Catturare traffico di rete di un nas Synology tramite tcpdump e Wireshark

Catturare traffico di rete di un nas Synology tramite tcpdump e Wireshark

Network-analisys

Synology network monitoring

Se avete bisogno di analizzare il traffico di rete che interessa il vostro nas server Synology e state cercando una soluzione comoda, in tempo reale e graficamente semplice allora seguite questa guida!

Software necessari:

  1. tcpdump installato sull’host/server che si intende monitorare (es: Synology Nas)
  2. Wireshark installato sul client che effettua il monitoring (es: Mac o Linux)

wireshark-logo

Una volta installati entrambi i software occorre prima abilitare il login ssh come “root” al server/nas: l’accesso come root permetterà a tcpdump di avere permessi sufficienti.
Dalle ultime versioni del DSM però non è più possibile accedere come root via ssh di default. Tuttavia si può abilitare l’accesso usando un sistema a coppia di chiavi pubblica/privata.

Per la creazione da PC Windows consiglio questa guida ufficiale di Synology , oppure usate il vostro terminale (nel mio caso, dal Mac) ed eseguite i comandi:

In questo modo verrà copiata la chiave SSH in ~/.ssh/authorized_keys dal vostro terminale (Mac) alla home folder dell’utente user.

Ora, se provate ad accedere via ssh a user@SERVER_IP noterete che non vi verrà più chiesta la password.
Bene, abilitiamo quindi l’accesso via root semplicemente copiando il file authorized_keys nella home folder di root:

A questo punto potete accedere senza password anche con l’utente root!

Avviamo infine il comando che ci permetterà di analizzare i pacchetti sul Wireshark locale, tramite apposita applicazione tcpdump installata sul NAS:

Il comando, in ordine:

  1. si connette in SSH al server/nas tramite root
  2. avvia tcpdump sul server/nas in modalità packet-buffered (-U)  escludendo la porta 22 (traffico SSH)
  3. avvia Wireshark come stardard-input sul client Mac/Linux (si noti “Standard Input” sulla barra di stato)

    wireshark-standard-input

    Wireshark avviato in stardard-input

Dando avvio, la shell prima chiede la password dell’utente root e, se tutto va a buon fine, avvia tcpdump mostrando a video il messaggio “tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes”.

Per uscire dalla cattura interrompere il comando con “CTRL + T” (anche Wireshark si chiuderà in automatico).

Buon lavoro!