por que estou vendo o tráfego de outros computadores no wireshark?

2

Estou conectado ao meu roteador doméstico usando wifi no meu laptop. Meu ip é 192.168.0.107 mas no wireshark eu estou vendo o tráfego de 192.168.0.106, que passa a ser meu smartphone. Eu estava esperando para ver apenas o tráfego de e para o meu computador embora. Eu estou executando o windows 8.1. Eu gostaria de saber porque eu estou vendo estes pacotes que são mostrados na imagem

    
por Bukks 11.12.2017 / 18:23

2 respostas

8

Estes são pacotes multicast , em particular SSDP (Simple Service Discovery Protocol) e Pacotes de Multicast Domain Name Service (MDNS) que são usado para descoberta sem configuração em um único segmento de LAN ou WLAN.

Seu roteador doméstico transmite para todos os dispositivos, incluindo o seu PC.

Então, é perfeitamente normal que você veja isso, é assim que deve ser.

Editar

Assim, a outra parte da pergunta é "por que não vejo tráfego de outros dispositivos". Na verdade, você não está vendo nenhum outro tráfego do seu Smartphone (exceto o multicast). Isso porque os pacotes unicast (com um endereço de destino de um único dispositivo IP, por exemplo, 192.168.0.x, em vez de um endereço multicast, por exemplo, 224.0.0.x) são não transmitido pelo seu roteador para todos os outros dispositivos WLAN. O que faz muito sentido, porque devido ao encruption, teria que ser reenviada separadamente para todos os outros n outros dispositivos, ocupando n + 1 tempo de antena. Mas como o endereço de destino diz "esses dispositivos não estão interessados no pacote em primeiro lugar", isso não acontece. OTOH, os pacotes multicast são significados para serem enviados para todos os dispositivos na rede.

Então, se esta é uma pergunta XY e sua verdadeira pergunta é " Como faço para sniff pacotes de algum outro dispositivo via WLAN ", a resposta para isso é: você tem que se tornar o ponto de acesso para esse dispositivo.

    
por 11.12.2017 / 18:27
0

WireShark registra todo o tráfego de rede que vê. Em particular, em uma rede WiFi, a WireShark verá todo outro tráfego na mesma rede Wi-Fi.

Para ver apenas o tráfego de e para o seu laptop, você precisará usar um filtro semelhante ao que você definiu, mas usando o endereço IP do seu laptop:

ip.src == 192.168.0.107 || ip.dst == 192.168.0.107

Esta é a forma como o WireShark deve funcionar, para que você possa usar um PC para monitorar outros dispositivos, como WebCams, impressoras, TVs, sistemas de som, etc., que não podem ser usados para executar o WireShark.

Eu testei isso no Ubuntu com um laptop que usa um conjunto de chips Broadcom WiFi e confirmo absolutamente que o WireShark se comporta dessa maneira. É por isso que eu adicionei a minha resposta, porque eu estava vendo buffers que não foram explicados pela resposta do @ dirkt (que responde completamente aos buffers registrados na questão), e eu assumi que o questionador se depararia com isso em logs futuros. >

Fiquei intrigado com o meu voto para baixo, então pedi a um amigo para executar verificações semelhantes e ele obteve resultados diferentes no Windows com um chip set da Intel. Fiquei surpreso que o mesmo software iria se comportar de maneira diferente em um sistema operacional diferente, mas ele sugeriu que talvez o Windows pare a interface em execução no modo promíscuo.

Eu não me importo de ser desclassificado se eu conseguir algo errado, mas eu gostaria de saber o que está errado para que eu possa corrigi-lo. Não aceitaríamos uma pergunta que diz "algo está errado - por favor, ajude", e não vejo por que votos negativos devem ser considerados de forma diferente.

    
por 11.12.2017 / 18:40