wireshark captura o tráfego de outros dispositivos na LAN

4

Estou usando o wireshark no Windows para capturar meu tráfego.

Existe uma maneira de capturar o tráfego de outros computadores conectados à mesma LAN. Se não for possível com o wireshark, existe outra ferramenta capaz de fazer isso?

    
por Salvador Dali 25.10.2012 / 19:48

3 respostas

2

Uma maneira de conseguir o que você quer é usar uma ferramenta de envenenamento arp, como o Ettercap. Você deve poder usar o Wireshark / tcpdump as informações que você precisa.

O problema que você tem é que um switch Ethernet é projetado para que ele aprenda os endereços MAC em cada porta e use isso para "rotear" os quadros Ethernet para a porta correta com base em seu endereço MAC. Isso é para reduzir colisões associadas a hubs Ethernet (algo que você raramente vê nos dias de hoje). Portanto, você verá apenas quadros Ethernet destinados ou originados de sua NIC, incluindo quadros Ethernet de transmissão, como ARP, mas não tráfego estrangeiro. Isso é bom:)

A maioria dos switches gerenciados (não um desktop estúpido) permite que você designe um espelho de porta para que todos os quadros Ethernet sejam replicados em uma porta específica onde você pode anexar uma máquina em modo promíscuo e capturar quadros Ethernet "estrangeiros" usando tcpdump / Wireshark.

Isso ainda não permite que eles sejam capturados pelo Wireshark / tcpdump, no entanto. Então você precisa de uma maneira de agir como uma ponte Ethernet entre os hosts interessantes e seu gateway, mas sem estar fisicamente no caminho. Digite Ettercap que é uma ferramenta de envenenamento arp. Ele engana seus hosts interessados (eo switch) que o endereço MAC da sua máquina agora possui o IP do gateway IP antigo enviando um "arp gratuito". As máquinas interessantes enviam involuntariamente todo o tráfego destinado à rota / padrão para a sua máquina. Sua máquina agora encaminhará pacotes através de sua pilha IP como se fosse o gateway.

Quando isso não funciona, é quando a "segurança da porta" é ativada no comutador, uma prática não incomum. Isso é para parar o envenenamento por arp bloqueando arpejos gratuitos em que um IP está se movendo de uma porta Ethernet para outra.

    
por 25.10.2012 / 20:43
5

Se o (s) seu (s) switch (es) suportam (es), você pode configurar o espelhamento / monitoramento da porta, o que permitirá ao switch espelhar o tráfego nas portas monitoradas para a porta do monitor.

link

    
por 25.10.2012 / 20:05
1

Não se trata da ferramenta, trata-se de capturar de um dispositivo que está no caminho de tráfego em que você está interessado. Como os switches transmitem apenas pacotes nas portas para as quais estão destinados, o dispositivo de borda não verá tráfego entre eles. dois outros dispositivos. A abordagem usual é capturar de um dispositivo que seja uma ponte ou roteador para o dispositivo de destino.

    
por 25.10.2012 / 19:53

Tags