Comment Wireshark détecte-t-il les paquets? [fermé]

1

Lorsque Wireshark est exécuté, par exemple, 192.168.1.100, comment est-il capable de capturer les paquets que 192.1.123 envoie au routeur ou à un autre ordinateur / périphérique du réseau local?

Ma théorie est que lorsqu'un ordinateur veut envoyer un paquet, il l'envoie à chaque ordinateur du réseau et que si l'adresse IP (ou est-ce le MAC?) Correspond-il, il reçoit le paquet, sinon il le supprime. De cette façon, 192.168.1.100 reçoit le paquet et Wireshark le capture. Si c'est ce qui se produit, envoie-t-il uniquement l'adresse IP, le MAC ou les deux? Si les deux, quel est le besoin pour les deux?

Mark Read
la source

Réponses:

4

C'est un peu pour élargir une question pour ce forum. Vous devez lire sur le routage, les commutateurs, les concentrateurs et ce genre de choses pour comprendre la réponse à votre question.

Cela dit, ce qui se passe en fait, c’est WireShark qui met votre carte réseau dans un mode qui lui dit de lire tous les paquets qui lui sont envoyés, au lieu de les laisser tomber comme vous semblez déjà le savoir. Cela ne signifie pas qu'il voit tous les paquets sur le réseau. Il ne voit que les paquets qui sont envoyés uniquement à 192.168.1.100 ou à tous les ordinateurs du réseau. À moins bien sûr que vous ayez un concentrateur sur votre réseau, votre ordinateur reçoit tout le trafic transitant par ce concentrateur.

Les ordinateurs connectés à des commutateurs correctement configurés (ou pas gérés du tout, la plupart des commutateurs domestiques ne sont pas gérés) ne reçoivent que du trafic destiné à tous les ordinateurs ou à eux-mêmes, le reste du trafic qu'ils ne voient pas. Si vous souhaitez voir tout le trafic sur le réseau, vous devez disposer d’un commutateur géré et copier tout le trafic sur le port auquel votre ordinateur est connecté, ou bien surveiller le trafic via le routeur (mais vous n’obtenez que le trafic qui sort réseau, pas dans le trafic réseau).

Donc, si votre ordinateur 192.168.1.100 voit les paquets de 192.168.1.123, alors ce dernier envoie les paquets directement à votre ordinateur .100 ou il envoie des demandes à tout le réseau. Les ordinateurs envoient constamment des requêtes à tous les ordinateurs du réseau, comme les requêtes ARP.

ojs
la source
2
"Wirehark met votre carte réseau dans un mode" - il peut être intéressant d’ajouter qu’on l’appelle mode "promiscuous". - le mode promiscuous désactive la comparaison de l'adresse MAC de destination avec la propre adresse MAC de la carte réseau lors de la réception de trames Ethernet. Avec ce paramètre, le PC peut voir toutes les trames Ethernet dépasser la carte réseau même si elles ne lui sont pas adressées.
DavidPostill