

من الممكن عرض حركة المرور المشفرة في Hotwire ، كما هو الحال مع Wireshark و Tshark ، إذا كان لديك مفاتيح التشفير. يمكنك استرداد مفاتيح التشفير من برنامج الخادم (على سبيل المثال Apache Tomcat) أو برنامج العميل (Firefox ، Chrome). لاستعادة المفاتيح من Chrome أو Firefox ، قم بتشغيلها مع:

 SSLKEYLOGFILE=browser_keylog.txt firefox

(أو نفس الشيء مع Google-Chrome) يتوفر المزيد من المعلومات في Wireshark Wiki.

لا يسمح Hotwire بفتح ملفات Keylog بشكل منفصل. بدلاً من ذلك ، يجب عليك استخدام editcap لدمج الأسرار في ملف PCAP وفتح الملف المدمج مع Hotwire:

 editcap --inject-secrets tls,/path/to/keylog.txt ~/testtls.pcap ~/outtls.pcapng

يمكنك أيضًا تسجيل ومراقبة حركة مرور الشبكة الحية في Hotwire. لذلك ، سيفتح Hotwire FIFO ، والاستماع إلى محتويات PCAP على ذلك FIFO. لاحظ أن هذا لن يعمل على Windows. بعد ذلك ، يمكن استدعاء tcpdump لكتابة بيانات PCAP إلى FIFO ، وسيقوم Hotwire بتقاط البيانات وعرضها في الوقت الفعلي. وبهذه الطريقة ، يمكن لـ Hotwire عرض حركة المرور الحية دون امتيازات مرتفعة.

عندما يتم تشغيل Hotwire كتطبيق محلي Linux ، يمكنه استدعاء pkexec لإطلاق tcpdump بامتيازات مرتفعة وكل شيء يعمل بشفافية للمستخدم. عندما يتم تشغيله كـ flatpak أو تحت OSX على سبيل المثال ، يعطي Hotwire للمستخدم سطر الأوامر tcpdump لتشغيله باستخدام sudo .

الطريقة الموصى بها لتثبيت التطبيق على Linux مع FlatPak. بالنسبة للمنصات الأخرى التي يتعين عليك إنشاءها من المصدر - باستخدام أدوات الصدأ. يتطلب Hotwire تثبيت tshark وفي المسار للعمل بشكل صحيح ، و tcpdump لتسجيل حركة المرور ، وعلى Linux pkexec غير flatpak للتسجيل البسيط.

للبناء من المصدر: قم بتثبيت الصدأ والبضائع ، ثم تشغيل cargo run --release . يمكن نسخ الثنائي في target/release/hotwire في أي مكان ، لأنه يدمج الرموز والتبعيات الأخرى (ولكن لا توجد مكتبات مشتركة مثل GTK). على OSX ، ستحتاج إلى GTK+3 و Adwaita-Icon-theme من Homebrew.