Em geral, não, o Wireshark não consegue detectar esse tráfego. ErikA descreve o porquê.
No entanto ... se sua rede suportar, a própria rede poderá mostrar ao Computador A o tráfego do Computador B e, a partir daí, o Wireshark poderá obtê-lo. Existem várias maneiras de chegar lá.
Mesmo comutador, bom método Se os dois computadores estiverem no mesmo comutador de rede e o comutador for gerenciado, provavelmente é possível configurá-lo para expandir / espelhar / monitorar (os termos mudam com o fornecedor) o tráfego da porta do Computador B na porta do Computador A . Isso permitirá que o Wireshark no computador A veja o tráfego.
Mesmo comutador, método incorreto Se os dois computadores estiverem no mesmo comutador de rede e o comutador não for muito seguro, é possível executar o que é conhecido como ataque de falsificação de ARP. O computador A emite um pacote ARP informando à sub-rede que ele é realmente o endereço do gateway, mesmo que não seja. Os clientes que aceitam o pacote ARP reescrevem sua tabela de pesquisa IP: Endereço MAC com o endereço incorreto e continuam enviando todo o tráfego fora da sub-rede ao Computador B. Para que isso funcione, o Computador B precisa enviá-lo para o diretório gateway real. Isso não funciona em todos os comutadores, e algumas pilhas de rede rejeitam esse tipo de coisa.
Mesma sub-rede, método maligno Se o roteador também não é muito seguro, o ataque ARP Spoofing funcionará para uma sub-rede inteira!
Totalmente diferente de sub-rede Se o Computador B estiver totalmente em uma sub-rede diferente, a única maneira de funcionar é se o núcleo do roteador suportar uma solução de monitoramento remoto. Novamente, os nomes variam e a topologia da rede precisa estar correta. Mas é possível.
A falsificação de ARP é a única maneira de um computador sem privilégios de rede especiais capturar o tráfego de outro nó da rede, e isso depende se a chave de rede se defende ou não contra esse tipo de ação. Simplesmente instalar o Wireshark não é suficiente; algumas outras ações precisam ser tomadas. Caso contrário, isso só acontecerá quando a rede estiver configurada explicitamente para permitir que isso aconteça.
Boa explicação. É tarde aqui e eu não tive paciência para digitar tudo isso. :)
EEAA
E, é claro, os sniffers podem capturar tráfego em redes não comutadas (por exemplo: hub).
jweyrich
E o WiFi?
Pieter
E a inundação ARP, preenchendo assim a tabela CAM dos comutadores?
Ryan Ries
4
Se você estiver em uma rede comutada (o que é altamente provável) e a menos que o computador A esteja servindo como rota padrão para o computador B (improvável), então não, o computador A não poderá ver os pacotes destinados ao computador B.
Traga de volta os dias do hub de 10 Mb para cheirar promíscuo!
Mark105 #
De fato! É claro que o SPAN normalmente cuida disso muito bem. :)
EEAA
Os caras da rede da $ oldJob mantinham alguns hubs de 10Mb para facilitar a detecção. Funcionou bem em problemas na área de trabalho, embora talvez não seja tão bom hoje em dia.
sysadmin1138
@ sysadmin1138: Sim, eu também ouvi falar desse truque. O único problema é que ele realmente não vai ajudá-lo com Gigabit Ethernet sobre fibra ...
sleske
@sleske De fato, de fato ... nem ajudou nas conexões de fibra de 10 Mb que eles tinham na época.
sysadmin1138
2
Como Farseeker aludiu, você costumava ser capaz. Dez anos atrás, muitas redes usavam hubs, que eram como switches, mas eram mais pesados, pois refletiam todos os pacotes em todas as portas, em vez de descobrir onde cada pacote precisava ir e enviá-lo apenas para lá. Antes disso, algumas redes usavam ethernet coaxial com um cabo comum (e nenhum hub ou switch) que todas as estações transmitiam e ouviam.
Nas duas situações acima, uma máquina com Ethereal (nome antigo para Wireshark) poderia de fato bisbilhotar toda a rede.
Embora essa situação se aplique a muito poucas redes atualmente, eu a menciono para contexto e para entender por que a idéia de usar o Wireshark para bisbilhotar outras pessoas ainda está na cabeça de muitas pessoas.
Se estamos mencionando métodos maliciosos de qualquer maneira: com alguns switches não gerenciados, sobrecarregar a tabela CAM supostamente funciona e está documentado em algum lugar no tcpdump docs IIRC.
Se você estiver em uma rede comutada (o que é altamente provável) e a menos que o computador A esteja servindo como rota padrão para o computador B (improvável), então não, o computador A não poderá ver os pacotes destinados ao computador B.
fonte
Como Farseeker aludiu, você costumava ser capaz. Dez anos atrás, muitas redes usavam hubs, que eram como switches, mas eram mais pesados, pois refletiam todos os pacotes em todas as portas, em vez de descobrir onde cada pacote precisava ir e enviá-lo apenas para lá. Antes disso, algumas redes usavam ethernet coaxial com um cabo comum (e nenhum hub ou switch) que todas as estações transmitiam e ouviam.
Nas duas situações acima, uma máquina com Ethereal (nome antigo para Wireshark) poderia de fato bisbilhotar toda a rede.
Embora essa situação se aplique a muito poucas redes atualmente, eu a menciono para contexto e para entender por que a idéia de usar o Wireshark para bisbilhotar outras pessoas ainda está na cabeça de muitas pessoas.
Pete
fonte
Se estamos mencionando métodos maliciosos de qualquer maneira: com alguns switches não gerenciados, sobrecarregar a tabela CAM supostamente funciona e está documentado em algum lugar no tcpdump docs IIRC.
fonte