Na minha casa, uso um roteador sem fio para se conectar à Internet, para que todos os dispositivos usem o cartão sem fio para usá-lo.
Desta forma, usando sudo tcpdump -i wlan0 do meu pc eu deveria ser capaz de ver todos os pacotes circulando na rede local (coisa que eu não poderia fazer se todos estivessem conectados usando ethernet) e parece que funciona. / p>
Agora eu tentei sudo tcpdump -i wlan0 host 192.168.1.3 para ver apenas os pacotes de um pc específico (que não é meu, mas de outro pc diferente), mas não recebo nada apenas:
****@****-pc ~ $ sudo tcpdump -i wlan0 host 192.168.1.3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan0, link-type EN10MB (Ethernet), capture size 65535 bytes
Então, eu não entendo, por que usar sudo tcpdump -i wlan0 eu vejo tudo, mas não posso dizer apenas acompanhar um fluxo específico?
Muitas placas wireless recusam-se a ser definidas para o modo promíscuo. (Há exceções, mas elas são relativamente raras). Sem ver um dump de texto de sua captura, é impossível ter certeza, mas é provável que tudo o que você está vendo do tcpdump seja o tráfego de transmissão normal. Como conseqüência, quando você pede para ver o tráfego de um determinado host, você não verá nada além de seu tráfego de transmissão, do qual deve haver muito pouco.
Porque o switch filtra os pacotes que não são endereçados ao seu pc pelo endereço MAC. O roteador WiFi também é um switch. Ah certo, FYI, switch funciona na camada de link (2ª camada do modo OSI). O tcpdump funciona na camada TCP / IP (3ª e 4ª camada do modo OSI).