En general, no, Wireshark no puede sentir ese tráfico. ErikA describe por qué.
Sin embargo ... si su red lo admite, la red misma puede mostrarle a la Computadora A el tráfico para la Computadora B, y desde allí Wireshark puede tomarlo. Hay varias formas de llegar allí.
Mismo conmutador, buen método Si ambas computadoras están en el mismo conmutador de red y el conmutador está administrado, probablemente sea posible configurarlo para abarcar / duplicar / monitorear (los términos cambian con el proveedor) el tráfico del puerto de la computadora B al puerto de la computadora A. . Eso permitirá que Wireshark en la computadora A vea el tráfico.
Mismo conmutador, método malvado Si ambas computadoras están en el mismo conmutador de red y el conmutador no es terriblemente seguro, es posible realizar lo que se conoce como un ataque ARP Spoofing. La computadora A emite un paquete ARP que le dice a la subred que en realidad es la dirección de la puerta de enlace, aunque no lo sea. Los clientes que aceptan el paquete ARP reescriben su IP: tabla de búsqueda de direcciones MAC con la dirección incorrecta, y proceden a enviar todo el tráfico fuera de la subred a la computadora B. Para que esto funcione, la computadora B debe enviarla a la Puerta de entrada real. Esto no funciona en todos los conmutadores, y algunas pilas de red rechazan este tipo de cosas.
Misma subred, método malvado Si el enrutador tampoco es terriblemente seguro, ¡el ataque ARP Spoofing funcionará para una subred completa!
Subred completamente diferente Si la Computadora B está en una subred completamente diferente, la única forma en que esto funciona es si el núcleo del enrutador admite una solución de monitoreo remoto. Una vez más, los nombres varían y la topología de la red debe ser la correcta. Pero es posible.
ARP Spoofing es la única forma para que una computadora sin privilegios especiales de red detecte el tráfico de otro nodo de red, y eso depende de si el conmutador de red se defiende o no de ese tipo de acción. Simplemente instalar Wireshark no es suficiente, se deben tomar otras medidas. De lo contrario, solo sucederá cuando la red esté configurada explícitamente para permitir que suceda.
Buena explicación. Es tarde aquí y no tuve la paciencia para escribir todo eso. :)
EEAA
Y, por supuesto, los rastreadores pueden capturar el tráfico en redes no conmutadas (por ejemplo, concentrador).
jweyrich
¿Qué hay de WiFi?
Pieter
¿Qué pasa con la inundación ARP, llenando así la tabla CAM de los interruptores?
Ryan Ries
4
Si está en una red conmutada (lo cual es muy probable), y a menos que la computadora A esté sirviendo como la ruta predeterminada para la computadora B (poco probable), entonces no, la computadora A no podrá ver los paquetes destinados a la computadora B.
¡Recupera los días del centro de 10Mb para el olfateo promiscuo!
Mark Henderson el
¡En efecto! Por supuesto, SPAN normalmente se encarga de eso muy bien. :)
EEAA
Los chicos de la red en $ oldJob mantuvieron algunos concentradores de 10Mb para olfatear fácilmente. Funcionó bien para problemas de escritorio, aunque tal vez no tan bien en estos días.
sysadmin1138
@ sysadmin1138: Sí, también he oído hablar de ese truco. El único problema es que realmente no lo ayudará con Gigabit Ethernet a través de fibra ...
sleske 05 de
@sleske De hecho, de hecho ... tampoco ayudó con las conexiones de fibra de 10Mb que tenían en ese momento.
sysadmin1138
2
Como aludió Farseeker, solías poder hacerlo. Hace diez años, muchas redes usaban concentradores, que eran como conmutadores pero más tontos, en el sentido de que reflejaban cada paquete en cada puerto en lugar de averiguar dónde debía ir cada paquete y enviarlo solo allí. Antes de eso, algunas redes usaban Ethernet coaxial con un cable común (y sin concentrador o conmutador) que todas las estaciones transmitían y escuchaban.
En las dos situaciones anteriores, una máquina con Ethereal (antiguo nombre de Wireshark) podría espiar en toda la red.
Aunque esta situación se aplica a muy pocas redes en estos días, lo menciono por contexto y para entender por qué la idea de usar Wireshark para espiar a otros todavía está en la cabeza de muchas personas.
Si de todos modos estamos mencionando métodos malvados: con algunos interruptores no administrados, la sobrecarga de la tabla CAM supuestamente puede funcionar, y está documentado en algún lugar de tcpdump docs IIRC.
Si está en una red conmutada (lo cual es muy probable), y a menos que la computadora A esté sirviendo como la ruta predeterminada para la computadora B (poco probable), entonces no, la computadora A no podrá ver los paquetes destinados a la computadora B.
fuente
Como aludió Farseeker, solías poder hacerlo. Hace diez años, muchas redes usaban concentradores, que eran como conmutadores pero más tontos, en el sentido de que reflejaban cada paquete en cada puerto en lugar de averiguar dónde debía ir cada paquete y enviarlo solo allí. Antes de eso, algunas redes usaban Ethernet coaxial con un cable común (y sin concentrador o conmutador) que todas las estaciones transmitían y escuchaban.
En las dos situaciones anteriores, una máquina con Ethereal (antiguo nombre de Wireshark) podría espiar en toda la red.
Aunque esta situación se aplica a muy pocas redes en estos días, lo menciono por contexto y para entender por qué la idea de usar Wireshark para espiar a otros todavía está en la cabeza de muchas personas.
Pete
fuente
Si de todos modos estamos mencionando métodos malvados: con algunos interruptores no administrados, la sobrecarga de la tabla CAM supuestamente puede funcionar, y está documentado en algún lugar de tcpdump docs IIRC.
fuente