Puoi catturare il traffico USB con Wireshark.
Dal suo wiki:
Per eseguire il dump del traffico USB su Linux, è necessario il
usbmonmodulo, che esiste da Linux 2.6.11 . Le informazioni su quel modulo sono disponibili in/usr/src/linux/Documentation/usb/usbmon.txtnell'albero dei sorgenti di Linux. A seconda della distribuzione che stai usando e della versione di quella distribuzione, quel modulo potrebbe essere integrato nel kernel o potrebbe essere un modulo caricabile; se si tratta di un modulo caricabile, a seconda della distribuzione che stai utilizzando e della versione di quella distribuzione, potrebbe o meno essere caricato per te. Se è un modulo caricabile, e non caricato, dovrai caricarlo con il comandomodprobe usbmonche deve essere eseguito come root.
Le versioni di libpcap precedenti alla 1.0 non includono il supporto USB, quindi avrai bisogno di almeno libpcap 1.0.0 .
Per le versioni del kernel precedenti alla 2.6.21 , l'unico meccanismo di acquisizione del traffico USB disponibile è un meccanismo basato su testo che limita la quantità totale di dati acquisiti per ogni blocco USB non elaborato a circa 30 byte. Non c'è modo di cambiarlo senza patchare il kernel. Se debugfs non è già montato su
/sys/kernel/debug, assicurati che sia montato lì emettendo il seguente comando come root:mount -t debugfs / /sys/kernel/debugPer la versione del kernel 2.6.21 e successive , esiste un protocollo binario per tracciare i pacchetti USB che non ha tale limite di dimensione. Per quella versione del kernel, avrai bisogno di libpcap 1.1.0 o più recente , poiché il supporto USB di libpcap 1.0.x utilizza, ma non gestisce correttamente, il meccanismo mappato in memoria per il traffico USB, che libpcap utilizzerà se disponibile - non può essere reso non disponibile, quindi libpcap lo utilizzerà sempre.
In libpcap 1.0.x, i dispositivi per l'acquisizione su USB hanno il nome
usbn,dove n è il numero dell'autobus. In libpcap 1.1.0 e successive, hanno il nomeusbmonn.Avrai anche bisogno di Wireshark 1.2.xo più recente .