O Wireshark pode ler dados enviados para / de outros computadores?

Navegue suas respostas
8

Digamos que o WireShark esteja instalado no computador A. E digamos que eu esteja vendo um vídeo do Youtube no computador B.

A WireShark pode ver o que o computador B está fazendo?

    
por AngryHacker 05.10.2010 / 07:06

4 respostas

16

Em geral, não, o Wireshark não consegue sentir esse tráfego. ErikA descreve o porquê.

No entanto ... se a sua rede suportar, a rede em si pode mostrar ao Computador A o tráfego para o Computador B, e a partir daí o Wireshark pode pegá-lo. Existem várias maneiras de chegar lá.

  • Mesmo switch, bom método Se os dois computadores estiverem no mesmo switch de rede e o switch for gerenciado, provavelmente será possível configurá-lo para distribuir / espelhar / monitorar (os termos mudam com o fornecedor) Porta do computador B na porta do computador A. Isso permitirá que o Wireshark no Computador A veja o tráfego.
  • Same Switch, evil method Se os dois computadores estiverem no mesmo switch de rede e o switch não for muito seguro, é possível executar o que é conhecido como ataque ARP Spoofing. O computador A emite um pacote ARP informando à sub-rede que ele é realmente o endereço do gateway, mesmo que não seja. Os clientes que aceitam o pacote ARP reescrevem seu IP: a tabela de consulta MAC-Address com o endereço incorreto nele e continua enviando todo o tráfego fora da sub-rede para o Computador B. Para que isso funcione, o Computador B então tem que enviá-lo para o gateway real. Isso não funciona em todos os switches, e algumas pilhas de rede rejeitam esse tipo de coisa.
  • Mesma sub-rede, método maligno Se o roteador não for muito seguro, o ataque ARP Spoofing funcionará para uma sub-rede inteira!
  • Sub-rede diferente inteiramente Se o computador B estiver em uma sub-rede diferente, a única maneira de funcionar é se o núcleo do roteador suportar uma solução de monitoramento remoto. Novamente, os nomes variam e a topologia de rede precisa estar correta. Mas é possível.

O ARP Spoofing é a única maneira de um computador sem privilégios especiais de rede farejar o tráfego de outro nó da rede, e isso depende de o comutador de rede defender ou não esse tipo de ação. Simplesmente instalar o Wireshark não é suficiente, algumas outras ações precisam ser tomadas. Caso contrário, isso só acontecerá quando a rede for explicitamente configurada para permitir que isso aconteça.

    
por 05.10.2010 / 07:37
4

Se você estiver em uma rede comutada (o que é altamente provável), e a menos que o computador A esteja servindo como rota padrão para o computador B (improvável), não, o computador A não poderá ver os pacotes destinados a computador B.

    
por 05.10.2010 / 07:21
2

Como Farseeker aludiu, você costumava ser capaz. Dez anos atrás, muitas redes usavam hubs, que eram como switches, mas mais burros, pois refletiam cada pacote em cada porta, em vez de descobrir onde cada pacote precisava ir e enviá-lo apenas para lá. Antes disso, algumas redes usavam ethernet coaxial com um cabo comum (e nenhum hub ou switch) que toda estação transmitia e ouvia.

Em ambas as situações acima, uma máquina com o Ethereal (nome antigo do Wireshark) poderia de fato bisbilhotar toda a rede.

Embora essa situação se aplique a poucas redes hoje em dia, menciono isso para o contexto e para entender por que a ideia de usar o Wireshark para espionar outros ainda está na cabeça de muitas pessoas.

Pete

    
por 05.10.2010 / 12:29
0

Se estamos mencionando métodos maléficos de qualquer maneira: com alguns switches não gerenciados sobrecarregando a tabela CAM, supostamente pode funcionar, e está documentado em algum lugar nos documentos do tcpdump IIRC.

    
por 06.05.2012 / 17:50

Tags

UPS - Dois computadores - Como fazer com que ambos desliguem quando a bateria está fraca? Executando um serviço do Windows em uma conta de usuário de domínio