Captura de tráfico de Wireshark: una subred a otra subred

1

Mi configuración es una computadora con Wirehark conectado para encender la red LAN. La IP de subred en la que está conectado el wirehark es .0. #. Me gustaría capturar el tráfico entre la subred IP de .0. # Y .2. #. Sin embargo, cuando incluyo el filtro:

tcp e ip.addr == 192. ###. 2. # && ip.addr == 192. ###. 0. # (con # siendo números), ¿no veo tráfico entre esas dos IP? Tengo ping tanto IP FINE!

Entonces, ¿es esto posible? Al hacer clic en Editar filtro y poner lo anterior, ¿estoy configurando el filtro correctamente?

¡Los enlaces o tutoriales serían geniales!

Benjamin Jones
fuente
2
Tenga en cuenta: no puede ver el tráfico en un conmutador a menos que vaya o vaya a / desde la computadora con Wireshark instalado. Es decir, a menos que su conmutador admita la configuración de un puerto de supervisión.
Ƭᴇcʜιᴇ007

Respuestas:

2

Debe asegurarse de que el conmutador esté enviando este tráfico al puerto en el que está conectada la máquina Wireshark. Puede hacer esto de varias maneras:

  • Si se trata de un conmutador manejable que admite la supervisión de puertos (también llamado duplicación de puertos u otros nombres similares), puede ver en qué puerto está conectado uno de sus equipos de punto final de destino (o el enrutador entre las subredes) y reflejar ese puerto en el puerto La máquina Wireshark está encendida.
  • Si no tiene un conmutador manejable, pero tiene un concentrador alrededor, puede usar un concentrador en lugar del conmutador (o entre el conmutador y uno de los puntos finales de tráfico). Desafortunadamente, no existe un conmutador gigabit, por lo que esta solución solo funciona si está de acuerdo con velocidades de 10/100 mbit.
  • Ejecute Wireshark en uno de los puntos finales de la prueba o en el enrutador que conecta las subredes. A veces, ejecutar un sniffer en uno de los dispositivos involucrados en la prueba puede interferir con la prueba, por lo tanto, advierta al lector .
Spiff
fuente