¿Cómo huele Wireshark los paquetes? [cerrado]

Cuando tengo Wireshark ejecutándose, por ejemplo, 192.168.1.100, ¿cómo puede capturar los paquetes que 192.1.123 envía al enrutador u otra computadora / dispositivo en la LAN?

Mi teoría es que cuando una computadora quiere enviar un paquete, lo envía a todas las computadoras de la red y si la ip (¿o es el MAC?) Coincide, recibe el paquete, de lo contrario lo descarta. De esa manera, 192.168.1.100 recibe el paquete y Wireshark lo captura. Si eso es lo que sucede, ¿envía solo la ip, la MAC o ambas? Si ambos, ¿cuál es la necesidad de ambos?

Esta es una pregunta un poco amplia para este foro. Tienes que leer sobre enrutamiento, conmutadores, concentradores y ese tipo de cosas para entender la respuesta a tu pregunta.

Dicho esto, lo que básicamente está sucediendo es que wireshark pone su tarjeta de red en un modo que le dice que lea todos los paquetes que se le envían, en lugar de descartarlos como parece que ya sabe. Eso no significa que esté viendo todos los paquetes en la red. Solo está viendo paquetes que se envían a 192.168.1.100 o se envían a todas las computadoras de la red. A menos que, por supuesto, tenga un concentrador en su red, su computadora obtiene todo el tráfico que pasa por ese concentrador.

Las computadoras que están conectadas a los conmutadores que están configurados correctamente (o que no se administran en absoluto, la mayoría de los conmutadores domésticos no se administran) solo obtienen el tráfico destinado a todas las computadoras o a ellos mismos, el resto del tráfico que no ven. Si desea ver todo el tráfico en la red, necesita tener un conmutador administrado y copiar todo el tráfico al puerto en el que está conectada su computadora o de alguna manera monitorear el tráfico a través del enrutador (pero luego solo obtiene el tráfico que va hacia afuera de la red, no dentro del tráfico de red).

Entonces, si su computadora 192.168.1.100 está viendo paquetes de 192.168.1.123, entonces este último está enviando paquetes directamente a su computadora .100 o está enviando solicitudes a toda la red. Las computadoras envían solicitudes a todas las computadoras de la red todo el tiempo, como las solicitudes ARP.