hotwire

Hotwire ist eine GTK -GUI -Anwendung, die die Wireshark- und Tshark -Infrastruktur nutzt, um den Datenverkehr zu erfassen und die Inhalte von TCPDump -Dateien zu untersuchen, die Daten jedoch auf fokussiertere Weise als Wireshark anzeigen. Hotwire unterstützt nur einige Protokolle (derzeit Postgresql, HTTP und HTTP2). Für diese Protokolle bietet es jedoch eine hochrangige, klare Anzeige des Netzwerkverkehrs, die für jedes bestimmte Protokoll zugeschnitten ist. Hotwire kann TCPDump -Dateien öffnen oder den Verkehr über eine FIFO -Datei aufzeichnen, ohne erhöhte Berechtigungen zu erfordern.

Die Hauptansicht ist in vier Scheiben geteilt; Von links nach rechts und von oben nach unten:

1. Die Server; Hotwire ist nur an Client-Server-Protokollen interessiert, sodass es Pakete nach dem Server gruppieren kann. Wir zeigen dort auch Metadaten an, wie die Anzahl der Remote -Hosts, die Anzahl der TCP -Sitzungen und Details abhängig vom Protokoll (Hostname für HTTP, Datenbankname für PGSQL).
2. Die Nachrichten. Im Fall von HTTP gruppieren wir Anfrage und Antwort in einer einzigen Zeile, im Fall von PGSQL resultieren wir auch Abfragen und Abfragen in einer Zeile. Es ist möglich, nach einer Spalte zu sortieren. Die Farbe links unterstreicht den TCP -Stream, sodass es einfacher zu verfolgen ist, welche Nachrichten miteinander verbunden sind.
3. Die eingehenden Verbindungen. Diese halten nur für den aktuell ausgewählten Server. Wir können Remote -Hosts und TCP -Streams sehen, und die Auswahl von Elementen hier filtert das Nachrichtenraster.
4. Die Nachrichtendetails sehen sich an. Details zur aktuell ausgewählten Nachricht angezeigt.

Derzeit unterstützt Hotwire:

• Http
• Http2
• PGSQL (Postgresql -Drahtprotokoll)

Beachten Sie, dass Sie für PGSQL häufig "unbekannte Aussagen" sehen können. Dies kann bei vorbereiteten Aussagen passieren, bei denen die Erklärung einmal deklariert und dann wiederverwendet wird. Wenn die Erklärung nicht in der Aufnahme gefangen ist, hat Hotwire keine Möglichkeit, sie wiederherzustellen, und es muss eine "unbekannte Aussage" angezeigt werden. Es kann weiterhin Ergebniszeilen und Parameter wiederherstellen (ohne Typen oder Spaltennamen).

Es ist möglich, verschlüsselten Verkehr in Hotwire zu sehen, genau wie bei Wireshark und Tshark, wenn Sie die Verschlüsselungsschlüssel haben. Sie können die Verschlüsselungsschlüssel aus der Serversoftware (beispielsweise Apache Tomcat) oder Client -Software (Firefox, Chrome) wiederherstellen. Um die Schlüssel von Chrome oder Firefox wiederherzustellen, starten Sie sie mit:

 SSLKEYLOGFILE=browser_keylog.txt firefox

(oder gleich bei Google-Chrome) Weitere Informationen finden Sie im Wireshark-Wiki.

Hotwire erlaubt nicht, separat Keylog -Dateien separat zu öffnen. Stattdessen sollten Sie editcap verwenden, um die Geheimnisse in der PCAP -Datei zusammenzuführen und die kombinierte Datei mit Hotwire zu öffnen:

 editcap --inject-secrets tls,/path/to/keylog.txt ~/testtls.pcap ~/outtls.pcapng

Sie können auch den Live -Netzwerkverkehr in Hotwire aufzeichnen und beobachten. Dazu wird Hotwire ein FIFO eröffnen und auf PCAP -Inhalte auf diesem FIFO hören. Beachten Sie, dass dies nicht unter Windows funktioniert. Anschließend kann tcpdump aufgerufen werden, um PCAP-Daten in das FIFO zu schreiben, und Hotwire erfasst und zeigt die Daten in Echtzeit an. Auf diese Weise kann Hotwire Live -Verkehr ohne erhöhte Privilegien anzeigen.

Wenn Hotwire als linux -native App ausgeführt wird, kann er pkexec aufrufen, um tcpdump mit erhöhten Berechtigungen zu starten, und alles funktioniert transparent für den Benutzer. Wenn es beispielsweise als Flatpak oder unter OSX ausgeführt wird, gibt Hotwire dem Benutzer eine tcpdump -Befehlszeile, um mit sudo auszuführen.

Die empfohlene Möglichkeit zur Installation der Anwendung unter Linux ist bei Flatpak. Für andere Plattformen müssen Sie aus der Quelle bauen - mit der Rust Toolchain. Hotwire muss tshark installiert und auf dem Pfad korrekt arbeiten, und tcpdump um den Verkehr aufzunehmen, und auf nicht flachenden Linux- pkexec für einfache Aufnahmen.

Um aus Quelle zu bauen: Installieren Sie Rost und Fracht und führen Sie cargo run --release . Das binäre target/release/hotwire kann überall kopiert werden, da es Symbole und andere Abhängigkeiten einbettet (aber nicht gemeinsame Bibliotheken wie GTK). Auf OSX benötigen Sie GTK+3 und Adwaita-Icon-Teme von Homebrew.