En général, non, Wireshark ne peut pas détecter ce trafic. ErikA explique pourquoi.
Cependant ... si votre réseau le prend en charge, le réseau lui-même peut montrer à l'ordinateur A le trafic de l'ordinateur B, et à partir de là, Wireshark peut le récupérer. Il existe plusieurs façons d'y arriver.
Même commutateur, bonne méthode Si les deux ordinateurs sont sur le même commutateur réseau et que le commutateur est géré, il est probablement possible de le configurer pour couvrir / mettre en miroir / surveiller (les termes changent avec le fournisseur) le trafic du port de l'ordinateur B sur le port de l'ordinateur A . Cela permettra à Wireshark sur l'ordinateur A de voir le trafic.
Même commutateur, méthode malveillante Si les deux ordinateurs sont sur le même commutateur réseau et que le commutateur n'est pas très sécurisé, il est possible d'effectuer ce que l'on appelle une attaque ARP Spoofing. L'ordinateur A émet un paquet ARP indiquant au sous-réseau qu'il s'agit bien de l'adresse de passerelle, même si ce n'est pas le cas. Les clients qui acceptent le paquet ARP réécrivent leur table de recherche IP: adresse MAC avec la mauvaise adresse, et continuent d'envoyer tout le trafic hors sous-réseau à l'ordinateur B. Pour que cela fonctionne, l'ordinateur B doit ensuite l'envoyer à la véritable passerelle. Cela ne fonctionne pas sur tous les commutateurs, et certaines piles réseau rejettent ce genre de chose.
Même sous-réseau, méthode maléfique Si le routeur n'est pas non plus très sécurisé, l'attaque ARP Spoofing fonctionnera pour un sous-réseau entier!
Sous-réseau différent entièrement Si l'ordinateur B se trouve entièrement sur un sous-réseau différent, la seule façon de fonctionner est que le cœur du routeur prend en charge une solution de surveillance à distance. Encore une fois, les noms varient et la topologie du réseau doit être juste. Mais c'est possible.
ARP Spoofing est le seul moyen pour un ordinateur sans privilèges réseau spéciaux de renifler le trafic d'un autre nœud de réseau, et cela dépend si le commutateur réseau se défend ou non contre ce type d'action. Il ne suffit pas d'installer Wireshark, une autre action doit être entreprise. Sinon, cela ne se produira que lorsque le réseau est explicitement configuré pour que cela se produise.
Bonne explication. Il est tard ici et je n'ai pas eu la patience de taper tout ça. :)
EEAA
Et bien sûr, les renifleurs peuvent capturer le trafic dans les réseaux non commutés (par exemple: concentrateur).
jweyrich
Et le WiFi?
Pieter
Qu'en est-il de l'inondation ARP, remplissant ainsi la table CAM des commutateurs?
Ryan Ries
4
Si vous êtes sur un réseau commuté (ce qui est très probable), et à moins que l'ordinateur A ne serve de route par défaut pour l'ordinateur B (peu probable), alors non, l'ordinateur A ne pourra pas voir les paquets destinés à l'ordinateur B.
Ramenez les jours du hub 10Mb pour un reniflement promiscuous!
Mark Henderson
En effet! Bien sûr, SPAN s'en occupe normalement très bien. :)
EEAA
Les gars du réseau à $ oldJob ont gardé quelques concentrateurs de 10 Mo pour un reniflement facile. A bien fonctionné pour les problèmes de bureau, mais peut-être pas aussi bien de nos jours.
sysadmin1138
@ sysadmin1138: Oui, j'ai aussi entendu parler de cette astuce. Le seul problème est que cela ne vous aidera pas vraiment avec Gigabit Ethernet sur fibre ...
sleske
@sleske En effet, en effet ... cela n'a pas aidé non plus avec les connexions fibre 10 Mo qu'ils avaient à l'époque.
sysadmin1138
2
Comme Farseeker y a fait allusion, vous pouviez le faire. Il y a dix ans, de nombreux réseaux utilisaient des concentrateurs, qui étaient comme des commutateurs mais plus stupides, en ce sens qu'ils reflétaient chaque paquet sur chaque port au lieu de déterminer où chaque paquet devait aller et de ne l'envoyer que là-bas. Avant cela, certains réseaux utilisaient Ethernet coaxial avec un câble commun (et sans concentrateur ni commutateur) que chaque station diffusait et écoutait.
Dans les deux situations ci-dessus, une machine avec Ethereal (ancien nom de Wireshark) pourrait en effet espionner l'ensemble du réseau.
Bien que cette situation s'applique à très peu de réseaux de nos jours, je le mentionne pour le contexte et pour comprendre pourquoi l'idée d'utiliser Wireshark pour espionner les autres est encore dans la tête de beaucoup de gens.
Si nous mentionnons quand même des méthodes diaboliques: avec certains commutateurs non gérés, la surcharge de la table CAM peut soi-disant fonctionner, et est documentée quelque part dans les documents tcpdump IIRC.
Si vous êtes sur un réseau commuté (ce qui est très probable), et à moins que l'ordinateur A ne serve de route par défaut pour l'ordinateur B (peu probable), alors non, l'ordinateur A ne pourra pas voir les paquets destinés à l'ordinateur B.
la source
Comme Farseeker y a fait allusion, vous pouviez le faire. Il y a dix ans, de nombreux réseaux utilisaient des concentrateurs, qui étaient comme des commutateurs mais plus stupides, en ce sens qu'ils reflétaient chaque paquet sur chaque port au lieu de déterminer où chaque paquet devait aller et de ne l'envoyer que là-bas. Avant cela, certains réseaux utilisaient Ethernet coaxial avec un câble commun (et sans concentrateur ni commutateur) que chaque station diffusait et écoutait.
Dans les deux situations ci-dessus, une machine avec Ethereal (ancien nom de Wireshark) pourrait en effet espionner l'ensemble du réseau.
Bien que cette situation s'applique à très peu de réseaux de nos jours, je le mentionne pour le contexte et pour comprendre pourquoi l'idée d'utiliser Wireshark pour espionner les autres est encore dans la tête de beaucoup de gens.
Pete
la source
Si nous mentionnons quand même des méthodes diaboliques: avec certains commutateurs non gérés, la surcharge de la table CAM peut soi-disant fonctionner, et est documentée quelque part dans les documents tcpdump IIRC.
la source